10.3 防火墙技术
10.3 防火墙技术
当前,每天都有数不清的公司和个人加入到Internet中,而Internet本身也成为世界上空前庞大以至于无法确切统计的网络系统。它是一部真正的百科全书,信息的海洋,令人们沉浸其中而流连忘返,它给人们带来了无尽的便捷,拉近了每个人的距离。但是每个网络用户又都面临着严峻的安全性问题,如存在网上的信息可能被非法调用、复制和篡改等。怎样才能既充分利用Internet,同时又不受外来的各种侵犯呢?这就需要采用防火墙技术。
10.3.1 防火墙概述
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许获得许可的人和数据进入网络,同时将未获得许可的人和数据阻截,阻止黑客来访问网络,防止他们更改、复制、毁坏信息。如图10-4所示为Windows XP自带的软件防火墙。
图10-4 Windows XP自带的软件防火墙
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全,如图10-5所示。
图10-5 防火墙逻辑位置示意图
实现防火墙功能的部件主要是软件。物理上,防火墙软件可以运行在一台路由器或者主机之上,也可以运行在由这些设备构成的小规模网络上。运行防火墙软件的硬件设备可以是专门的路由器或者主机,也可以是兼有传输功能的路由器或计算功能的主机。两种类型的防火墙可以相互补充、相互配合。
实现防火墙的技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为3大类:分组过滤、应用代理和状态检测技术。
10.3.2 分组过滤技术
分组过滤器是目前使用最为广泛的防火墙,其作用在网络层和传输层,它根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则从数据流中丢弃。
其原理如下:
(1)有选择地允许数据分组穿过防火墙,实现内部和外部主机之间的数据交换。
(2)作用在网络层和传输层。
(3)根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发,否则丢弃,如图10-6所示。
图10-6 分组过滤式防火墙工作示意图
下面就分组过滤式防火墙的工作原理进行详细说明。
(1)分组过滤软件通常集成到路由器上,允许用户根据某种安全策略进行设置,允许特定的分组穿越防火墙。
(2)路由器对每个分组进行分析,并为分组选择一条最佳的路径。
(3)普通路由器只执行两种操作:如果它知道分组目的地址的路由,就转发该分组;否则,丢弃或者退回分组。增加了分组过滤功能的路由器则检查更多的内容。
(4)接入Internet的每台主机都有一个IP地址,并且内部网的应用一般都与特定的端口号有关,例如,远程登录(Telnet)的TCP端口号的默认值为23。
(5)提供分组过滤功能的路由器可以通过分析IP地址和端口号来决定是否转发一个分组。例如,可以建立一个对应端口号为23的防火墙过滤器来阻止向内部计算机发送远程登录分组;建立一个对应端口号为21的防火墙过滤器来阻止外部用户向内部计算机发送文件传输分组(FTP)等。如图10-7所示为Windows 防火墙中的端口号。
图10-7 Windows 防火墙
(6)基于分组过滤的防火墙安全性依赖于用户制定的安全策略。
(7)由于分组过滤防火墙是由用户来设置安全策略的,因此根据系统对用户设置的理解,目前的产品又分为两类:“不允许的就是禁止”和“不禁止的就是允许”。
以SMTP协议为例,SMTP(简单邮件传输协议)是基于TCP的服务,SMTP服务器(即接收者)使用端口25,客户机(即发送者)使用大于1023的任意端口,如图10-8所示。
图10-8 SMTP 工作原理
分组过滤技术有如下优点:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。
其缺点是,不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。
10.3.3 应用代理技术
代理服务器技术是应用层的技术,它用代理服务器来代替内部网络的用户接收外部的数据,取出应用层的信息并经过检查后,通过建立一条新的会话连接将数据转交给内部用户主机。由于内部主机与外部主机不进行直接的通信连接,而是通过防火墙的应用层进行传达转交,所以可以较好地保证安全性。但是它要求应用层数据中不包含加密、压缩的数据,否则应用层的代理就很难实现安全检测。
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
它的缺点也非常突出,主要有如下两方面:
· 难于配置。由于每个应用都要求单独的代理进程,这就要求网络管理员能理解每项应用协议的弱点,并能合理地配置安全策略,由于配置烦琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。
· 处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性,但是实际应用中并不可行,因为对于内网的每个Web 访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web 服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常Web 访问不能及时得到响应。
总之,应用代理防火墙不能支持大规模的并发连接,在对速度敏感的行业使用这类防火墙时简直是灾难。另外,防火墙核心要求预先内置一些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。
在IT 领域中,新应用、新技术、新协议层出不穷,代理防火墙很难适应这种局面。因此,在一些重要的领域和行业的核心业务应用中,代理防火墙正被逐渐疏远。
但是,自适应代理技术的出现让应用代理防火墙技术出现了新的转机,它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
10.3.4 状态检测技术
状态检测技术是基于会话层的技术,对外部的连接和通信行为进行状态检测,阻止具有攻击性可能的行为,从而可以抵御网络攻击。新型防火墙产品中还增加了计算机病毒检测和防护技术、垃圾邮件过滤技术和Web过滤技术等。随着网络上攻击行为的变化,用户对防火墙也不断提出新的要求。
优点:代理易于配置,能生成各项记录,能灵活、完全地控制进出的流量、内容,能过滤数据内容,能为用户提供透明的加密机制,可以方便地与其他安全手段集成。
缺点:代理速度比路由器慢,对用户不透明,对于每项服务代理可能要求不同的服务器,代理服务不能保证用户免受所有协议弱点的限制,代理不能改进底层协议的安全性。
我们知道,Internet上传输的数据都必须遵循TCP/IP协议,根据TCP协议,每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”3个阶段,我们最常用到的Web浏览、文件下载和收发邮件等都要经过这3个阶段。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根 据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
网关防火墙的一个挑战就是能处理的流量,状态检测技术在提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
任何一款高性能的防火墙,都会采用状态检测技术。
从2000 年开始,国内的著名防火墙公司,如北京天融信等公司,都开始采用这一最新的体系架构,并在此基础上,天融信NGFW4000 创新推出了核检测技术,在操作系统内核模拟出典型的应用层协议,在内核实现对应用层协议的过滤,在实现安全目标的同时可以得到极高的性能。目前支持的协议有HTTP/1.0/1.1、FTP、SMTP、POP3、MMS和H.232等最新和最常用的应用协议。