【文章內容簡介】 b 應用程序，防范能力不足 網(wǎng)絡防火墻于 1990 年發(fā)明，而商用的 Web 服務器，則在一年以后才面世?；跔顟B(tài)檢測的防火墻，其設計原理，是基于網(wǎng)絡層 TCP 和 IP 地址，來設置與加強狀態(tài)訪問控制列表 （ ACLs， Access Control Lists） 。在這一方面，網(wǎng)絡防火墻表現(xiàn)確實十分出色。今年來，實際應用過程中， HTTP 是主要的傳輸協(xié)議。主流的平臺供應商和大的應用程序供應商，均已轉移到基于 Web 的體系結構，安全防護的目的，不在只是重要的業(yè)務數(shù)據(jù)。網(wǎng)絡防火墻的防護范圍，也發(fā)生了變化。由于體系結構的原因，即使是最先進的網(wǎng)絡防火墻，在防范 Web 應用程序時，由于無法全面控制網(wǎng)絡、應用程序和數(shù)據(jù)流也無法截獲應用層的攻擊。由于對正體的應用數(shù)據(jù)流，缺乏完整的、基于會話級別的監(jiān) 控能力，因此很難預防新的未知的攻擊。 ④ 應用防護特征，只適用于簡單情況 目前的數(shù)據(jù)中心服務器，時常會發(fā)生變動，比如：定期需要部署新的應用程序；經(jīng)常需要增加或更新軟件模塊；經(jīng)常會發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補丁。雖然一些先進的網(wǎng)絡防火墻供應商，提出了應用防護的特征，但只是適用于簡單的環(huán)境中。細看就會發(fā)現(xiàn)，對于實際的企業(yè)應用來說，這些特征存在著局限性。在多數(shù)情況下，彈性概念 （ ProofOfConcept） 的特征無法應用于現(xiàn)實生活中的數(shù)據(jù)中心上。比如，有些防火墻供 應商，曾經(jīng)聲稱能夠阻止緩存防火墻技術在網(wǎng)絡安全中的應用研究 16 溢出：當黑客在瀏覽器的 URL 中輸入太長數(shù)據(jù)，試圖使用后臺服務崩潰或使試圖非法訪問的時候，網(wǎng)絡防火墻能夠檢測并制止這種情況。細看就會發(fā)現(xiàn)，這些供應商采用對 80 端口數(shù)據(jù)流中，針對 URL 長度進行控制的方法，來實現(xiàn)這個功能的。如果使用這個規(guī)則，講對所有的應用程序生效。如果一個程序或者是一個簡單的 Web 網(wǎng)頁，確實需要涉及到很長的 URL 時，就要屏蔽該規(guī)則。網(wǎng)絡防火墻的體系結構，決定了網(wǎng)絡防火墻是針對網(wǎng)絡端口和網(wǎng)絡層進行操作的，因此很難對應用層競選防護，除非是一些很簡單的應用程序。 ⑤ 無法擴展帶深度的檢測功能 基于狀態(tài)檢測的網(wǎng)絡防火墻，如果希望只擴展深度檢測 （ deep inspection）功能，而沒有相應增加網(wǎng)絡性能，這是不行的。真正的針對所有網(wǎng)絡和應用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務，包括以下幾個方面 。SSL 加密 /解密功能；完全的雙向有效負載檢測；確保所有合法流量的正常化；廣泛的協(xié)議性能；這些任務，在基于標準 PC 硬件上，是無法高效運行的，雖然一些網(wǎng)絡防火墻供應商采用的是基于 ASIC 平臺，但進一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡的 ASIC 平臺對于新的深度檢測功能是無法支持的。 ⑥ 小結：應用層受到攻擊的概率越來越大，而傳統(tǒng)的網(wǎng)絡防火墻在這方面有存在著不足之處。對此，少數(shù)防火墻供應商也開始意識到應用層的威脅，在防火墻產(chǎn)品上增加了一些彈性概念 （ ProofOfConcept） 的特征，試圖防范這些威脅。傳統(tǒng)的網(wǎng)絡防火墻對于應用安全的防范上效果不佳，對于上述出的五大不足之處，將來需要在網(wǎng)絡層和應用層加強防范。 防火墻技術在網(wǎng)絡安全中的應用研究 17 第二章 防火墻概述 防火墻的概念 防火墻是指設置在不同網(wǎng)絡，如可信任的企業(yè)內部網(wǎng)和不可信 的公共網(wǎng) （ 如Inter） 或網(wǎng)絡安全域之間的一系列部件的組合，如圖 21 所示。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制 （ 允許、拒絕、監(jiān)測 ） 出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。 圖 21 防火墻 原理 防火墻的原理 隨著 規(guī)模的擴大和開放性的增強，網(wǎng)絡上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網(wǎng)絡上的每個工作站和服務器裝備上強大的安全特征 （ 例如入侵檢測 ） ，但這幾乎 是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡，它們可能運行著不同的操作系統(tǒng)，當發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻 （ Firewall） ，防火墻是用來在安全私有網(wǎng)絡 （ 可信任網(wǎng)絡 ） 和外部不可信任網(wǎng)絡之間安全連接的一個設備或一組設備，作為私有網(wǎng)絡和外部網(wǎng)絡之間連接的單點存在。防火墻是設置在可信任的內部網(wǎng)絡和不可信任的外部網(wǎng)絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞 DMZ 外網(wǎng)和內部局域網(wǎng)的防火墻系統(tǒng)。 防火墻技術在網(wǎng)絡安全中的應用研究 18 防火墻的功能及特點 防火墻的功能 防火墻是網(wǎng)絡安全的一道屏障，它可以作為內網(wǎng)和外網(wǎng)之間的一個阻塞點或是控制點，極大地提高了一個內部網(wǎng)絡的安全，并通過過濾不安全的服務來降低風險。只有經(jīng)過其許可的應用協(xié)議或服務才能通過防火墻，因此網(wǎng)絡環(huán)境將更安全。其功能主要有以下幾種： （ 1） 所有進出網(wǎng)絡的通信數(shù)據(jù)都必須通過防火墻； （ 2） 所有想穿過防火墻的通信數(shù)據(jù)都必須經(jīng)過安全策略以及計劃的確認和授權后才允許通過； （ 3） 可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警； （ 4） 可以作為部署 NAT（ Network Address Translation，網(wǎng)絡地址轉換 ） 的一個地點，利用 NAT 技術，將有限的 IP 地址動態(tài)或靜態(tài)地與內部的 IP 地址對應起來，用于緩解 IP 地址空間不足的問題。 防火墻的優(yōu)點 （ 1） 防火墻可以強化網(wǎng)絡安全策略 通過以防火墻為中心的安全方案配置，能將所有安全策略 （ 如口令、加密、身份認證、審計等 ） 配置在防火墻上。防火墻執(zhí)行網(wǎng)絡的安全策略，只允許經(jīng)過許可的、符合規(guī)則的請求通過。 （ 2） 對網(wǎng)絡存取和訪問進行監(jiān)控審計 防火墻可以記錄所有經(jīng)過訪問墻的訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù) 據(jù)。 （ 3） 防止內部信息外泄 通過利用防火墻對內部網(wǎng)絡的劃分，可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。 （ 4） 防火墻是一個安全策略的檢查站 所有進出的信息都必須經(jīng)過防火墻，它成為安全問題的檢查點，拒絕可以的訪問。 防火墻的不足 雖然防火墻具有較多的優(yōu)點，但是它還是存在著一些不足，主要有以下幾個方面： 防火墻技術在網(wǎng)絡安全中的應用研究 19 1） 不能防范惡意的知情者 防火墻可以禁止系統(tǒng)用戶通過網(wǎng)絡連接發(fā)送信息，但是用戶可以將這些信息通過移動硬盤、 U 盤和刻錄光盤等形式帶出去。如果入侵者是內部網(wǎng) 絡的用戶，則防火墻也是無能為力的。 2） 不能防范不通過防火墻的連接 如果信息不通過防火墻進行傳輸，則防火墻也不起作用。例如，內部網(wǎng)絡中的站點通過其它連接方式 （ 如撥號連接 ） 連接外部網(wǎng)絡，則防火墻就沒有辦法阻止入侵者利用撥號入侵。 3） 不能防備全部的威脅 如果是一個很好的防火墻設計方案，則可以防御新的威脅，但是沒有一個防火墻能夠自動防御所有新的威脅。 4） 不能防范病毒 防火墻不能清除網(wǎng)絡上主機上的病毒。 防火墻的架構 防火墻產(chǎn)品的三代體系架構主要為： 第一代架構：主要是以單一 cpu作為整個系統(tǒng)業(yè)務和 管理的核心， cpu有 x8powerpc、 mips 等多類型，產(chǎn)品主要表現(xiàn)形式是 pc 機、工控機、 pcbox 或 riscbox等； 第二代架構：以 np 或 asic 作為業(yè)務處理的主要核心，對一般安全業(yè)務進行加速，嵌入式 cpu 為管理核心，產(chǎn)品主要表現(xiàn)形式為 box 等； 第三代架構： iss（ integrated security system） 集成安全體系架構，以高速安全處理芯片作為業(yè)務處理的主要核心，采用高性能 cpu 發(fā)揮多種安全業(yè)務的高層應用，產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性 能高，各單元及系統(tǒng)更為靈活。 防火墻系統(tǒng)的解決方案 防火墻就如一道墻壁，把內部網(wǎng)絡 （ 也稱私人網(wǎng)絡 ） 和外部網(wǎng)絡 （ 也稱公共網(wǎng)絡 ） 隔離開。起到區(qū)域網(wǎng)絡不同安全區(qū)域的防御性設備的作用，例如：互聯(lián)網(wǎng)絡 （ inter） 與企業(yè)內部網(wǎng)絡 （ intra） 之間，如圖 22 所示。 防火墻技術在網(wǎng)絡安全中的應用研究 20 圖 22 內部網(wǎng)絡和外部網(wǎng)絡 根據(jù)已經(jīng)設置好的安全規(guī)則，決定是允許 （ allow） 或者拒絕 （ deny） 內部網(wǎng)絡和外部網(wǎng)絡的連接，如圖 23 所示。 圖 23 內部網(wǎng)絡與外部網(wǎng)絡的連接 防火墻的發(fā)展歷史 基于功 能的劃分，可劃分為五個階段 第一代防火墻 第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾 （ Packet filter） 技術。下圖 圖 24 表示了防火墻技術的簡單發(fā)展歷史。 圖 24 防火墻技術的發(fā)展歷史 2） 第二 、三代防火墻 1989 年，貝爾實驗室的 Dave Presotto 和 Howard Trickey 推出了第二代防火防火墻技術在網(wǎng)絡安全中的應用研究 21 墻，即電路層防火墻，同時提出了第三代防火墻 —— 應用層防火墻 （ 代理防火墻 ）的初步結構。 3） 第四代防火墻 1992 年， USC 信息科學院的 BobBraden 開發(fā)出了基于動態(tài)包過濾 （ Dynamic packet filter） 技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視 （ Stateful inspection） 技術。 1994 年，以色列的 CheckPoint 公司開發(fā)出了第一個采用這種技術的商業(yè)化的產(chǎn)品。 4） 第五代防火墻 1998 年， NAI 公司推出了一種自適應代理 （ Adaptive proxy） 技術，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。 基于實現(xiàn)方式劃分，可以分為如下四個階段 1） 第一代 防火墻 基于路由器的防火墻，由于多數(shù)路由器中本身就包含有分組過濾功能，故網(wǎng)絡訪問控制可通過路由控制來實現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。 2） 第二代防火墻 用戶化的防火墻，將過濾功能從路由器中獨立出來，并加上審計和告警功能。針對用戶需求，提供模塊化的軟件包，是純軟件產(chǎn)品。 3） 第三代防火墻 建立在通用操作系統(tǒng)上的防火墻，近年來在市場上廣泛使用的就是這一代產(chǎn)品。包括分組過濾和代理功能。第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的。 4） 第四代防火墻 具有安全操作系統(tǒng)的防火墻：具有安 全操作系統(tǒng)的防火墻本身就是一個操作系統(tǒng)，因而在安全性上得到提高。 防火墻各個階段的特點 靜態(tài)包過濾防火墻 靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的 IP 地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，防火墻技術在網(wǎng)絡安全中的應用研究 22 那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個小數(shù)據(jù) 片 （ 數(shù)據(jù)包 ） ，確認符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這 些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。其 中 “ 信息包沖擊 ” 是 攻擊者最常用的攻擊手段：主要是攻擊者 對包過濾防火墻發(fā)出一系列地址被替換成一連串順序 IP 地址的信息包，一旦有一個包通過了防火墻，那么攻擊者停止再發(fā)測試 IP 地址的信息包，用這個成功發(fā)送的地址來偽裝他們所發(fā)出的對內部網(wǎng)有攻擊性的信息。 動態(tài)包過濾防火墻 靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為 “ 包狀態(tài)檢測技術 ” 的動態(tài)設置包過濾規(guī)則。它可以根據(jù)需要動態(tài)的在過濾原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火墻 不同之點在于，它的內外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務的服務器連接。代理服務器型防火墻提供了日志和審記服務。 代理 （ 應用層網(wǎng)關 ） 防火墻 這種防火墻被網(wǎng)絡安全專家認為是最安全的防火墻，主要是因為從內部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達到隱藏內部網(wǎng)結構的作用。由于內外網(wǎng)的計算機對話機會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。 自適應代理防火墻 自適應代理技術是 商業(yè)應用防火墻中實現(xiàn)的一種革命性技