在人们建筑和使用木制结构房屋的时候,为了使“城门失火”不致“殃及池鱼”,将坚固的石块堆砌在房屋周围作为屏障进一步防止火灾的发生和蔓延,这种防护构筑物被称之为防火墙。在今日的信息世界里,人们借助了这个概念,使用防火墙来保护敏感的数据不被窃取和篡改,不过这些防火墙是由先进的计算机硬件或软件系统构成的。
简单的说,防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。 防火墙通常是运行在一台单独计算机之上的一个特别的服务软件,用来保护由许多台计算机组成的内部网络,它使企业的网络规划清晰明了,它可以识别并屏蔽非法请求,有效防止跨越权限的数据访问。它既可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息交换。防火墙保护着内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。企业在把公司的局域网联入Internet时,肯定不希望让全世界的人随意翻阅公司内部的工资单、个人资料或是客户数据库。即使在公司内部,同样也存在这种数据非法存取的可能性。例如一些对公司不满的员工可能会修改工资表和财务报告。而在设置了防火墙以后,就可以对网络数据的流动实现有效地管理:允许公司内部员工使用电子邮件、进行Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门之间互相访问,将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。 防火墙产品是当前网络安全产品线中最为琳琅满目的一种,仅在美国1995年发货量便在10万套, 年均增长率为173%,而防火墙的价格却在不断下跌,由1995年的平均单价1.6万美元降至2000年的几千美元,但由于市场销量剧增,因此其销售额仍然会有大幅度的增长。 防火墙应具备的基本功能 在市场上,防火墙的售价极为悬殊,从几万元到数十万元,甚至到百万元。因为各企业用户使用的安全程度不尽相同,因此厂商所推出的产品也有所区分,甚至有些公司还推出类似模块化的功能产品,以符合各种不同企业的安全要求。 当一个企业或组织决定采用防火墙来实施保卫自己内部网络的安全策略之后,下一步要做的事情就是选择一个安全、实惠、合适的防火墙。那么面对种类如此繁多的防火墙产品,用户应该如何进行取舍呢? 防火墙系统可以说是网络的第一道防线,因此一个企业在决定使用防火墙保护内部网络的安全时,它首先需要了解一个防火墙系统应具备的基本功能,这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能: 防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许,否则就禁止”; 防火墙本身支持安全策略,而不是添加上去的; 如果组织机构的安全策略发生改变,可以加入新的服务; 有先进的认证手段或有挂钩程序,可以安装先进的认证方法; 如果需要,可以运用过滤技术允许和禁止服务; 可以使用FTP和Telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上; 拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。 如果用户需要NNTP(网络消息传输协议)、XWindow、HTTP和Gopher等服务,防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能,以减少SMTP服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问,应把信息服务器和其他内部服务器分开。 防火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。此外,为了使日志具有可读性,防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证,设计尽量简单,以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。 正像前面提到的那样,Internet每时每刻都在发生着变化,新的易攻击点随时可能会产生。当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的可适应性是很重要的。 防火墙几种形式的不同特点 当挑选防火墙时,必须理解防火墙的工作方式才能评估它是否能够真正满足自己的需要。为了找出适合用户所在组织的最佳防火墙产品,用户必须将自己的需求映射到特定的防火墙类型上。一旦你挑选了正确的体系,琳琅满目的防火墙产品也就变得不再令人眼花缭乱了。防火墙有许多种形式,有的以软件形式运行在普通计算机之上,有的以硬件形式单独实现,也有的以固件形式设计在路由器之中。总的来说防火墙分为三种:包过滤防火墙、应用级网关和状态监视器。 包过滤防火墙 在Internet这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上Internet时,路由器会读取接收者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包中的IP地址,并按照系统管理员所给定的过滤规则进行过滤。如果防火墙设定某一IP地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。 包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常作为第一道防线。包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”和“同步风暴”便是黑客用于攻击包过滤防火墙比较常用的手段。另外,包过滤防火墙还具有配置繁琐的缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入Internet。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址盗用。 应用级网关 应用级网关也就是通常我们提到的代理服务器。它适用于特定的Internet服务,如HTTP、 FTP等等。代理服务器通常运行在两个网络之间,它对于客户来说像是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定,如果规则允许用户访问该站点的话,代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存,这个缓存存储用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状态信息。 但是应用级网关也存在一些不足之处:首先它会使访问速度变慢,因为它不允许用户直接访问网络,而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件,尤其是,并非所有的Internet应用软件都可以使用代理服务器。 状态监测防火墙 这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 这种防火墙的优点是一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的。但是它会降低网络的速度,而且配置也比较复杂。当然有关防火墙厂商已注意到这一问题,有些防火墙产品的安全策略规则是通过面向对象的图形用户界面(GUI)来定义以简化配置过程。 用户可能考虑的特殊功能要求 企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常会成为选择防火墙的考虑因素之一,常见的需求如下: 1. 网络地址转换功能(NAT) 进行地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,这也是笔者之所以要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部使用保留的IP,这对许多IP不足的企业是有益的。 2. 双重DNS 当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS,有的则必须在不同主机上各安装一个DNS。 3. 虚拟专用网络(VPN) VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。 4. 扫毒功能 大部分防火墙都可以与防病毒软件搭配实现扫毒功能,有的防火墙则可以直接集成扫毒功能,差别只是扫毒工作是由防火墙完成,或是由另一台专用的计算机完成。 5. 特殊控制需求 有时候企业会有特别的控制需求,如限制特定使用者才能发送Email,FTP只能下载文件不能上传文件,限制同时上网人数,限制使用时间或阻塞Java、ActiveX控件等,依需求不同而定。 选择防火墙不容忽视的两个要素 1. 防火墙管理的难易度 防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因,除了先前提到的包过滤,并不能达到完全的控制之外,设定工作困难、须具备完整的知识以及不易除错等管理问题,更是一般企业不愿意使用的主要原因。 2. 防火墙自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略了一点,防火墙也是网络上的主机之一,也可能存在安全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。 大部分防火墙都安装在一般的操作系统上,如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁。此时,任何的防火墙控制机制都可能失效,因为当一个黑客取得了防火墙上的控制权以后,黑客几乎可为所欲为地修改防火墙上的访问规则,进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。 选择防火墙需要综合考虑的问题 我们认为,用户在选购防火墙产品时,除了从以上的功能特点考虑之外,还应该注意好的防火墙应该是企业整体网络的保护者,并能弥补其它操作系统的不足,使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台,因为使用者才是完全的控制者,而使用者的平台往往是多种多样的,它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现,就会有人研究新的破解方法,所以好的防火墙产品应拥有完善及时的售后服务体系。 好的防火墙还应该向使用者提供完整的安全检查功能,但是一个安全的网络仍必须依靠使用者的观察及改进,因为防火墙并不能有效地杜绝所有的恶意封包,企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接,但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。 防火墙与代理服务器最大的不同在于防火墙是专门为了保护网络安全而设计的,而一个好的防火墙不但应该具备包括检查、认证、警告、记录的功能,并且能够为使用者可能遇到的困境,事先提出解决方案,如IP不足形成的IP转换的问题,信息加密/解密的问题,大企业要求能够透过Internet集中管理的问题等,这也是选择防火墙时必须考虑的问题。 没有一个防火墙的设计能够适用于所有的环境,所以建议选择防火墙时,还应根据站点的特点来选择合适的防火墙。另外,不要把防火墙的等级看得过重。在各种报纸杂志中的等级评选中,防火墙的速度占有很大的比重。如果站点通过T1线路或更慢的线路连接到Internet上,大多数防火墙的速度完全能满足站点的需要。 下面是选购一个防火墙时,用户应该从自身考虑的因素: 网络受威胁的程度; 若入侵者闯入网络,将要受到的潜在的损失; 其他已经用来保护网络及其资源的安全措施; 由于硬件或软件失效,或防火墙遭到“拒绝服务攻击”,而导致用户不能访问Internet,造成的整个机构的损失; 机构所希望提供给Internet的服务,希望能从Internet得到的服务以及可以同时通过防火墙的用户数目; 站点是否有经验丰富的管理员; 今后可能的要求,如要求增加通过防火墙的网络活动或要求新的Internet服务。 防火墙技术发展动态和趋势 从美国生产厂家的观点来看,防火墙技术不用加密,因而在出口上不受限制。但是,目前提供的大多数防火墙产品确实支持这种或那种的IP层加密功能,从而在这方面受到美国出口政策的控制。目前,国内也有不少研究单位和公司开展了对防火墙技术的研究,并且也开发出不少推向市场的产品。 经过考察和分析,我们认为防火墙产品正向以下趋势发展: 1.优良的性能 新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全,而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护,但是同时它也成为限制网络带宽的瓶颈,这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。自然,数据通过率越高,防火墙性能越好。现在大多数的防火墙产品都支持NAT功能,它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边,但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行,否则将成为网络通信的瓶颈。 特别是采用复杂的加密算法(如3DES)时,其性能尤为重要。总之,未来的防火墙系统将会把高速的性能和最大限度的安全性有机结合在一起,有效地消除制约传统防火墙的性能瓶颈。 2.可扩展的结构和功能 对于一个好的防火墙系统而言,它的规模和功能应该能够适应内部网络的规模和安全策略的变化。选择哪种防火墙,除了应考虑它的基本性能之外,毫无疑问,还应考虑用户的实际需求与未来网络的升级。 因此防火墙除了具有保护网络安全的基本功能外,还提供对VPN的支持,同时还应该具有可扩展的内驻应用层代理,除了支持常见的网络服务以外,还应该能够按照用户的需求提供相应的代理服务,例如,如果用户需要NNTP(网络消息传输协议),X Window,HTTP和Gopher等服务,防火墙就应该包含相应的代理服务程序。 未来的防火墙系统应是一个可随意伸缩的模块化解决方案,从最为基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。 3.简化的安装与管理 防火墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时,若防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面。NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常落后于基于Unix的防火墙,但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售。 同时,像DNS 这类一直难于与防火墙恰当使用的关键应用程序正引起有意简化操作的厂商越来越多的关注。 4.主动过滤 Internet数据流的简化和优化使网络管理员将注意力集中在Web数据流进入他们的网络之前需要在数据流上完成的更多的事务之上。 防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如,许多防火墙具有内置病毒和内容扫描功能或允许用户与病毒与内容扫描程序进行集成。今天,许多防火墙都包括对过滤产品的支持,并可以与第三方过滤服务连接,这些服务提供了不受欢迎Internet站点的分类清单。防火墙还在它们的Web代理中包括时间限制功能,允许非工作时间的冲浪和登录,并提供冲浪活动的报告。 5. 防病毒与防黑客 尽管防火墙在防止不良分子进入上发挥了很好的作用,但TCP/IP 协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中,攻击者试图使企业Internet服务饱和或使与它连接的系统崩溃,使Internet无法供企业使用。防火墙市场已经对此做出了反应。 虽然没有防火墙可以防止所有的拒绝服务攻击,但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像序列号预测和IP欺骗这类简单攻击,这些年来已经成为了防火墙工具箱的一部分。像SYN 泛滥这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务,这样没有数据流可以进入。 综上所述,未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全,五者综合应用。此外,网络的防火墙产品还将把网络前沿技术,如Web页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。 小结 防火墙作为保障网络安全的重要工具,越来越受到关注。我国有关研究机构以及厂商一方面对国外信息安全和防火墙技术的发展进行跟踪,另一方面也已经自行开展了一些研究工作,并推出了相应的防火墙产品。当然,我国防火墙技术还处在一个发展阶段,还有许多问题有待解决,因此密切关注防火墙技术的最新发展,对推动Internet在我国的健康发展具有重要的意义。我们认为未来的防火墙将会具有高度安全性、高透明性和高网络性能,但是需要强调的是,虽然防火墙在当今Internet上的存在是有生命力的,但它不能替代其它安全措施,因此,它不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分,这是用户在决定购买防火墙产品之前就应该明确的问题。 |