一日,你忽然想试试,在公司的宽带网上打网络电话的滋味。于是你打开ICQ呼唤伙伴,准备畅聊一番,忽然警告窗口跳出来:对不起,你们在不同的防火墙内,不能通讯。每个人遇到这种情况,不免要大骂防火墙。网络使用者对防火墙通常没有什么好感,它们影响网络速度,阻碍网络通讯,有些正常的网络应用都被它无情隔断。但是企业的CIO们却对这个讨厌的家伙情有独钟。网络防火墙的名称来自消防术语,事先设计的阻燃壁垒将熊熊大火隔离开,让那些近火的财产得到保全。网络防火墙通过辨别各种不同的网络访问,把那些不怀好意的“偷窥者”隔绝在网络之外。当然,也有一些正常的网络访问也被“误杀”。同黑客入侵带来的损失相比,一些小小的不便还可以忍受。
防火墙分类
有人把2000年称为中国的网络安全年。大批的网络安全厂商涌现市场,虽然其中的大部分已不复存在,网络安全市场却蓬勃发展起来。大批网络安全厂商的涌现继而消失就好像早期的美国资本市场,随着经济的发展,财富将会慢慢汇聚到少数人手中。市场的幸存者迅速崛起,成为占领80%以上市场的领跑者。目前市场上的形成了两大阵营,CheckPoint、Cisco、 NAI、NetScreen、Symantec、Stonesoft、Samsung、网屹、阿尔卡特是海外战士,东软、天融信、中网、天网、联想网御、青鸟、清华得实、清华顺风、上海华依、长城、东方龙马、实达朗新、中科网威、海信乃本土精英。
按照技术的不同,防火墙产品可以分为软件防火墙、硬件防火墙和软硬一体化防火墙;从适用对象来划分可分为企业级防火墙与个人防火墙;从产品等级划分,又可分为包过滤型、应用网关型和服务代理型防火墙。国内品牌以企业级硬件防火墙居多。在产品等级上,包过滤型防火墙最为普遍。国外产品类别较全,有以CISCO为典型的硬件型、以Checkpoint为典型的软件型,以阿尔卡特为代表的软硬一体化型。 同时,大多品牌都包括包过滤型、应用网关型和服务代理型产品。Netscreen的产品还覆盖企业应用型和家用型。除了企业级防火墙,市面上还有很多个人防火墙产品,比如瑞星、金山、冠群金辰等公司除了防病毒产品外还有个人防火墙产品,只是没有他们的防病毒产品知名罢了。
寻求突破
网络防火墙同黑客是一对解不开的冤家。用户希望防火墙能够防住所有黑客,而黑客也会以能够攻破防火墙为荣。此消彼涨,矛来盾往的斗争一刻也没有停息。防火墙技术也走到了变化的十字路口,多年形成的产品开发惯性等待着有人打破。一些新的概念也开始浮现。走过了混战的年代,被理顺的防火墙市场到了比拼实力的时候。
随着防火墙技术的发展,“墙”的概念在网络安全中逐渐深入,现在不仅是防火墙,还出现了诸如防毒墙、入侵检测墙等新的“墙”的概念,而且防火墙的概念也有所延伸,不仅是传统意义上的防火墙,有的还集成了如VPN(虚拟个人网络)等其他安全技术。比如NAI和趋势科技等公司都推出了在网关防病毒的类似防火墙的硬件防病毒产品,也就是所谓的“防毒墙”。
防火墙大多作为一个独立的设备,位于网络的内外边界上,抵御外来的攻击。最早的防火墙是依附于路由器的包过滤功能或者服务器提供的代理功能,随着网络安全重要性和性能要求的提高,防火墙渐渐发展为一个独立结构的、有专门功能的设备。其专一的功能定位使得其性能会有针对性地提高,而且不会由于系统的其他多方面功能因素的影响而降低产品的稳定可靠性。
竞争的焦点
防火墙的新发展,是产品竞争的主流战场。状态检测技术是防火墙近两年才应用的新技术。传统“包过滤”技术只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,连接状态表里的记录可以随意排列,提高系统的传输效率。因此,与传统包过滤防火墙相比,它具有较好的系统性能和安全性。
“流过滤”是Neteye的首创,是在“状态包过滤”基础上的发展。“状态包过滤”是Check Point最先使用的一种防火墙核心架构。“状态包过滤”是检测一个个数据包,而“流过滤”则是把一个个数据包重新整合成数据流,然后再进行过滤检测。举个例子来说:你发出一个邮件,这个邮件就会被分解成一个个数据包传输到网上某个地址,这些数据包在传输过程中可能没有顺序,或者被分成许多碎片传输。“状态包过滤”在数据包通过防火墙时,仅仅判断单个碎片能否通过检测,而这样做的安全性是比较差的。防火墙用户如果要检测这个邮件的内容如附件、关键字等部分是否有问题,单纯通过碎片是很难分析出来的。如果采用“流过滤”,防火墙用户不仅可以检测出这个邮件有无问题,而且还能在阻止该邮件通过的同时不让发送者知道。
到目前为止,大量的包过滤防火墙仍完全不具备应用层保护能力,有些产品甚至连状态检测都不具备。所谓“内容过滤”其实并不能提供真正意义上的应用层保护。而应用代理之所以能够对应用层进行完整的保护,在于其借助操作系统的TCP协议栈对于出入网络的应用数据包进行完全重组,并从操作系统提供的接口中以数据流的方式提取应用层数据;而包过滤防火墙中的数据包内容过滤仅能对当前正在通过的单一数据包的内容进行分析和判断,这两者在保护能力上存在本质的不同。
举个例子来说,一个携带攻击特征的URL访问可能有256个字节,如果它们在一个数据包中传送,那么两种技术的防火墙都能够发现并拦截,但是如果这个URL被TCP协议栈分解成10个小的IP数据包,并且以乱序的方式发送给目标服务器,则包过滤防火墙根本无法识别这个攻击的企图。而应用代理则完全不会受到干扰,依然能够识别并进行拦截,因为数据包在网关的TCP协议栈中被按照正确的顺序有效的重新组合成数据流后才到达防火墙的过滤模块,它看到的仍然是完整的数据流。
NetEye防火墙3.0之所以能够提供等同于代理防火墙的应用层保护能力,关键在于其“流过滤”架构中的专用TCP协议栈。这个协议栈是个标准的TCP协议的实现,依据TCP协议的定义对出入防火墙的数据包进行了完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效的识别并拦截应用层的攻击企图。
中网“黑客愁TM”防火墙除了提供动态地址转换,同时还提供端口和TCP、UDP协议转换功能。它能根据用户需要,将一组外部IP地址动态地分配给内部主机使用。内部主机与外部IP地址的绑定是动态的,在会话发起时开始,在随后的会话过程中保持,并在最后一个会话结束后取消。这种应用主要用于多台内部主机共享少量外部IP地址的情况。它也支持反向NAT,并且这种动态NAT能与DNS应用网关(DNS-ALG)配合使用。
如何评价防火墙
评价防火墙有GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》、GB/T17900-1999《网络代理服务器的安全技术要求》等国家标准为基础。
在众多影响防火墙安全性能的因素中,有些是管理人员可以控制的,但是有些却是在选择了防火墙之后便无法改变的特性,其中一个很关键的就是防火墙所使用的存取控制技术。目前防火墙的控制技术大概可分为:封包过滤型(Packet Filter)、封包检验型(Stateful Inspection Packet Filter)以及应用层闸通道型(Application Gateway)。这三种技术分别在安全性或效能上有其特点,不过一般人往往只注意防火墙的效能而忽略了安全性与效率之间的冲突。
当一个企业决定用防火墙来实施信息的安全策略后,怎样选择一个安全、实惠、适合自己企业特点的防火墙就显得很重要。防火墙技术发展到现在,其技术竞争的焦点主要是在管理、功能、性能、抗攻击能力这四个方面。
管理是关键:用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,这就对防火墙的实际操作人员提出较高要求。由于不同防火墙在管理上存在差异。因此,管理的难易程度可能造成管理员的错误配置,使网络产生安全隐患,因为无法要求每个网络管理员都是网络安全专家,所以管理是网络安全的关键。其中,防火墙本身的易管理性、认证加密的程度以及日志审计的完整性是反映防火墙管理功能强弱的重要标志。
功能是基础--防火墙所具有的功能越来越多,但防火墙是否具有信息内容过滤, NAT技术和状态检测功能是选购防火墙时需要着重考察的功能点, 内容过滤能够实现对应用层内容的检测,提高网络的安全性, 内容过滤是在http, ftp和smtp等协议层根据过滤条件对信息流进行控制,使得URL、http携带的Java Applet, JavaScript, ActiveX, Servlet, CGI, PHP, img;电子邮件的subject, to, from和text域,电子邮件附加的DOC和ZIP文件;FTP下载和上载文件的内容等可能包含危险信息,如病毒, 非法的关键字, 非法操作命令等。因此对内容进行过滤能有效地提高网络的安全性。
性能是条件:吞吐量和并发连接数是体现网络性能两个重要的参数。防火墙是网络的单一接入设备,吞吐量小,就会造成网络出口的瓶颈,以至影响到整个网络的传输效率。如果还需要对外提供如Web服务,DNS域名解析或邮件服务等,防火墙就得通过更大流量的信息,因此防火墙的吞吐能力对其性能表现有重要作用。并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。它不仅能体现防火墙建立和维持TCP连接的性能,而且通过并发连接数的大小体现防火墙对来自于客户端的TCP连接请求的响应能力。如果支持的并发连接数有限,它就会成为网络的瓶颈。所以,并发连接数也是衡量防火墙性能的一个重要指标。
抗攻击力是的保证:目前,在“
