来源:www.cncfan.com | 2006-1-22 | (有3056人读过)
网络安全涉及到通信和网络、密码学、芯片、操作系统、数据库等多方面技术。目前的网络安全产品,主要分为以下几类:3A类产品、安全操作系统、安全隔离与信息交换系统、安全WEB、反病毒产品、IDS和弱点评估产品、防火墙、VPN、保密机、PKI等。其中,防火墙是网络安全的第一道屏障,所占市场最大,安全技术也比较成熟。下面就防火墙的现状与发展趋势作重点阐述。
防火墙的功能
从防火墙的功能来说,主要包含以下几个方面:访问控制,如应用ACL进行访问控制;攻击防范,如防止 SYN FLOOD 等; NAT; VPN ;路由;认证和加密;日志记录;支持网管等。
为了满足多样化的组网需求,降低用户对其它专用设备的需求,减少用户建网成本,防火墙上也常常把其它网络技术结合进来,例如支持 DHCP SERVER , DHCP RELAY;支持动态路由,如RIP,OSPF等;支持拨号, PPPOE 等特性;支持广域网口;支持透明模式(桥模式);支持内容过滤(如URL过滤)、防病毒和IDS等功能。
防火墙的发展,经历了从早期的简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好,速度快,得到最广泛的应用。
应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好。但关键的是,它的性能比较差,从国外公开的防火墙测试报告来看,代理防火墙性能表现比较差,因此在网络带宽迅猛发展的情况下,已经不能完全满足需要。
此外,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其它技术,在NAT情况下很难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。
状态检测技术
状态检测技术要监视每个连接发起到结束的全过程,对于部分协议,如FTP、 H.323等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。
状态防火墙可以对特定的协议进行解码,因此安全性也比较好。有的防火墙可以对FTP、SMTP等有害命令进行检测和过滤,但因为在应用层解码分析,处理速度比较慢,为此,有的防火墙采用自适应方式,因此处理速度很快。
状态防火墙还有一个特色是,当检测到SYN FLOOD攻击时,会启动代理。此时,如果是伪造源IP的会话,因为不能完成三层握手,攻击报文就无法到达服务器,但正常访问的报文仍然可达。
防火墙因为软件复杂,实现的功能较多,必须有操作系统支持,操作系统的安全是防火墙安全的基石。1998年,在中国和美国计算机学会ACM共同举办的国际会议上,我提出了高保障防火墙的概念,其核心是防火墙与安全操作系统无缝集成,在防火墙上实现类似B级操作系统的机制,如标记,MAC,强实体认证等。入关具有入关证,出关具有出关证。建立了防止内部敏感信息泄漏的机制,达到既防外又防内的目标。
防火墙的未来发展趋势
未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,其中以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPV6,而采用其它方法就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
受现有技术的限制,目前还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)。对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。随着网络流量越来越大,庞大的日志对日志服务器提出了很高的要求。目前,业界应用较多的SYSLOG日志,采用的是文本方式,每一个字符都需要一个字节,对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。所以,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSEC VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
|