本文關(guān)鍵詞：防火墻技術(shù)的發(fā)展，由筆耕文化傳播整理發(fā)布。

　　一、當(dāng)前防火墻技術(shù)分類(lèi)

　　防火墻技術(shù)經(jīng)歷了包過(guò)濾、應(yīng)用代理網(wǎng)關(guān)、再到狀態(tài)檢測(cè)三個(gè)階段。

　　1.1 包過(guò)濾技術(shù)

　　包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，對(duì)數(shù)據(jù)包的源及目地IP具有識(shí)別和控制作用，對(duì)于傳輸層，也只能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息，如下圖所示�，F(xiàn)在的路由器、Switch Router以及某些操作系統(tǒng)已經(jīng)具有用Packet Filter控制的能力。

　　由于只對(duì)數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進(jìn)行分析，包過(guò)濾防火墻的處理速度較快，并且易于配置。

　　包過(guò)濾防火墻具有根本的缺陷：

　　1．不能防范黑客攻擊。包過(guò)濾防火墻的工作基于一個(gè)前提，就是網(wǎng)管知道哪些IP是可信網(wǎng)絡(luò)，哪些是不可信網(wǎng)絡(luò)的IP地址。但是隨著遠(yuǎn)程辦公等新應(yīng)用的出現(xiàn)，網(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限，對(duì)于黑客來(lái)說(shuō)，只需將源IP包改成合法IP即可輕松通過(guò)包過(guò)濾防火墻，進(jìn)入內(nèi)網(wǎng)，而任何一個(gè)初級(jí)水平的黑客都能進(jìn)行IP地址欺騙。

　　2．不支持應(yīng)用層協(xié)議。假如內(nèi)網(wǎng)用戶(hù)提出這樣一個(gè)需求，只允許內(nèi)網(wǎng)員工訪問(wèn)外網(wǎng)的網(wǎng)頁(yè)（使用HTTP協(xié)議），不允許去外網(wǎng)下載電影（一般使用FTP協(xié)議）。包過(guò)濾防火墻無(wú)能為力，因?yàn)樗徽J(rèn)識(shí)數(shù)據(jù)包中的應(yīng)用層協(xié)議，訪問(wèn)控制粒度太粗糙。

　　3．不能處理新的安全威脅。它不能跟蹤TCP狀態(tài)，所以對(duì)TCP層的控制有漏洞。如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問(wèn)時(shí)，一些以TCP應(yīng)答包的形式從外部對(duì)內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿透防火墻。

　　綜上可見(jiàn)，包過(guò)濾防火墻技術(shù)面太過(guò)初級(jí)，就好比一位保安只能根據(jù)訪客來(lái)自哪個(gè)省市來(lái)判斷是否允許他（她）進(jìn)入一樣，難以履行保護(hù)內(nèi)網(wǎng)安全的職責(zé)。

　　1.2 應(yīng)用代理網(wǎng)關(guān)技術(shù)

　　應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶(hù)對(duì)外網(wǎng)的訪問(wèn)變成防火墻對(duì)外網(wǎng)的訪問(wèn)，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶(hù)。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問(wèn)者任何時(shí)候都不能與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過(guò)程必須符合代理的安全策略要求。

　　應(yīng)用代理網(wǎng)關(guān)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)。

　　缺點(diǎn)也非常突出，主要有：

　　· 難于配置。由于每個(gè)應(yīng)用都要求單獨(dú)的代理進(jìn)程，這就要求網(wǎng)管能理解每項(xiàng)應(yīng)用協(xié)議的弱點(diǎn)，并能合理的配置安全策略，由于配置繁瑣，難于理解，容易出現(xiàn)配置失誤，最終影響內(nèi)網(wǎng)的安全防范能力。

　　· 處理速度非常慢。斷掉所有的連接，由防火墻重新建立連接，理論上可以使應(yīng)用代理防火墻具有極高的安全性。但是實(shí)際應(yīng)用中并不可行，因?yàn)閷?duì)于內(nèi)網(wǎng)的每個(gè)Web訪問(wèn)請(qǐng)求，應(yīng)用代理都需要開(kāi)一個(gè)單獨(dú)的代理進(jìn)程，它要保護(hù)內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、郵件服務(wù)器，及業(yè)務(wù)程序等，就需要建立一個(gè)個(gè)的服務(wù)代理，以處理客戶(hù)端的訪問(wèn)請(qǐng)求。這樣，應(yīng)用代理的處理延遲會(huì)很大，內(nèi)網(wǎng)用戶(hù)的正常Web訪問(wèn)不能及時(shí)得到響應(yīng)。

　　總之，應(yīng)用代理防火墻不能支持大規(guī)模的并發(fā)連接，在對(duì)速度敏感的行業(yè)使用這類(lèi)防火墻時(shí)簡(jiǎn)直是災(zāi)難。另外，防火墻核心要求預(yù)先內(nèi)置一些已知應(yīng)用程序的代理，使得一些新出現(xiàn)的應(yīng)用在代理防火墻內(nèi)被無(wú)情地阻斷，不能很好地支持新應(yīng)用。

　　在IT領(lǐng)域中，新應(yīng)用、新技術(shù)、新協(xié)議層出不窮，代理防火墻很難適應(yīng)這種局面。因此，在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中，代理防火墻正被逐漸疏遠(yuǎn)。

　　但是，自適應(yīng)代理技術(shù)的出現(xiàn)讓?xiě)?yīng)用代理防火墻技術(shù)出現(xiàn)了新的轉(zhuǎn)機(jī)，它結(jié)合了代理防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了10倍。

　　1.3 狀態(tài)檢測(cè)技術(shù)

　　我們知道，Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議，根據(jù)TCP協(xié)議，每個(gè)可靠連接的建立需要經(jīng)過(guò)“客戶(hù)端同步請(qǐng)求”、“服務(wù)器應(yīng)答”、“客戶(hù)端再應(yīng)答”三個(gè)階段，我們最常用到的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過(guò)這三個(gè)階段。這反映出數(shù)據(jù)包并不是獨(dú)立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測(cè)技術(shù)。

　　狀態(tài)檢測(cè)防火墻摒棄了包過(guò)濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)監(jiān)測(cè)對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力。

　　網(wǎng)關(guān)防火墻的一個(gè)挑戰(zhàn)就是能處理的流量，狀態(tài)檢測(cè)技術(shù)在大為提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度。狀態(tài)監(jiān)測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類(lèi)網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

　　任何一款高性能的防火墻，都會(huì)采用狀態(tài)檢測(cè)技術(shù)。

　　從2000年開(kāi)始，國(guó)內(nèi)的著名防火墻公司，如北京天融信等公司，都開(kāi)始采用這一最新的體系架構(gòu)，并在此基礎(chǔ)上，天融信NGFW4000創(chuàng)新推出了核檢測(cè)技術(shù)，在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)議，在內(nèi)核實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議的過(guò)濾，在實(shí)現(xiàn)安全目標(biāo)的同時(shí)可以得到極高的性能。目前支持的協(xié)議有HTTP/1.0/1.1、FTP、SMTP、POP3、MMS、H.232等最新和最常用的應(yīng)用協(xié)議。

　　二、防火墻發(fā)展的新技術(shù)趨勢(shì)

　　2.1 新需求引發(fā)的技術(shù)走向

　　防火墻技術(shù)的發(fā)展離不開(kāi)社會(huì)需求的變化，著眼未來(lái)，我們注意到以下幾個(gè)新的需求。

　　· 遠(yuǎn)程辦公的增長(zhǎng)。這次全國(guó)主要城市先后受到SARS病毒的侵襲，直接促成大量的企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠(yuǎn)程訪問(wèn)，做到更細(xì)粒度的訪問(wèn)控制�，F(xiàn)在一些廠商推出的VPN（虛擬專(zhuān)用網(wǎng)）技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過(guò)防火墻，這樣可以確保信息的保密性，又能成為識(shí)別入侵行為的手段。

　　· 內(nèi)部網(wǎng)絡(luò)“包廂化”（compartmentalizing）。人們通常認(rèn)為處在防火墻保護(hù)下的內(nèi)網(wǎng)是可信的，只有Internet是不可信的。由于黑客攻擊技術(shù)和工具在Internet上隨手可及，使得內(nèi)部網(wǎng)絡(luò)的潛在威脅大大增加，這種威脅既可以是外網(wǎng)的人員，也可能是內(nèi)網(wǎng)用戶(hù)，不再存在一個(gè)可信網(wǎng)絡(luò)環(huán)境。

　　由于無(wú)線網(wǎng)絡(luò)的快速應(yīng)用以及傳統(tǒng)撥號(hào)方式的繼續(xù)存在，內(nèi)網(wǎng)受到了前所未有的威脅。企業(yè)之前的合作將合作伙伴納入了企業(yè)網(wǎng)絡(luò)里，全國(guó)各地的分支機(jī)構(gòu)共享一個(gè)論壇，都使可信網(wǎng)絡(luò)的概念變得模糊起來(lái)。應(yīng)對(duì)的辦法就是將內(nèi)部網(wǎng)細(xì)分成一間間的“包廂”，對(duì)每個(gè)“包廂”實(shí)施獨(dú)立的安全策略。

　　2.2 黑客攻擊引發(fā)的技術(shù)走向

　　防火墻作為內(nèi)網(wǎng)的貼身保鏢，黑客攻擊的特點(diǎn)也決定了防火墻的技術(shù)走向。

　　 80端口的關(guān)閉。從受攻擊的協(xié)議和端口來(lái)看，排在第一位的就是HTTP協(xié)議（80端口）。如下圖所示。

　　 資料來(lái)源：

　　根據(jù)SANS的調(diào)查顯示，提供HTTP服務(wù)的IIS和Apache是最易受到攻擊，這說(shuō)明80端口所引發(fā)的威脅最多。

　　因此，無(wú)論是未來(lái)的防火墻技術(shù)還是現(xiàn)在應(yīng)用的防火墻產(chǎn)品，都應(yīng)盡可能將80端口關(guān)閉。

　　· 數(shù)據(jù)包的深度檢測(cè)。IT業(yè)界權(quán)威機(jī)構(gòu)Gartner認(rèn)為代理不是阻止未來(lái)黑客攻擊的關(guān)鍵，但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為，包檢測(cè)的技術(shù)方案需要增加簽名檢測(cè)(signature inspection)等新的功能，以查找已經(jīng)的攻擊，并分辨出哪些是正常的數(shù)據(jù)流，哪些是異常數(shù)據(jù)流。

　　· 協(xié)同性。從黑客攻擊事件分析，對(duì)外提供Web等應(yīng)用的服務(wù)器是防護(hù)的重點(diǎn)。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒檢測(cè)技術(shù)有效協(xié)同，共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。早在2000年，北京天融信公司就已經(jīng)認(rèn)識(shí)到了協(xié)同的必要性和緊迫性，推出了TOPSEC協(xié)議，與IDS等其他安全設(shè)備聯(lián)動(dòng)，與其他安全設(shè)備配合組成一個(gè)有機(jī)的可擴(kuò)展的安全體系平臺(tái)。目前主要支持和IDS的聯(lián)動(dòng)和認(rèn)證服務(wù)器進(jìn)行聯(lián)動(dòng)。如支持國(guó)內(nèi)十幾家知名的IDS、安全管理系統(tǒng)、安全審計(jì)、其他認(rèn)證系統(tǒng)等等組成完整的TOPSEC解決方案。2002年9月，北電、思科和Check Point一道宣布共同推出安全產(chǎn)品，也體現(xiàn)了廠商之間優(yōu)勢(shì)互補(bǔ)、互通有無(wú)的趨勢(shì)。

　　

【責(zé)任編輯：黃雪峰】

【責(zé)任編輯 黃雪峰】

  本文關(guān)鍵詞：防火墻技術(shù)的發(fā)展，由筆耕文化傳播整理發(fā)布。