防火墙的现状与发展趋势

防火墙的现状与发展趋势 防火墙的应用现状 1. 防火墙现状概说 附图是一个防火墙典型应用的示意图。 防火墙的功能主要包含以下几个方面:访问控制，如应用ACL进行访问控制;攻击防范，如防止SYN FLOOD等;NAT;VPN;路由;认证和加密; 日志记录; 支持网管等。此外为了保证可靠性，支持双机或多机热备份;为了满足日益增多的语音、视频等需求，对QoS特性的支持和对H.323、SIP 等多种应用 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 的支持也必不可少。 为了满足多样化的组网需求，方便用户组网，同时也降低用户对其他专用设备的需求，减少用户建网成本，防火墙上也常常把其他网络技术结合进来，例如支持DHCP SERVER、DHCP RELAY;支持动态路由，如RIP 、OSPF等;支持拨号、PPPoE等特性;支持广域网口; 支持透明模式(桥模式); 支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动，已经成为新一代防火墙的发展趋势。 但是，目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤，防病毒和IDS等的支持，实际的应用效果并不好。因为在这些功能支持的情况下，过滤会涉及到应用层包分析，对CPU的消耗很大。这些功能的启动，会导致性能急剧下降，本来100M的处理能力，可能会下降到几兆，导致网络严重阻塞甚至瘫痪，失去了防火墙存在的意义。 2. 包过滤防火墙和代理 防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。应用代理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够好。从国外公开的防火墙测试报告来看，代理防火墙性能表现比较差，因此在网络带宽迅猛发展的情况下，已经不能完全满足需要。 此外，有的防火墙支持SOCK代理，这种代理屏蔽了协议本身，只要客户端支持SOCK代理，该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议，如QQ的语音和视频协议，采用其他技术，在NAT情况下很难实现对该协议的支持，但QQ软件本身支持SOCK代理，如果防火墙支持SOCK代理协议，就可以实现对防火墙的穿越。但对于防火墙而言，不参与协议解码，也意味着防火墙对该协议失去了监测能力。 3. 状态检测技术 下面，我们重点讲一下防火墙的状态检测技术。状态检测技术最早是CheckPoint提出的，也就是要监视每个连接发起到结束的全过程。对于部分协议，如FTP、H.323 等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。例如FTP，除了开始要建立命令通道外，还要动态协商数据通道。以PORT方式为例，PORT模式下的工作过程如下: (1) 客户端向服务器21端口发起连 接，建立控制命令通道; (2) 客户端向服务器发出命令，要 求建立数据连接; (3) 客户端打开一个端口; (4) 客户端通过PORT命令，从控 制通道把端口号发给服务器; (5) 服务器向客户端该端口发送一 个主动连接。 从上述过程可以看出，客户端打开的端口号是未知的，所以防火墙必须对FTP控制通道的命令进行解码，从而知道协商后的端口号。然后，防火墙临时打开一个通道，允许服务器连接客户端的这个端口。对于状态防火墙，只需要通过ACL设置，开放该客户端对服务器的21端口连接。但对于以前的简单包过滤防火墙，如果想支持PORT模式，还得对外开放所有的端口，这显然是不安全的。 状态防火墙可以对特定的协议进行解码，因此安全性也比较好。有的防火墙可以对FTP、SMTP 等有害命令进行检测和过滤，但因为在应用层解码分析，处理速度比较慢，为此，有的防火墙采用自适应方式，亦即根据当前防火墙繁忙程度做出判断:如果防火墙忙，则只做基本检测，如FTP，只监测PORT命令，其他有害命令就不检测，因此处理速度很快。 状态防火墙的抗攻击功能，还有一个特色是，当检测到SYN FLOOD攻击时，会启动代理，此时，如果是伪造源IP的会话，因为不能完成三层握手，攻击报文就无法到达服务器，但正常访问的报文仍然可达。 4. 高保障防火墙 防火墙因为软件复杂，实现的功能较多，必须有操作系统支持，操作系统的安全是防火墙安全的基石。1998年，在中国一家机构和美国计算机学会ACM共同举办的国际会议上，我首次提出了高保障防火墙的概念，其核心是防火墙与安全操作系统无缝集成，在防火墙上实现类似B级操作系统的机制，如标记、MAC、 强实体认证等。入关具有入关证，出关具有出关证。建立了防止内部敏感信息泄漏的机制，达到既防外又防内的目标，又实现了传统防火墙的全部功能。不久前，安胜防火墙应运而生，通过了国家权威机构的测评认证，是我国第一个研制成功的高保障防火墙，目前已经在我国31个省市广泛应用。 防火墙的发展趋势 可以预见，未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。 高速 1. 从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS (拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。 应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。 实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。 上面提到，为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)呢,说到底还是因为受现有技术的限制。目前，还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。 这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，存储量很大，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。 2. 多功能化 多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器; 支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要;支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。 3. 安全 未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。