第四代防火墻

一. 主要功能

1.雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品有兩個(gè)到三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。

2.透明訪問方式

以前的防火墻在訪問方式上要么要求用戶登錄進(jìn)系統(tǒng)，要么需要通過SOCKS等路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明代理技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。

3.靈活的代理系統(tǒng)

代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。第四代防火墻采用了兩種代理機(jī)制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)來實(shí)現(xiàn)，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來實(shí)現(xiàn)。

4.多級(jí)過濾技術(shù)

為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級(jí)過濾措施，并輔以鑒別手段。在分組過濾一級(jí)，能過濾掉所有的源路由分組和假冒的IP源地址;在應(yīng)用網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù);在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。

5.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)

NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。

6.Internet網(wǎng)關(guān)技術(shù)

由于是直接串連在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在Internet互連的所有服務(wù)，同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞。故它要能以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、Mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用"改變根系統(tǒng)調(diào)用(chroot)"作物理上的隔離。

在域名服務(wù)方面，第四代防火墻采用兩種獨(dú)立的域名服務(wù)器，一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)的DNS信息，另一種是外部DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。

在匿名FTP方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問;在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行;在Finger服務(wù)器中，對(duì)外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息;SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件作處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境; Ident服務(wù)器對(duì)用戶連接的識(shí)別作專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。

7.安全服務(wù)器網(wǎng)絡(luò)(SSN)

為適應(yīng)越來越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器保護(hù)的需要，第四代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù)。它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對(duì)外服務(wù)器既是內(nèi)部網(wǎng)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離。這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)，對(duì)SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。

SSN的方法提供的安全性要比傳統(tǒng)的"隔離區(qū)(DMZ)"方法好得多，因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù)，SSN與內(nèi)部網(wǎng)之間也有防火墻保護(hù)，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。

8.用戶鑒別與加密

為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。

9.用戶定制服務(wù)

為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有:通用TCP，出站UDP、FTP、SMTP等，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的代理，便可利用這些支持，方便設(shè)置。

10.審計(jì)和告警

第四代防火墻產(chǎn)品的審計(jì)和告警功能十分健全，日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋，并能發(fā)出郵件、聲響等多種方式報(bào)警。

此外第四代防火墻還在網(wǎng)絡(luò)診斷，數(shù)據(jù)備份與保全等方面具有特色。

二. 技術(shù)實(shí)現(xiàn)

在第四代防火墻產(chǎn)品的設(shè)計(jì)與開發(fā)中，安全內(nèi)核、代理系統(tǒng)、多級(jí)過濾、安全服務(wù)器和鑒別與加密是關(guān)鍵所在。

1.安全內(nèi)核的實(shí)現(xiàn)

第四代防火墻是建立在安全操作系統(tǒng)之上的，安全的操作系統(tǒng)來自對(duì)專用操作系統(tǒng)的安全加固和改造，從現(xiàn)有的諸多產(chǎn)品看，對(duì)安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進(jìn)行:

● 取消危險(xiǎn)的系統(tǒng)調(diào)用;

● 限制命令的執(zhí)行權(quán)限;

● 取消IP的轉(zhuǎn)發(fā)功能;

● 檢查每個(gè)分組的接口;

● 采用隨機(jī)連接序號(hào);

● 駐留分組過濾模塊;

● 取消動(dòng)態(tài)路由功能;

● 采用多個(gè)安全內(nèi)核。

2.代理系統(tǒng)的建立

防火墻不允許任何信息直接穿過它，對(duì)所有的內(nèi)外連接均要通過代理系統(tǒng)來實(shí)現(xiàn)，為保證整個(gè)防火墻的安全，所有的代理都應(yīng)采用改變根目錄的方式存在一個(gè)相對(duì)獨(dú)立的區(qū)域以作安全隔離。

在所有的連接通過防火墻前，所有的代理要檢查已定義的訪問規(guī)則，這些規(guī)則控制代理的服務(wù)，并根據(jù)以下內(nèi)容處理分組:

● 源地址;

● 目的地址;

● 時(shí)間;

● 同類服務(wù)器的最大數(shù)量。

所有外部網(wǎng)絡(luò)到防火墻內(nèi)部或SSN的連接由進(jìn)站代理處理，進(jìn)站代理要保證內(nèi)部主機(jī)能了解外部主機(jī)的所有信息，而外部主機(jī)只能看到防火墻之外或SSN的地址。

所有從內(nèi)部網(wǎng)絡(luò)或SSN通過防火墻與外部網(wǎng)絡(luò)建立的連接由出站代理處理，出站代理必須確保由它代表的內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接，同時(shí)還要處理內(nèi)部網(wǎng)絡(luò)到SSN的連接。

3. 分組過濾器的設(shè)計(jì)

作為防火墻的核心部件之一，過濾器的設(shè)計(jì)要盡量做到減少對(duì)防火墻的訪問。過濾器在調(diào)用時(shí)將被下載到內(nèi)核中執(zhí)行，服務(wù)終止時(shí)，過濾規(guī)則會(huì)從內(nèi)核中消除，所有的分組過濾功能都在內(nèi)核中IP堆棧的深層運(yùn)行，極為安全。分組過濾器包括以下參數(shù):

● 進(jìn)站接口;

● 出站接口;

● IP協(xié)議特征;

● 允許的連接;

● 源端口范圍;

● 源地址;

● 目的地址;

● 目的端口的范圍;

● 對(duì)每一種參數(shù)的處理都要充分體現(xiàn)設(shè)計(jì)原則和安全政策。

4. 安全服務(wù)器的設(shè)計(jì)

安全服務(wù)器的設(shè)計(jì)有兩個(gè)要點(diǎn):第一，所有SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來的路由信息流在機(jī)制上是分離的;第二，SSN的作用類似于兩個(gè)網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因?yàn)樗鼘?duì)外透明，同時(shí)又像是外部網(wǎng)絡(luò)，因?yàn)樗鼜膬?nèi)部網(wǎng)絡(luò)對(duì)外訪問的方式十分有限。

SSN上的每一個(gè)服務(wù)器都是隱蔽在Internet中的，SSN提供的服務(wù)對(duì)外部網(wǎng)絡(luò)而言像防火墻的功能，由于地址轉(zhuǎn)換是透明的，對(duì)各種網(wǎng)絡(luò)應(yīng)用沒有限制。實(shí)現(xiàn)SSN的關(guān)鍵在于:

● 解決分組過濾器與SSN的連接;

● 支持通用防火墻對(duì)SSN的訪問;

● 支持代理服務(wù)。

5.鑒別與加密的考慮

鑒別與加密是防火墻識(shí)別用戶、驗(yàn)證訪問和保護(hù)信息的有效手段，鑒別機(jī)制除了提供安全保護(hù)而外，還有安全管理功能。目前國外防火墻產(chǎn)品中廣泛使用令牌鑒別方式，具體方法有兩種，一種是加密卡;另一種是Secure ID，這兩種都是一次性口令的生成工具。

對(duì)信息內(nèi)容的加密與鑒別則涉及加密算法和數(shù)字簽名技術(shù)，除PEM、PGP和Kerberos外，目前國外防火墻產(chǎn)品中尚沒有更好的機(jī)制出現(xiàn)。由于加密算法涉及國家信息安全和主權(quán)，各國有不同的要求。

三. 抗攻擊能力

作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。在Internet環(huán)境中針對(duì)防火墻的攻擊方法很多，下面從幾種主要的功擊方法來評(píng)估第四代防火墻的抗攻擊能力。

1.抗IP假冒攻擊

IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的"信任"，從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻知道網(wǎng)絡(luò)內(nèi)外的IP地址，它會(huì)丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的分組，另外，防火墻已將網(wǎng)的實(shí)際地址隱蔽起來，外部用戶很難知道內(nèi)部的IP地址，因而難以攻擊。

2.抗特洛伊木馬攻擊

第四代防火墻是建立在安全的操作系統(tǒng)之上的，其安全內(nèi)核中不能執(zhí)行下載的程序，故而可防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明受其保護(hù)的某個(gè)主機(jī)也能防止這類攻擊。事實(shí)上，內(nèi)部用戶可通過防火墻下載程序，并執(zhí)行下載的程序。

3.抗口令字探尋攻擊

在網(wǎng)絡(luò)中探尋口令字的方法很多，最常見的是口令字嗅探和口令字解密。

嗅探監(jiān)測網(wǎng)絡(luò)通信、截獲用戶傳給服務(wù)器的口令字，記錄下來后使用;解密指采用強(qiáng)力攻擊，猜測或截獲含有加密口令字的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。

第四代防火墻采用了一次性口令字和禁止直接登錄防火墻的措施，能有效防止對(duì)口令字的攻擊。

4.抗網(wǎng)絡(luò)安全性分析

網(wǎng)絡(luò)安全性分析工具本是供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，則能較方便地探測到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點(diǎn)所在。目前，SATAN軟件可以從網(wǎng)上免費(fèi)獲得，Internet Scanner可從市面上購買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法從外部對(duì)內(nèi)部網(wǎng)分析。

5.抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對(duì)它攻擊。同樣值得一提的是，防火墻不接受郵件，并不表示它不讓郵件通過，實(shí)際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對(duì)郵件加密。

四. 防火墻技術(shù)展望

1.幾點(diǎn)趨勢

從防火墻產(chǎn)品及功能上，可以看出一些動(dòng)向和趨勢，下面幾點(diǎn)是防火墻下一步的走向:

①防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展;

②過濾深度不斷加強(qiáng)，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對(duì)Active X、Java等的過濾，并逐漸有病毒清除功能;

③利用防火墻建立虛擬專網(wǎng)(VPN)是未來較長時(shí)間內(nèi)用戶使用的主流，IP加密需求越來越強(qiáng)，安全協(xié)議的開發(fā)是一大熱點(diǎn);

④單向防火墻(又叫網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn);

⑤對(duì)網(wǎng)絡(luò)攻擊的檢測和告警將成為防火墻的重要功能;

⑥安全管理工具不斷完善，特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。

2.需求的變化

根據(jù)上述趨勢，人們選擇防火墻的標(biāo)準(zhǔn)將集中在以下幾個(gè)方面:

① 易于管理性;

② 應(yīng)用透明性;

③ 鑒別與加密功能;

④ 操作環(huán)境和硬件要求;

⑤ VPN和CA的功能;

⑥ 接口的數(shù)量;

⑦ 成本。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

在具體應(yīng)用防火墻技術(shù)時(shí)，還要考慮到兩個(gè)方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無法支持實(shí)時(shí)服務(wù)請(qǐng)求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。