【文章內(nèi)容簡介】 b 應(yīng)用程序，防范能力不足 網(wǎng)絡(luò)防火墻于 1990 年發(fā)明，而商用的 Web 服務(wù)器，則在一年以后才面世?；跔顟B(tài)檢測的防火墻，其設(shè)計原理，是基于網(wǎng)絡(luò)層 TCP 和 IP 地址，來設(shè)置與加強狀態(tài)訪問控制列表 （ ACLs， Access Control Lists） 。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實十分出色。今年來，實際應(yīng)用過程中， HTTP 是主要的傳輸協(xié)議。主流的平臺供應(yīng)商和大的應(yīng)用程序供應(yīng)商，均已轉(zhuǎn)移到基于 Web 的體系結(jié)構(gòu)，安全防護的目的，不在只是重要的業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)防火墻的防護范圍，也發(fā)生了變化。由于體系結(jié)構(gòu)的原因，即使是最先進的網(wǎng)絡(luò)防火墻，在防范 Web 應(yīng)用程序時，由于無法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流也無法截獲應(yīng)用層的攻擊。由于對正體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會話級別的監(jiān) 控能力，因此很難預(yù)防新的未知的攻擊。 ④ 應(yīng)用防護特征，只適用于簡單情況 目前的數(shù)據(jù)中心服務(wù)器，時常會發(fā)生變動，比如：定期需要部署新的應(yīng)用程序；經(jīng)常需要增加或更新軟件模塊；經(jīng)常會發(fā)現(xiàn)代碼中的 bug，已部署的系統(tǒng)需要定期打補丁。雖然一些先進的網(wǎng)絡(luò)防火墻供應(yīng)商，提出了應(yīng)用防護的特征，但只是適用于簡單的環(huán)境中。細看就會發(fā)現(xiàn)，對于實際的企業(yè)應(yīng)用來說，這些特征存在著局限性。在多數(shù)情況下，彈性概念 （ ProofOfConcept） 的特征無法應(yīng)用于現(xiàn)實生活中的數(shù)據(jù)中心上。比如，有些防火墻供 應(yīng)商，曾經(jīng)聲稱能夠阻止緩存防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究 16 溢出：當黑客在瀏覽器的 URL 中輸入太長數(shù)據(jù)，試圖使用后臺服務(wù)崩潰或使試圖非法訪問的時候，網(wǎng)絡(luò)防火墻能夠檢測并制止這種情況。細看就會發(fā)現(xiàn)，這些供應(yīng)商采用對 80 端口數(shù)據(jù)流中，針對 URL 長度進行控制的方法，來實現(xiàn)這個功能的。如果使用這個規(guī)則，講對所有的應(yīng)用程序生效。如果一個程序或者是一個簡單的 Web 網(wǎng)頁，確實需要涉及到很長的 URL 時，就要屏蔽該規(guī)則。網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)，決定了網(wǎng)絡(luò)防火墻是針對網(wǎng)絡(luò)端口和網(wǎng)絡(luò)層進行操作的，因此很難對應(yīng)用層競選防護，除非是一些很簡單的應(yīng)用程序。 ⑤ 無法擴展帶深度的檢測功能 基于狀態(tài)檢測的網(wǎng)絡(luò)防火墻，如果希望只擴展深度檢測 （ deep inspection）功能，而沒有相應(yīng)增加網(wǎng)絡(luò)性能，這是不行的。真正的針對所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務(wù)，包括以下幾個方面 。SSL 加密 /解密功能；完全的雙向有效負載檢測；確保所有合法流量的正?；粡V泛的協(xié)議性能；這些任務(wù)，在基于標準 PC 硬件上，是無法高效運行的，雖然一些網(wǎng)絡(luò)防火墻供應(yīng)商采用的是基于 ASIC 平臺，但進一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡(luò)的 ASIC 平臺對于新的深度檢測功能是無法支持的。 ⑥ 小結(jié)：應(yīng)用層受到攻擊的概率越來越大，而傳統(tǒng)的網(wǎng)絡(luò)防火墻在這方面有存在著不足之處。對此，少數(shù)防火墻供應(yīng)商也開始意識到應(yīng)用層的威脅，在防火墻產(chǎn)品上增加了一些彈性概念 （ ProofOfConcept） 的特征，試圖防范這些威脅。傳統(tǒng)的網(wǎng)絡(luò)防火墻對于應(yīng)用安全的防范上效果不佳，對于上述出的五大不足之處，將來需要在網(wǎng)絡(luò)層和應(yīng)用層加強防范。 防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究 17 第二章 防火墻概述 防火墻的概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)，如可信任的企業(yè)內(nèi)部網(wǎng)和不可信 的公共網(wǎng) （ 如Inter） 或網(wǎng)絡(luò)安全域之間的一系列部件的組合，如圖 21 所示。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制 （ 允許、拒絕、監(jiān)測 ） 出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 圖 21 防火墻 原理 防火墻的原理 隨著 規(guī)模的擴大和開放性的增強，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網(wǎng)絡(luò)上的每個工作站和服務(wù)器裝備上強大的安全特征 （ 例如入侵檢測 ） ，但這幾乎 是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡(luò)，它們可能運行著不同的操作系統(tǒng)，當發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復(fù)這個缺陷。另一種選擇就是防火墻 （ Firewall） ，防火墻是用來在安全私有網(wǎng)絡(luò) （ 可信任網(wǎng)絡(luò) ） 和外部不可信任網(wǎng)絡(luò)之間安全連接的一個設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞 DMZ 外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。 防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究 18 防火墻的功能及特點 防火墻的功能 防火墻是網(wǎng)絡(luò)安全的一道屏障，它可以作為內(nèi)網(wǎng)和外網(wǎng)之間的一個阻塞點或是控制點，極大地提高了一個內(nèi)部網(wǎng)絡(luò)的安全，并通過過濾不安全的服務(wù)來降低風(fēng)險。只有經(jīng)過其許可的應(yīng)用協(xié)議或服務(wù)才能通過防火墻，因此網(wǎng)絡(luò)環(huán)境將更安全。其功能主要有以下幾種： （ 1） 所有進出網(wǎng)絡(luò)的通信數(shù)據(jù)都必須通過防火墻； （ 2） 所有想穿過防火墻的通信數(shù)據(jù)都必須經(jīng)過安全策略以及計劃的確認和授權(quán)后才允許通過； （ 3） 可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報警； （ 4） 可以作為部署 NAT（ Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換 ） 的一個地點，利用 NAT 技術(shù)，將有限的 IP 地址動態(tài)或靜態(tài)地與內(nèi)部的 IP 地址對應(yīng)起來，用于緩解 IP 地址空間不足的問題。 防火墻的優(yōu)點 （ 1） 防火墻可以強化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置，能將所有安全策略 （ 如口令、加密、身份認證、審計等 ） 配置在防火墻上。防火墻執(zhí)行網(wǎng)絡(luò)的安全策略，只允許經(jīng)過許可的、符合規(guī)則的請求通過。 （ 2） 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計 防火墻可以記錄所有經(jīng)過訪問墻的訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù) 據(jù)。 （ 3） 防止內(nèi)部信息外泄 通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。 （ 4） 防火墻是一個安全策略的檢查站 所有進出的信息都必須經(jīng)過防火墻，它成為安全問題的檢查點，拒絕可以的訪問。 防火墻的不足 雖然防火墻具有較多的優(yōu)點，但是它還是存在著一些不足，主要有以下幾個方面： 防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究 19 1） 不能防范惡意的知情者 防火墻可以禁止系統(tǒng)用戶通過網(wǎng)絡(luò)連接發(fā)送信息，但是用戶可以將這些信息通過移動硬盤、 U 盤和刻錄光盤等形式帶出去。如果入侵者是內(nèi)部網(wǎng) 絡(luò)的用戶，則防火墻也是無能為力的。 2） 不能防范不通過防火墻的連接 如果信息不通過防火墻進行傳輸，則防火墻也不起作用。例如，內(nèi)部網(wǎng)絡(luò)中的站點通過其它連接方式 （ 如撥號連接 ） 連接外部網(wǎng)絡(luò)，則防火墻就沒有辦法阻止入侵者利用撥號入侵。 3） 不能防備全部的威脅 如果是一個很好的防火墻設(shè)計方案，則可以防御新的威脅，但是沒有一個防火墻能夠自動防御所有新的威脅。 4） 不能防范病毒 防火墻不能清除網(wǎng)絡(luò)上主機上的病毒。 防火墻的架構(gòu) 防火墻產(chǎn)品的三代體系架構(gòu)主要為： 第一代架構(gòu)：主要是以單一 cpu作為整個系統(tǒng)業(yè)務(wù)和 管理的核心， cpu有 x8powerpc、 mips 等多類型，產(chǎn)品主要表現(xiàn)形式是 pc 機、工控機、 pcbox 或 riscbox等； 第二代架構(gòu)：以 np 或 asic 作為業(yè)務(wù)處理的主要核心，對一般安全業(yè)務(wù)進行加速，嵌入式 cpu 為管理核心，產(chǎn)品主要表現(xiàn)形式為 box 等； 第三代架構(gòu)： iss（ integrated security system） 集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能 cpu 發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設(shè)備，容量大性 能高，各單元及系統(tǒng)更為靈活。 防火墻系統(tǒng)的解決方案 防火墻就如一道墻壁，把內(nèi)部網(wǎng)絡(luò) （ 也稱私人網(wǎng)絡(luò) ） 和外部網(wǎng)絡(luò) （ 也稱公共網(wǎng)絡(luò) ） 隔離開。起到區(qū)域網(wǎng)絡(luò)不同安全區(qū)域的防御性設(shè)備的作用，例如：互聯(lián)網(wǎng)絡(luò) （ inter） 與企業(yè)內(nèi)部網(wǎng)絡(luò) （ intra） 之間，如圖 22 所示。 防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究 20 圖 22 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò) 根據(jù)已經(jīng)設(shè)置好的安全規(guī)則，決定是允許 （ allow） 或者拒絕 （ deny） 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，如圖 23 所示。 圖 23 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接 防火墻的發(fā)展歷史 基于功 能的劃分，可劃分為五個階段 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾 （ Packet filter） 技術(shù)。下圖 圖 24 表示了防火墻技術(shù)的簡單發(fā)展歷史。 圖 24 防火墻技術(shù)的發(fā)展歷史 2） 第二 、三代防火墻 1989 年，貝爾實驗室的 Dave Presotto 和 Howard Trickey 推出了第二代防火防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究 21 墻，即電路層防火墻，同時提出了第三代防火墻 —— 應(yīng)用層防火墻 （ 代理防火墻 ）的初步結(jié)構(gòu)。 3） 第四代防火墻 1992 年， USC 信息科學(xué)院的 BobBraden 開發(fā)出了基于動態(tài)包過濾 （ Dynamic packet filter） 技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視 （ Stateful inspection） 技術(shù)。 1994 年，以色列的 CheckPoint 公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。 4） 第五代防火墻 1998 年， NAI 公司推出了一種自適應(yīng)代理 （ Adaptive proxy） 技術(shù)，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。 基于實現(xiàn)方式劃分，可以分為如下四個階段 1） 第一代 防火墻 基于路由器的防火墻，由于多數(shù)路由器中本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可通過路由控制來實現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。 2） 第二代防火墻 用戶化的防火墻，將過濾功能從路由器中獨立出來，并加上審計和告警功能。針對用戶需求，提供模塊化的軟件包，是純軟件產(chǎn)品。 3） 第三代防火墻 建立在通用操作系統(tǒng)上的防火墻，近年來在市場上廣泛使用的就是這一代產(chǎn)品。包括分組過濾和代理功能。第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的。 4） 第四代防火墻 具有安全操作系統(tǒng)的防火墻：具有安 全操作系統(tǒng)的防火墻本身就是一個操作系統(tǒng)，因而在安全性上得到提高。 防火墻各個階段的特點 靜態(tài)包過濾防火墻 靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的 IP 地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究 22 那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個小數(shù)據(jù) 片 （ 數(shù)據(jù)包 ） ，確認符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這 些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。其 中 “ 信息包沖擊 ” 是 攻擊者最常用的攻擊手段：主要是攻擊者 對包過濾防火墻發(fā)出一系列地址被替換成一連串順序 IP 地址的信息包，一旦有一個包通過了防火墻，那么攻擊者停止再發(fā)測試 IP 地址的信息包，用這個成功發(fā)送的地址來偽裝他們所發(fā)出的對內(nèi)部網(wǎng)有攻擊性的信息。 動態(tài)包過濾防火墻 靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為 “ 包狀態(tài)檢測技術(shù) ” 的動態(tài)設(shè)置包過濾規(guī)則。它可以根據(jù)需要動態(tài)的在過濾原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過濾防火墻 不同之點在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。 代理 （ 應(yīng)用層網(wǎng)關(guān) ） 防火墻 這種防火墻被網(wǎng)絡(luò)安全專家認為是最安全的防火墻，主要是因為從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。由于內(nèi)外網(wǎng)的計算機對話機會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。 自適應(yīng)代理防火墻 自適應(yīng)代理技術(shù)是 商業(yè)應(yīng)用防火墻中實現(xiàn)的一種革命性技