图2-4
2、 透明的访问方式。以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
3、 灵活的代理系统。代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
4、多级过滤技术。为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
5、网络地址转换技术。第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
6、Internet网关技术[5]。由于是直接串联在网络之中,第四代防火墙必须支持用户Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
7、安全服务器网络(SSN) 。为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)
- 6 -
技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
8、用户鉴别与加密。为了减低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
9、 用户定制服务。为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。
10、审计和告警。第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。 (二) 第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。 1、安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:
(1)取消危险的系统调用; (2)限制命令的执行权限; (3)取消IP的转发功能; (4)检查每个分组的接口; (5)采用随机连接序号; (6)驻留分组过滤模块; (7)取消动态路由功能; (8)采用多个安全内核。 2、代理系统的建立
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。
在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组: (1)源地址; (2)目的地址; (3)时间;
(4)同类服务器的最大数量。
- 7 -
所有外部网络到防火墙内部或SSN的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。
所有从内部网络SSN通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络SSN的连接。 3、分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。 (1)进站接口; (2)出站接口; (3)允许的连接; (4)源端口范围; (5)源地址;
(6)目的端口的范围等。
对每一种参数的处理都充分体现设计原则和安全政策。 4、 安全服务器的设计
安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:
(1)解决分组过滤器与SSN的连接; (2)支持通过防火墙对SSN的访问; (3)支持代理服务。 5、 鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(Crypto Card);另一种是Secure ID,这两种都是一次性口令的生成工具。
五、小结
通过表2-1我们可以看出从第一代分组过滤防火墙到最新的将网关与安全系统合二为一的第四代防火墙,防火墙的技术发展日趋成熟,从最当初的依赖于路 由器的分组过滤技术,到第四代防火墙的防火墙独立化,安全策略也呈现多样化和全面化,但是我们可以看出尽管到了第四代防火墙,依然只是对端口和协议进行控制即网络层控制。日新月异的互联网技术和网络威胁,例如:木马、蠕虫等 等都是发生在应用层而并非网络层,让传统防火墙鞭长莫及。同时,传统防火墙
- 8 -
表2-1 第一代防火墙 特点及实现方式 通过路由器的自身分组功能对地址、端口、IP和网络特征进行过滤 缺陷 路由器:提供动态网络访问 防火墙:对网络实施静态控制 两者相互相矛盾 把路由器的分组过滤功能独立出来,开发出的防配置维护复杂,由于是纯软件防火墙,差错频发 第二代防火墙 火墙系统。实现方式在一代的基础上多了警告和审计功能,手动构造自己的防火墙 建立在操作系统上,延续分组过滤技术,同时出操作系统的源码保密,即使防火墙能有效阻止外部网络攻击,但操作系统的缺陷和操作系统厂商的攻击却束手无策 网络地址转换可以保障内部网络的安全,但它也是一些局限。而且内网可以利用现流传比较广泛的木马程序可以通过网络地址转换做外部连接 第三代防火墙 现了代理系统监控所有协议数据和指令,应用网关、电路级网关及加密鉴别等技术。 将网关与安全系统合二为一;多端口并具有地址转换外部无法甄别内部网络;多级过滤,能过滤第四代防火墙 假冒IP和源路由分组,监测所有Internet通用服务;同时还有Internet网关、安全服务器网络、用户鉴别与加密、用户定制服务、审计和告警、网络诊断、数据备份等技术 无法对应用、业务和用户完全识别并加以控制,其次Web2.0时代的新型威胁更多依赖僵尸网络和面向应用的复杂行为,企业必须依赖其他产品的部署以局部缓解现有问题。再次,传统防火墙无法对网络互连及业务流量进行智能化的细粒度控制和优化。企业需要在可选接入链路之间自动切换或自由组合;需要能根据业务的优先级,高效实现链路的失效备援机制;需要识别应用、用户、群组、网络或链路状态,以实现组合和优化。最后,面对分布式的网络环境,传统防火墙没有相应的策略管理和控制,导致运维成本比较高。所以传统防火墙的功能和应对策略面对新兴网络环境已经有所缺失。
第三章 防火墙技术的发展展望
随着以应用为主时代的来临,企业所采用的技术以及面临的威胁都促使了网络安全新要求的产生。Gartner统计(图3-1)表明高达3/4的网络威胁是木马,木马是基于应用层而非网络层的,而防火墙却依然如故,基于端口/协议的防御
[6]
方式已经无力招架应用环境下的多变威胁。因此,需恢复防火墙中对应用程序的可视性与控制性,Gartner所称之“下一代防火墙”开始崭露头角。
近日,梭子鱼正式在中国市场发布其2011年度的重量级产品——梭子鱼下一代防火墙。ZOL记者第一时间采访到了梭子鱼中国区总经理何平以及梭子鱼中国区技术总监谷新。
- 9 -