基礎知識 Internet防火牆技術綜述 (1)
作者:Hacker 來源:賽迪網安全社區 發佈時間:2006.11.16
http://big5.ccidnet.com:89/gate/big5/security.c...0061115/950865_1.html隨著Internet的迅猛發展,安全性已經成為網路互聯技術中最關鍵的問題。本文全面介紹了Internet防火牆技術與產品的發展歷程;詳細剖析了第四代防火牆的功能特色、關鍵技術、實現方法及抗攻擊能力;同時簡要描述了Internet防火牆技術的發展趨勢。
1. 引言
防火牆技術是建立在現代通信網路技術和資訊安全技術基礎上的應用性安全技術,越來越多地應用於專用網路與公用網路的互連環境之中,尤以Internet網路為最甚。Internet的迅猛發展,使得防火牆產品在短短的幾年內異軍突起,很快形成了一個產業:1995年,剛剛面市的防火牆技術產品市場量還不到1萬套;到1996年底,就猛增到10萬套;據國際權威商業調查機構的預測,防火牆市場將以173%的複合增長率增長,今年底將達到150萬套,市場營業額將從1995年的1.6億美元上升到今年的9.8億美元。
為了更加全面地了解Internet防火牆及其發展過程,特別是第四代防火牆的技術特色,我們非常有必要從產品和技術角度對防火牆技術的發展演變做一個詳細的考察。
2. Internet防火牆技術簡介
防火牆原是指建築物大廈用來防止火災蔓延的隔斷墻。從理論上講,Internet防火牆服務也屬於類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網路內部。而事實上,防火牆並不像現實生活中的防火牆,它有點像古代守護城池用的護城河,服務於以下多個目的:
1)限定人們從一個特定的控制點進入;
2)限定人們從一個特定的點離開;
3)防止侵入者接近你的其他防禦設施;
4)有效地阻止破壞者對你的電腦系統進行破壞。
在現實生活中,Internet防火牆常常被安裝在受保護的內部網路上並接入Internet。
從上圖不難看出,所有來自Internet的傳輸資訊或你發出的資訊都必須經過防火牆。這樣,防火牆就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行資訊交換等安全的作用。從邏輯上講,防火牆是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那麼,防火牆究竟是什麼呢?實際上,防火牆是加強Internet(內部網)之間安全防禦的一個或一組系統,它由一組硬體設備(包括路由器、伺服器)及相應軟體構成。
3. 防火牆技術與產品發展的回顧
防火牆是網路安全策略的有機組成部分,它通過控制和監測網路之間的資訊交換和訪問行為來實現對網路安全的有效管理。從總體上看,防火牆應該具有以下五大基本功能:
●過濾進、出網路的數據;
●管理進、出網路的訪問行為;
●封堵某些禁止行為;
●記錄通過防火牆的資訊內容和活動;
●對網路攻擊進行檢測和告警。
為實現以上功能,在防火牆產品的開發中,人們廣泛地應用了網路拓撲、電腦作業系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火牆近年來的發展,可以將其劃分為如下四個階段(即四代)。
3.1 基於路由器的防火牆
由於多數路由器本身就包含有分組過濾功能,故網路訪問控制可能通過路控制來實現,從而使具有分組過濾功能的路由器成為第一代防火牆產品。第一代防火牆產品的特點是:
1)利用路由器本身對分組的解析,以訪問控製表(Access List)方式實現對分組的過濾;
2)過濾判斷的依據可以是:地址、端口號、IP旗標及其他網路特徵;
3)只有分組過濾的功能,且防火牆與路由器是一體的。這樣,對安全要求低的網路可以採用路由器附帶防火牆功能的方法,而對安全性要求高的網路則需要單獨利用一台路由器作為防火牆。
第一代防火牆產品的不足之處十分明顯,具體表現為:
●路由協議十分靈活,本身具有安全漏洞,外部網路要探尋內部網路十分容易。例如,在使用FTP協議時,外部伺服器容易從20號端口上與內部網相連,即使在路由器上設置了過濾規則,內部網路的20號端口仍可以由外部探尋。
●路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分複雜,它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性,一般的網路系統管理員難於勝任,加之一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來很多錯誤。
●路由器防火牆的最大隱患是:攻擊者可以“假冒”地址。由於資訊在網路上是以明文方式傳送的,駭客(Hacker)可以在網路上偽造假的路由資訊欺騙防火牆。
●路由器防火牆的本質缺陷是:由於路由器的主要功能是為網路訪問提供動態的、靈活的路由,而防火牆則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火牆的規則設置會大大降低路由器的性能。
可以說基於路由器的防火牆技術只是網路安全的一種應急措施,用這種權宜之計去對付駭客的攻擊是十分危險的。
3.2 用戶化的防火牆工具套
為了彌補路由器防火牆的不足,很多大型用戶紛紛要求以專門開發的防火牆系統來保護自己的網路,從而推動了用戶防火牆工具套的出現。
作為第二代防火牆產品,用戶化的防火牆工具套具有以下特徵:
1)將過濾功能從路由器中獨立出來,並加上審計和告警功能;
2)針對用戶需求,提供模組化的套裝軟體;
3)軟體可以通過網路發送,用戶可以自己動手構造防火牆;
4)與第一代防火牆相比,安全性提高了,價格也降低了。
由於是純軟體產品,第二代防火牆產品無論在實現上還是在維護上都對系統管理員提出了相當複雜的要求,並帶來以下問題:
配置和維護過程複雜、費時;
對用戶的技術要求高;
全軟體實現,使用中出現差錯的情況很多。
3.3 建立在通用作業系統上的防火牆
基於軟體的防火牆在銷售、使用和維護上的問題迫使防火牆開發商很快推出了建立在通用作業系統上的商用防火牆產品。近年來市場上廣泛使用的就是這一代產品,它們具有如下一些特點:
1)是批量上市的專用防火牆產品;
2)包括分組過濾或者借用路由器的分組過濾功能;
3)裝有專用的代理系統,監控所有協議的數據和指令;
4)保護用戶編程空間和用戶可配置內核參數的設置;
5)安全性和速度大大提高。
第三代防火牆有以純軟體實現的,也有以硬體方式實現的,它們已經得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延,仍表現出不少問題,比如:
1)作為基礎的作業系統及其內核往往不為防火牆管理者所知,由於源碼的保密,其安全性無從保證;
2)由於大多數防火牆廠商並非通用作業系統的廠商,通用作業系統廠商不會對作業系統的安全性負責;3)從本質上看,第三代防火牆既要防止來自外部網路的攻擊,還要防止來自作業系統廠商的攻擊;
4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能;
5)透明性好,易於使用。
4. 第四代防火牆的主要技術及功能
第四代防火牆產品將網關與安全系統合二為一,具有以下技術功能。
4.1 雙端口或三端口的結構
新一代防火牆產品具有兩個或三個獨立的網卡,內外兩個網卡可不做IP轉化而串接于內部與外部之間,另一個網卡可專用於對伺服器的安全保護。
4.2 透明的訪問方式
以前的防火牆在訪問方式上要麼要求用戶做系統登錄,要麼需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火牆利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。
4.3 靈活的代理系統
代理系統是一種將資訊從防火牆的一側傳送到另一側的軟體模組,第四代防火牆採用了兩種代理機制:一種用於代理從內部網路到外部網路的連接;另一種用於代理從外部網路到內部網路的連接。前者採用網路地址轉接(NIT)技術來解決,後者採用非保密的用戶定制代理或保密的代理系統技術來解決。
4.4 多級過濾技術
為保證系統的安全性和防護水準,第四代防火牆採用了三級過濾措施,並輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,並對服務的通行實行嚴格控制。
4.5 網路地址轉換技術
第四代防火牆利用NAT技術能透明地對所有內部地址做轉換,使得外部網路無法了解內部網路的內部結構,同時允許內部網路使用自己編的IP源地址和專用網路,防火牆能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
4.6 Internet網關技術
由於是直接串聯在網路之中,第四代防火牆必須支援用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用伺服器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保伺服器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。
在域名服務方面,第四代防火牆採用兩種獨立的域名伺服器:一種是內部DNS伺服器,主要處理內部網路和DNS資訊;另一種是外部DNS伺服器,專門用於處理機構內部向Internet提供的部分DNS資訊。
在匿名FTP方面,伺服器只提供對有限的受保護的部分目錄的只讀訪問。在WWW伺服器中,只支援靜態的網頁,而不允許圖形或CGI代碼等在防火牆內運行。在Finger伺服器中,對外部訪問,防火牆只提供可由內部用戶配置的基本的文本資訊,而不提供任何與攻擊有關的系統資訊。SMTP與POP郵件伺服器要對所有進、出防火牆的郵件做處理,並利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident伺服器對用戶連接的識別做專門處理,網路新聞服務則為接收來自ISP的新聞開設了專門的磁片空間。
4.7 安全伺服器網路(SSN)
為了適應越來越多的用戶向Internet上提供服務時對伺服器的需要,第四代防火牆採用分別保護的策略對用戶上網的對外伺服器實施保護,它利用一張網卡將對外伺服器作為一個獨立網路處理,對外伺服器既是內部網路的一部分,又與內部網關完全隔離,這就是安全伺服器網路(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Tnlnet等方式從內部網上管理。
