维普资讯 http://www.cqvip.com 第14卷第2期 VoL.14 No.2 鄂州大学学报 2007年3一月 Mar.20()7 Journal of Ezhou University 阿络安全与对未来防火墙技术的展望 杨志勇 (鄂州大学电子系,湖北鄂州436000) 摘要:虽然防火墙是目前保护网络安全的有效手段,但也有明显不足。该文通过对现有防火墙技术 的弱点和局限性分析,提出了未来防火墙技术的发展趋势。 关键词:网络安全;防火墙;包过滤 中图分类号:rrP393.08 文献标识码:A 文章编号:1008—9004(2007)02—0020—04 1 前言 随着计算机网络技术的突飞猛进,网络安全 问题已经日益突出地摆在各类用户的面前。网络 防火墙技术作为内部网络与外部网络之间的第一 道安全屏障,是最先受到人们重视的网络安全技 术。但随着网络技术在社会各个领域的广泛应 用,人们进入网络的多样化,信息网络安全的内涵 发生了根本的改变,现有的防火墙技术在网络安 全保障方面已经明显不足,一种新的防火墙技术 的发展思路迫在眉睫。 1.1防火墙的概念及作用 防火墙技术是保护计算机网络安全最成熟、 最早产品化的技术措施。是在两个网络(内网和 )之间执行控制策略的系统。防火墙可以是 纯硬件的,也可以是纯软件的,还可以是软、硬件 兼而有之的。防火墙在内网和之间构成了一 道屏障,它监测、和更改通过它的数据流,对 外屏蔽内部网的信息、结构和运行状况,以防止发 生网络入侵和攻击,实现对内部网的安全保护。 防火墙实质上就是一种隔离控制技术,从逻 辑上看它既是一个分析器又是一个器。它要 求所有进出的网络数据流都应该经过它,并且所 有穿过它的数据流都必须有安全策略和计划的确 认和授权。其工作原理是:按照事先规定好的配置 和规则,监测并过滤所有通向或外部网络传来 的信息,只允许授权的数据通过。防火墙还应该能 够记录有关连接的信息、服务器的通信量以及试图 闯入者的任何企图事件,以方便管理员的检测和跟 踪。防火墙本身应该具备较高的抗攻击性。 虽然防火墙是目前保护网络免遭黑客袭击的 有效手段,但也有明显不足:无法防范通过防火墙 以外的其它途径的攻击,不能防止来自内部变节 者和不经心的用户们带来的威胁,也不能完全防 止传送已感染病毒的软件或文件,以及无法防范 数据驱动型的攻击。… ’ 2 防火墙的分类和各自的优缺点 根据防火墙所采用的技术不同,我们可以将 它分为四种基本类型:包过滤型、网络地址转换一 NAT、代理服务器和状态监测器。 2.1 包过滤型(IP Filting Firewal1) 包过滤型产品是防火墙的初级产品,其技术 依据是网络中的分包传输技术。网络上的数据都 是以“包”为单位进行传输的,数据被分割成为一 定大小的数据包,每一个数据包中都会包含一些 特定信息,如数据的源地址、目标地址、TCP/UDP 源端口和目标端口等。防火墙通过读取数据包中 的地址信息来判断这些“包”是否来自可信任的安 全站点,一旦发现来自危险站点的数据包,防火墙 便会将这些数据拒之门外。 包过滤技术的优点是简单实用,实现成本较 低,在应用环境比较简单的情况下,能够以较小的 代价在一定程度上保证系统的安全。但包过滤技 术的缺陷和局限性也是明显的,主要表现在以下3 个方面: (1)在机器中配置包过滤规则比较困难。 (2)对包过滤规则设置的测试也很麻烦。 (3)许多产品的包过滤功能都有这样或那样 的局限性,找到一种比较完整的包过滤产品很难。 收稿日期:2007—0l—o9 作者简介:杨志勇(1966一 ),男,湖北鄂州人,鄂州大学电子工程系副教授,研究方向:算法研究。 维普资讯 http://www.cqvip.com 第2期 杨志勇:网络安全与对未来防火墙技术的展望 21 包过滤系统本身就存在某些缺陷,这对系统 安全性的影响要大大超过代理服务对系统安全性 的影响。代理服务只会使数据无法传送,而包过 滤则会使得平常应该拒绝的包也能进入网络,这 对系统的安全性是一个巨大的威胁。 2 2.2网络地址转换一NAT NAT英文全称是“Network Address Transla- 服务器而看不见到任何内部资源,诸如用户的IP 等。而内部客户根本感觉不到它的存在,可以自 由访问外部站点。代理可以提供极好的访问控 制、登录能力以及地址转换功能,对进出防火墙的 信息进行记录,便于管理员监视和管理系统。但 tion”,中文意思是“网络地址转换”,它是一个 代理服务器同时也存在一些不足,特别是它会使 网络的访问速度变慢,因为它不允许用户直接访 问网络,而代理又要处理入和出的通信量,因此每 IETF(Internet Engineering Task Force,Internet工 程任务组)标准,允许一个整体机构以一个公用IP (Internet Protoco1)地址出现在Internet上。顾名思 义,它是一种把内部私有网络地址(IP地址)翻译 成合法网络IP地址的技术。所有内部的IP地址 对外面的人来说是隐蔽的。因为这个原因,网络之 外没有人可以通过指定IP地址的方式直接对网络 内的任何一台特定的计算机发起攻击。如果因为 某种原因公共IP地址资源比较短缺的话,NAT可 以使整个内部网络共享一个IP地址。可以启用基 本的包过滤防火墙安全机制,因为所有传人的包如 果没有专门指定配置到NAT,那么就会被丢弃。内 部网络的计算机就不可能直接访问外部网络。NAT 的缺点和包过滤防火墙的缺点是一样的。虽然可 以保障内部网络的安全,但它也有一些类似的局 限。而且内网可以利用现在流传比较广泛的木马 程序通过NAT做外部连接,就像它可以穿过包过滤 防火墙一样的容易。 2.3代理服务器(Proxy Server) 代理服务器通常也称作应用级防火墙。包过 滤防火墙可以按照IP地址来禁止未授权者的访 问。但是它不适合单位用来控制内部人员访问外 界的网络,对于这样的企业来说应用级防火墙是 更好的选择。所谓代理服务,即防火墙内外的计 算机系统应用层的链接是在两个终止于代理服务 的链接来实现的,这样便成功地实现了防火墙内 外计算机系统的隔离。代理服务是设置在Internet 防火墙网关上的应用,是在网管员允许下或拒绝 的特定的应用程序或者特定服务,同时,还可应用 于实施较强的数据流监控、过滤、记录和报告等功 能。一般情况下可应用于特定的互联网服务,如 超文本传输(HTTP)、远程文件传输(FTP)等。代 理服务器通常拥有高速缓存,缓存中存有用户经 常访问站点的内容,在下一个用户要访问同样的 站点时,服务器就用不着重复地去找同样的内容, 既节约了时间也节约了网络资源。 代理服务器像真的墙一样挡在内部用户和外 界之间,特别是从外面来的访问者只能看到代理 增加一种新的媒体应用,都必须对代理进行设置。 2.4状态监视器(Stateful Inspection) 状态监视器作为防火墙技术其安全特性最 佳,它采用了一个在网关上执行网络安全策略的 软件引擎,称之为检测模块。检测模块在不影响 网络正常工作的前提下,采用抽取相关数据的方 法对网络通信的各层实施监测,抽取部分数据,即 状态信息,并动态地保存起来作为以后制定安全 决策的参考。检测模块支持多种协议和应用程 序,并可以很容易地实现应用和服务的扩充。与 其他安全方案不同,当用户访问到达网关的操作 系统前,状态监视器要抽取有关数据进行分析,结 合网络配置和安全规定作出接纳、拒绝、鉴定或给 该通信加密等决定。一旦某个访问违反安全规 定,安全报警器就会拒绝该访问,并作下记录向系 统管理器报告网络状态。状态监视器的另一个优 点就是可以监测Remote Procedure Call(远程过程 调用)和User Datagrqam Protocol(用户数据协议) 类的端口信息。其缺点是状态监视器的配置非常 复杂,而且会降低网络的速度。 3 防火墙发展展望 3.1高性能的防火墙需求 高性能防火墙是未来发展的趋势,突破高性 能的极限就是对防火墙硬件结构的调整。而对于 高端防火墙的技术实现,现今主要分为三种方式: 基于通用处理器的工控机架构、基于NP技术、基 于ASIC芯片技术 工控机架构最大的优点是其 灵活性,但在大数据流量的网络环境中处理效率 会受影响,所以在面对高性能这一方面,将面临淘 汰和走进低端产品市场的趋势。NP技术是近年 来的一个技术突破点,其优势在于网络底层数据 的转发和处理,但如果要实现安全策略的控制和 审核,特别是对于应用层的深度控制方面还需要 大量的研发工作,相对于接口方面的开发难度,已 经局限了它更深层次的发展。ASIC技术虽然开 发难度大,但却能够保障系统的效率并很好地集 成防火墙的功能,在今后网络安全防护的路途上, 防火墙采用ASIC芯片技术将要成为主导地位。 维普资讯 http://www.cqvip.com 22 鄂州大学学报 第l4卷 经过初步发展,从目前的防火墙市场来看,国 内外防火墙厂商基本上都可以很好地支持防火墙 的基本功能,包括访问控制、网络地址转换、代理、 认证、日志审计等。但是,如上所述,随着网络攻 击的增加,以及用户对网络安全的要求El益提高, 防火墙必须有进一步的发展。结合目前的研发经 验和成果,从应用和技术发展趋势来看,如何增强 代部分防火墙加路由器的传统组合;在防火墙中支 持IPSEC协议族,可以实现虚拟专用网,有效保护 数据的安全陛、完整性;使防火墙支持PKI客户端, 可以实现动态的密钥管理,构建有序的网络体系。 高端防火墙虽然对功能的要求相对简单,但 是为了满足运营商的租赁防火墙的需求和对可靠 性的要求,解决基于多个转发的虚拟防火墙技术 防火墙的安全性,提高防火墙的性能,丰富防火墙 的功能,将成为防火墙厂商下一步所必需面对和 解决的问题。 3.2防火墙安全三元素 在网络安全问题上,首先需要明确的一点就 是,成功的网络安全解决方案必须是由一系列技 术、方案组成的立体架构,这要求安全厂商必须建 立广泛的合作。从目前来看,为了提高网络安全 性,已经涌现出了IDS、反病毒、内容过滤、反垃圾 邮件等众多安全技术。将这些技术都集成到防火 墙中,做一个大而全的安全防火墙是不现实的,其 结果是极大的牺牲防火墙的性能。因此,安全厂 商必须一起制定更加开放的联动协议,从而构建 起完整的安全体系,这将成为防火墙厂商以及所 有其他安全设备厂商将来的目标与责任。 从安全技术来看,审计是极为重要的一环,其 功能设计有待加强。对于防火墙而言,其审计功 能可以认为是防火墙主系统与审计子系统的联 动,而不只是简单的日志。日志是对网络中发生 的事件进行记录,是进行审计的素材。在日志的 基础上,防火墙的审计系统不但能够追踪过去网 络中发生的事件,按照审计策略得到审计结果,而 且能使用户实时监控网络中的各种事件,得到实 时的报警信息,在第一时间进行响应。目前大多 数防火墙的审计功能只是指简单的日志,因而实 现更加全面和有效的审计功能,也将成为是防火 墙厂商今后的目标。 另外一个需要重视的问题是防火墙系统自身 的安全性。因为防火墙本身就是网络安全的重要 组成部分,它建立在不断地同破坏网络安全的行 为斗争的基础上,其安全性是动态的,需要便捷的 补丁、升级能力,具备一定的自我修复能力。因而 提高防火墙系统自身的安全性,使其具备方便的升 级与加载功能,也是防火墙厂商应该解决的问题。 3.3丰富功能设计 纵观多种防火墙产品,用户在选择时,对于产 品功能丰富与否都会非常重视。在中低端防火墙 市场,提供更多的增值功能是未来的重要趋势。 例如,支持广域网口、路由协议的防火墙可能会替 和支持Session转移的双机设备将成为高端防火 墙发展的目标。 3.4不懈追求高性能 多功能、高安全性的防火墙可以让用户网络 更加无忧,但前提是要确保网络的运行效率,因此 在防火墙发展过程中,必须始终将高性能放在主 要位置。目前来看,解决高速转发问题主要有三 种方案: 首先,提高防火墙性能的最简单的方法是使 用更高性能的硬件平台,比如可以采用多个CPU 和SMP软件结构,加大DRAM容量来强行提升转 发性能,但这种防火墙并不能从根本上提升性能, 同时也会带来成本过高的问题。 第二种方案是通过专用的ASIC芯片来实现 高速转发,其优点在于可以达到最优的性能,难度 在于ASIC芯片的设计上。ASIC开发的周期很 长,开发投人很大。 第三种方案是通过选用合适的网络处理器或 者网络处理芯片的组合以达到线速转发的性能要 求。这种方案的优点在于网络处理器功能比较灵 活,可以针对用户需求快速推出各种新功能。由 于难度较小,同时也可以达到较高的性能,这种方 案将在未来一段时间内成为防火墙实现高性能的 主要解决方案 目前防火墙在安全性、效率和功能方面的矛 盾还比较突出。防火墙的技术结构,往往是安全 性高就会效率低,效率高就会以牺牲安全为代价。 未来的防火墙要求是高安全性和高效率。重新设 计防火墙的技术架构是未来防火墙的方向之一。 主要有以下几个方向: (1)在包过滤中引入鉴别授权机制。防火墙 的安全机理是可控性.主要的实现方式是访问控 制。可控性就是能够控制信息的流向和使用者的 行为方式。包过滤防火墙对包的流向方面有很好 的控制办法,但对使用者的行为方式的控制是间 接来完成的。它假设每一个IP地址对应一个假 如使用静态IP地址的用户,或一组地址对应一组 假如使用动态IP地址的用户。这个假设经常会 失效,因为会出现使用别人的IP地址或伪造IP地 维普资讯 http://www.cqvip.com 第2期 杨志勇:网络安全与对未来防火墙技术的展望 23 址,因此会出现很多的安全漏洞和攻击。尽管可 以使用IP地址和MAC地址绑定,但这不能从根 本上解决问题。对用户行为方式的控制的最有效 的办法就是执行鉴别授权机制。 (2)复变包过滤技术。复变包过滤技术,是指 口上,其他用户看不到该接口,由于采用状态记忆 技术,只有该用户才可以使用该接口,用户不使用 防火墙采用多级并行或串行或串并行混合的复杂 结构方式,根据状态和条件确定下一级转发去向, 在每一级都有一个子包过滤的复杂结构的防火 墙。这种结构方式颇类似于滤波器的结构方式。 如果说目前的防火墙是一个被动的规则检查的 “傻瓜”防火墙的话,那么复变包过滤防火墙则是 智能化的防火墙,因为复变包过滤技术具有根据 安全需要确定下一级去向的功能,是一个策略根 据条件不断变化的动态的智能防火墙。 已经有一些类似的概念,例如入侵检测(IDS) 与防火墙互动,目前已经有很多厂商包括Check Point提出的开放平台的概念等,都是一种简单的 复变过滤技术,在不同产品之间简单实现一个或 两个这样的特性,是一种努力,但存在很多问题。 比如说,IDS和防火墙搭配,如果防火墙在IDS给 出反馈之前没有防住,IDS系统就面临攻击的可 能,IDS如 被攻击,这种努力就失败了。在内核 级实现,并且是比较系统地实现,在技术上才是 个大的突破。 (3)虚拟专用防火墙(VPF)。很多人了解虚 拟专用网(VPN),VPN的一个特点是对用户来讲, 整个网络好像是给个人专用的。防火墙是一个内 部网络公用的,那么虚拟专用防火墙就好像是给 个人专用的。因为给个人专用,那么很安全。VPF 针对具体的用户给出特有的安全规则集。当用户 要求使用防火墙时,防火墙首先确认用户身份,对 用户进行鉴别,然后动态地创建一个虚拟的接口 给用户,调查用户的安全规则集,加载在该虚拟接 一一时,该虚拟接口自动消失。VPF像VPN一样,具有 极大的安全陛,而且是透明的,基本上接近线速,是 高安全陛、高性能、应用透明的下一代防火墙。 (4)多级防火墙。这种防火墙对传统防火墙 的假设提出了挑战。所谓多级过滤技术,是指防 火墙采用多级过滤措施,并辅以鉴别手段。在分 组过滤(网络层)一级,过滤掉所有的源路由分组 和假冒的IP源地址;在传输层一级,遵循过滤规 则,过滤掉所有禁止出或人的协议和有害数据包 如nuke包、圣诞树包等;在应用网关(应用层)一 级,能利用FTP、SMTP等各种网关,控制和监测 Internet提供的所用通用服务。这是针对以上各种 已有防火墙技术的不足而产生的一种综合型过滤 技术,它可以弥补以上各种单独过滤技术的不足。 这种过滤技术在分层上非常清楚,每种过滤 技术对应于不同的网络层,从这个概念出发,又有 很多内容可以扩展,为将来的防火墙技术发展打 下基础。 4结束语 随着计算机功能的日益强大及传输带宽的不 断加宽,计算机系统将进人一个全新的时代。它 不仅具有强大的计算能力,而且还具有强有力的 认证与加密机制,每个系统将具有自己的防火墙。 未来防火墙将是基于高速带宽网络的更加智能化 的,并具有更加强大的安全性的防火墙系统。 儿帅 然而,入侵与反入侵始终伴随着计算机网络技术 的发展,在人们全力研究推出新一代高性能智能 化防火墙系统的同时,基于智能化专家系统的入 侵者也会出现。所以,绝对的网络安全并不存在。 在我们利用防火墙来构件网络安全机制的同时, 还必须从思想上提高我们自身的安全防范意识。 【参考文献】 [1]李涛.网络安全概论[M].北京:电子工业出版社,2004. [2]黎连业,张维,向东明.防火墙及其应用技术[M].北京:清华大学出版社,2004:95 [3]吴世忠.信息安全理论与技术[M].北京:人民邮电出版社,2003:180. Network safety and outlook for future Firewall technology YANG Zhi——yong (Department of Electronic Engineering,Ezhou University,Ezhou,Hubei 436000,China) Abstract:Obvious disadvantages exist in firewall although it is eu ̄ently the effective means to protect networks. Disadvantages and limits of firewall technology are investigated in this paper to detect its future development trend. Key words:Network safety;Firewall;Package Filtration
