防火墻的技術(shù)精粹

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

    一、傳統(tǒng)的防火墻技術(shù)簡(jiǎn)介

    目前的防火墻無(wú)論從技術(shù)上還是產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā)展階段。第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（Packet filter）技術(shù)。1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 第三代的防火墻準(zhǔn)確來(lái)說(shuō)，是美國(guó)國(guó)防部認(rèn)為第一代和第二代的防火墻的安全性不夠，希望能對(duì)應(yīng)用進(jìn)行檢查，于是出資研制出有名的TIS防火墻套件。第四代防火墻是1992年，USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamic packet filter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（Stateful inspection）技術(shù)。1994年，以色列的CheckPoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻是1998年，NAI公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義。高級(jí)應(yīng)用代理（Advanced Application Proxy）的研究，克服速度和安全性之間的矛盾，可以稱之為第五代防火墻。

    前五代防火墻技術(shù)有一個(gè)共同的特點(diǎn)，就是采用逐一匹配方法，計(jì)算量太大。包過(guò)濾是對(duì)IP包進(jìn)行匹配檢查，狀態(tài)檢測(cè)包過(guò)濾除了對(duì)包進(jìn)行匹配檢查外還要對(duì)狀態(tài)信息進(jìn)行匹配檢查，應(yīng)用代理對(duì)應(yīng)用協(xié)議和應(yīng)用數(shù)據(jù)進(jìn)行匹配檢查。因此，它們都有一個(gè)共同的缺陷，安全性越高，檢查的越多，效率越低。用一個(gè)定律來(lái)描述，就是防火墻的安全性與效率成反比。

    二、傳統(tǒng)防火墻遺留的主要安全問(wèn)題

    沒(méi)有人懷疑防火墻在所有的安全設(shè)備采購(gòu)中占據(jù)第一的位置。但傳統(tǒng)的防火墻并沒(méi)有解決網(wǎng)絡(luò)主要的安全問(wèn)題。目前網(wǎng)絡(luò)安全的三大主要問(wèn)題是，以拒絕訪問(wèn)（DDOS）為主要目的網(wǎng)絡(luò)攻擊，以蠕蟲(chóng)（Worm）為主要代表的病毒傳播，和以垃圾電子郵件（SPAM）為代表的內(nèi)容控制。這三大安全問(wèn)題占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。而這三大問(wèn)題，非智能防火墻都無(wú)能為力。

    根據(jù)2003年美國(guó)聯(lián)邦調(diào)查局（FBI）和計(jì)算機(jī)犯罪調(diào)查機(jī)構(gòu)（CSI）聯(lián)合發(fā)布的報(bào)告，超過(guò)50%的被調(diào)查者承認(rèn)遭受拒絕訪問(wèn)攻擊，80%的被調(diào)查者遭受病毒的攻擊。垃圾電子郵件更猖狂，IDC估計(jì)到2006年，全球每天發(fā)送的垃圾信息將超過(guò)200億條。

    傳統(tǒng)的防火墻能解決上述三大問(wèn)題嗎？答案是否定的。原因有三，一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪問(wèn)控制機(jī)制是一個(gè)簡(jiǎn)單的過(guò)濾機(jī)制。它是一個(gè)簡(jiǎn)單的條件過(guò)濾器，不具有智能功能，無(wú)法解決復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無(wú)法區(qū)分識(shí)別善意和惡意的行為。該特征決定了傳統(tǒng)的防火墻無(wú)法解決惡意的攻擊行為。

    傳統(tǒng)的防火墻廠商主張，這三大問(wèn)題不應(yīng)該由防火墻來(lái)解決。但用戶調(diào)查表明，超過(guò)80％的用戶，主張防火墻幫助他們解決上述三大問(wèn)題。

    三、新一代的智能防火墻

    智能防火墻是相對(duì)傳統(tǒng)的防火墻而言的，顧名思義，更聰明更智能。很多用戶非常接受智能防火墻概念，在他們的眼里，不聰明就是不可靠不安全，找個(gè)不聰明的保鏢，你覺(jué)得安全嗎？傳統(tǒng)的防火墻存在的很多問(wèn)題，用戶往往難以理解。用戶經(jīng)常會(huì)問(wèn)，為什么防火墻不能防止黑客的攻擊？安全專家用記錄的數(shù)據(jù)來(lái)分析，一眼就發(fā)現(xiàn)黑客的攻擊，為什么防火墻不行？原因就是傳統(tǒng)的防火墻是一個(gè)簡(jiǎn)單機(jī)制，機(jī)械的執(zhí)行安全策略。

    智能防火墻從技術(shù)特征上，是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。

    一個(gè)典型的例子可以說(shuō)明智能防火墻對(duì)網(wǎng)絡(luò)安全是多么的重要。傳統(tǒng)的防火墻對(duì)包的檢查，就像對(duì)人的相貌的識(shí)別，采用圖像識(shí)別一樣。把一個(gè)人的相貌轉(zhuǎn)換為圖像，對(duì)圖像的每一個(gè)像素進(jìn)行記憶，然后進(jìn)行匹配檢查。通過(guò)檢查上千萬(wàn)個(gè)像素之后，告訴你，這是誰(shuí)。人不是這樣來(lái)識(shí)別相貌的。人幾乎沒(méi)有計(jì)算就可以實(shí)時(shí)地識(shí)別你是誰(shuí)？這就是智能識(shí)別。智能防火墻無(wú)須海量計(jì)算就可以輕松找到網(wǎng)絡(luò)行為的特征值來(lái)識(shí)別網(wǎng)絡(luò)行為，從而輕松的執(zhí)行訪問(wèn)控制。   

四、智能防火墻的關(guān)鍵技術(shù)

    1、防攻擊技術(shù)

    智能防火墻能智能識(shí)別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊。智能防火墻可以有效地解決SYN Flooding，Land Attack，UDP Flooding，F(xiàn)raggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻擊。防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的流量攻擊。

    2、防掃描技術(shù)

    智能防火墻能智能識(shí)別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對(duì)目前已知的掃描工具如ISS，SSS，NMAP等掃描工具，智能防火墻可以防止被掃描。防掃描技術(shù)還可以有效地解決代表或惡意代碼的惡意掃描攻擊。

    3、防欺騙技術(shù)

    智能防火墻提供基于MAC的訪問(wèn)控制機(jī)制，可以防止MAC欺騙和IP欺騙，支持MAC過(guò)濾，支持IP過(guò)濾。將防火墻的訪問(wèn)控制擴(kuò)展到OSI的第二層。

    4、入侵防御技術(shù)

    智能防火墻為了解決準(zhǔn)許放行包的安全性，對(duì)準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測(cè)，并提供入侵防御保護(hù)。入侵防御技術(shù)采用了多種檢測(cè)技術(shù)，特征檢測(cè)可以準(zhǔn)確檢測(cè)已知的攻擊，特征庫(kù)涵蓋了目前流行的網(wǎng)絡(luò)攻擊；異常檢測(cè)基于對(duì)監(jiān)控網(wǎng)絡(luò)的自學(xué)習(xí)能力，可以有效地檢測(cè)新出現(xiàn)的攻擊;檢測(cè)引擎中還集成了針對(duì)緩沖區(qū)溢出等特定攻擊的檢測(cè)。智能防火墻完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應(yīng)用層攻擊。

    5、包擦洗和協(xié)議正常化技術(shù)

    智能防火墻支持包擦洗技術(shù)，對(duì)IP，TCP，UDP，ICMP等協(xié)議的擦洗，實(shí)現(xiàn)協(xié)議的正?；?，消除潛在的協(xié)議風(fēng)險(xiǎn)和攻擊。這些方法對(duì)消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來(lái)的威脅，效果顯著。

    6、AAA技術(shù)

    IP v4版本的一大缺陷是缺乏身份認(rèn)證功能，所以在IP v6版本中增加了該功能。問(wèn)題是IP v6的推廣尚需時(shí)日，IP v4在相當(dāng)長(zhǎng)一段時(shí)間內(nèi)，還會(huì)繼續(xù)存在。智能防火墻增加了對(duì)IP層的身份認(rèn)證?；谏矸輥?lái)實(shí)現(xiàn)訪問(wèn)控制。

    五、智能防火墻的功能特點(diǎn)

    智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊（DDOS）的問(wèn)題，病毒傳播的問(wèn)題和高級(jí)應(yīng)用入侵的行為，代表著防火墻的主流發(fā)展方向。新一代的智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高，在特權(quán)最小化，系統(tǒng)最小化，內(nèi)核安全，系統(tǒng)加固，系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面，與傳統(tǒng)防火墻相比，有質(zhì)的飛躍。

    智能防火墻執(zhí)行全訪問(wèn)的訪問(wèn)控制，而不是簡(jiǎn)單的進(jìn)行過(guò)濾策略?；趯?duì)行為的識(shí)別，可以根據(jù)什么人、什么時(shí)間、什么地點(diǎn)（網(wǎng)絡(luò)層），什么行為（OSI7層）來(lái)執(zhí)行訪問(wèn)控制，大大增強(qiáng)了防火墻的安全性，更聰明更智能。

    智能防火墻的高可用性也是一大亮點(diǎn)。支持最新的國(guó)際RFC雙機(jī)熱備標(biāo)準(zhǔn)VRRP，支持流量分擔(dān)，支持并行防火墻，支持雙機(jī)容錯(cuò)，支持負(fù)載均衡，支持多出口路由。流量分擔(dān)和并行防火墻技術(shù)，對(duì)實(shí)現(xiàn)線速防火墻具有重大的現(xiàn)實(shí)意義。

    智能防火墻還具有廣泛的應(yīng)用支持。支持內(nèi)核級(jí)的FTP，H.323，IGMP（組播）等特殊應(yīng)用支持，支持基于SNMP的集中網(wǎng)管，支持特殊應(yīng)用網(wǎng)關(guān)定制。

    智能防火墻具備集中網(wǎng)絡(luò)管理平臺(tái)，具備配置管理、性能管理、故障管理、安全管理、審計(jì)管理五大管理域。

    智能防火墻提供網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控功能。支持監(jiān)控防火墻的性能如CPU，內(nèi)存，網(wǎng)絡(luò)和硬盤的使用率等信息。支持監(jiān)控防火墻的狀態(tài)，并實(shí)時(shí)報(bào)警。支持實(shí)時(shí)監(jiān)控，包括性能監(jiān)控、接口流量監(jiān)控等。

    智能防火墻提供對(duì)日志的監(jiān)控，自動(dòng)處理，人工或自動(dòng)導(dǎo)出，數(shù)據(jù)庫(kù)導(dǎo)入，查看，查詢，顯示，報(bào)警等功能。支持條件查詢。

    六、智能防火墻的典型應(yīng)用

    除傳統(tǒng)防火墻的應(yīng)用外，智能防火墻還有以下特殊應(yīng)用場(chǎng)合。

    保護(hù)網(wǎng)絡(luò)和站點(diǎn)免受黑客的攻擊。由于目前眾多的防火墻無(wú)法抵御DDOS的攻擊，使得網(wǎng)站和網(wǎng)絡(luò)頻繁遭受黑客的攻擊。采用智能防火墻，可以有效解決拒絕服務(wù)攻擊。

    阻斷病毒的惡意傳播。智能防火墻可以智能識(shí)別病毒的惡意掃描和流量攻擊，有效切斷惡意病毒的傳播途徑。由于智能防火墻是從流量異常來(lái)判斷病毒的傳播，避免了每一次新病毒的爆發(fā)所帶來(lái)的災(zāi)難。

    有效監(jiān)控和管理內(nèi)部局域網(wǎng)。傳統(tǒng)的防火墻只防外不管內(nèi)，導(dǎo)致內(nèi)部局域網(wǎng)速度慢，惡意病毒和木馬盛行。智能防火墻的防欺騙功能和MAC控制功能，有效發(fā)現(xiàn)內(nèi)部惡意流量，幫助安全管理員來(lái)找到攻擊來(lái)源。

    保護(hù)必需的應(yīng)用安全。智能防火墻的入侵防護(hù)功能，深層的應(yīng)用數(shù)據(jù)檢測(cè)可以有效的發(fā)現(xiàn)對(duì)應(yīng)用的惡意攻擊，并加以制止。

    提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理。對(duì)優(yōu)化進(jìn)行身份鑒別授權(quán)和審計(jì)，是網(wǎng)絡(luò)安全的要素之一，基于人而不是IP進(jìn)行管理，更能有效的進(jìn)行網(wǎng)絡(luò)安全管理。也為網(wǎng)絡(luò)取證提供防抵賴的功能。

    使用并行防火墻來(lái)增加網(wǎng)絡(luò)的高可用性，實(shí)現(xiàn)流量分擔(dān)，負(fù)載均衡，雙機(jī)熱備，實(shí)現(xiàn)線速防火墻。大大降低了系統(tǒng)的成本，而且靈活，保持系統(tǒng)的高安全性。

    來(lái)源：E-WORKS