Internet防火墻技術綜述論文

時間:2022-03-12 10:00:00

導語:Internet防火墻技術綜述論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

Internet防火墻技術綜述論文

摘要:隨著internet的迅猛發展,安全性已經成為網絡互聯技術中最關鍵的問題。本文全面介紹了Internet防火墻技術與產品的發展歷程;詳細剖析了第四代防火墻的功能特色、關鍵技術、實現方法及抗攻擊能力;同時簡要描述了Internet防火墻技術的發展趨勢。

關鍵詞:Internet網路安全防火墻過濾地址轉換

1.引言

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互連環境之中,尤以Internet網絡為最甚。Internet的迅猛發展,使得防火墻產品在短短的幾年內異軍突起,很快形成了一個產業:1995年,剛剛面市的防火墻技術產品市場量還不到1萬套;到1996年底,就猛增到10萬套;據國際權威商業調查機構的預測,防火墻市場將以173%的復合增長率增長,今年底將達到150萬套,市場營業額將從1995年的1.6億美元上升到今年的9.8億美元。

為了更加全面地了解Internet防火墻及其發展過程,特別是第四代防火墻的技術特色,我們非常有必要從產品和技術角度對防火墻技術的發展演變做一個詳細的考察。

2.Internet防火墻技術簡介

防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講,Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網絡內部。而事實上,防火墻并不像現實生活中的防火墻,它有點像古代守護城池用的護城河,服務于以下多個目的:

1)限定人們從一個特定的控制點進入;

2)限定人們從一個特定的點離開;

3)防止侵入者接近你的其他防御設施;

4)有效地阻止破壞者對你的計算機系統進行破壞。

在現實生活中,Internet防火墻常常被安裝在受保護的內部網絡上并接入Internet,如圖1所示。

圖1防火墻在Internet中的位置

從上圖不難看出,所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。3.防火墻技術與產品發展的回顧

防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:

過濾進、出網絡的數據;

管理進、出網絡的訪問行為;

封堵某些禁止行為;

記錄通過防火墻的信息內容和活動;

對網絡攻擊進行檢測和告警。

為實現以上功能,在防火墻產品的開發中,人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火墻近年來的發展,可以將其劃分為如下四個階段(即四代)。

3.1基于路由器的防火墻

由于多數路由器本身就包含有分組過濾功能,故網絡訪問控制可能通過路控制來實現,從而使具有分組過濾功能的路由器成為第一代防火墻產品。第一代防火墻產品的特點是:

1)利用路由器本身對分組的解析,以訪問控制表(AccessList)方式實現對分組的過濾;

2)過濾判斷的依據可以是:地址、端口號、IP旗標及其他網絡特征;

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網絡則需要單獨利用一臺路由器作為防火墻。

第一代防火墻產品的不足之處十分明顯,具體表現為:

路由協議十分靈活,本身具有安全漏洞,外部網絡要探尋內部網絡十分容易。例如,在使用FTP協議時,外部服務器容易從20號端口上與內部網相連,即使在路由器上設置了過濾規則,內部網絡的20號端口仍可以由外部探尋。

路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜,它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性,一般的網絡系統管理員難于勝任,加之一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來很多錯誤。

路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網絡上是以明文方式傳送的,黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火墻。

路由器防火墻的本質缺陷是:由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由,而防火墻則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火墻的規則設置會大大降低路由器的性能。

可以說基于路由器的防火墻技術只是網絡安全的一種應急措施,用這種權宜之計去對付黑客的攻擊是十分危險的。

3.2用戶化的防火墻工具套

為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡,從而推動了用戶防火墻工具套的出現。

作為第二代防火墻產品,用戶化的防火墻工具套具有以下特征:

1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;

2)針對用戶需求,提供模塊化的軟件包;

3)軟件可以通過網絡發送,用戶可以自己動手構造防火墻;

4)與第一代防火墻相比,安全性提高了,價格也降低了。

由于是純軟件產品,第二代防火墻產品無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求,并帶來以下問題:

配置和維護過程復雜、費時;

對用戶的技術要求高;

全軟件實現,使用中出現差錯的情況很多。

3.3建立在通用操作系統上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操

作系統上的商用防火墻產品。近年來市場上廣泛使用的就是這一代產品,它們具有如下一些

特點:

1)是批量上市的專用防火墻產品;

2)包括分組過濾或者借用路由器的分組過濾功能;

3)裝有專用的系統,監控所有協議的數據和指令;

4)保護用戶編程空間和用戶可配置內核參數的設置;

5)安全性和速度大大提高。

第三代防火墻有以純軟件實現的,也有以硬件方式實現的,它們已經得到了廣大用戶的認同

。但隨著安全需求的變化和使用時間的推延,仍表現出不少問題,比如:

1)作為基礎的操作系統及其內核往往不為防火墻管理者所知,由于源碼的保密,其安全性

無從保證;

2)由于大多數防火墻廠商并非通用操作系統的廠商,通用操作系統廠商不會對操作系統的

安全性負責;

3)從本質上看,第三代防火墻既要防止來自外部網絡的攻擊,還要防止來自操作系統廠商

的攻擊;

4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能;

5)透明性好,易于使用。

4.第四代防火墻的主要技術及功能

第四代防火墻產品將網關與安全系統合二為一,具有以下技術功能。

4.1雙端口或三端口的結構

新一代防火墻產品具有兩個或三個獨立的網卡,內外兩個網卡可不做IP轉化而串接于內部與外部之間,另一個網卡可專用于對服務器的安全保護。

4.2透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶做系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火墻利用了透明的系統技術,從而降低了系統登錄固有的安全風險和出錯概率。

4.3靈活的系統

系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊,第四代防火墻采用了兩種機制:一種用于從內部網絡到外部網絡的連接;另一種用于從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,后者采用非保密的用戶定制或保密的系統技術來解決。

4.4多級過濾技術

為保證系統的安全性和防護水平,第四代防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。

4.5網絡地址轉換技術

第四代防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。

4.6Internet網關技術

由于是直接串聯在網絡之中,第四代防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。

在域名服務方面,第四代防火墻采用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部分DNS信息。

在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。

4.7安全服務器網絡(SSN)

為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,第四代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Tnlnet等方式從內部網上管理。

SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火墻保護,SSN與風部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。4.8用戶鑒別與加密

為了減低防火墻產品在Tnlnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統來作為用戶的鑒別手段,并實現了對郵件的加密。

4.9用戶定制服務

為了滿足特定用戶的特定需求,第四代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的,便可以利用這些支持,方便設置。

4.10審計和告警

第四代防火墻產品采用的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。

此外,第四代防火墻還在網絡診斷、數據備份保全等方面具有特色。

5.第四代防火墻技術的實現方法

在第四代防火墻產品的設計與開發中,安全內核、系統、多級過濾、安全服務器、鑒別與加密是關鍵所在。

5.1安全內核的實現

第四代防火墻是建立在安全操作系統之上的,安全操作系統來自對專用操作系統的安全加固和改造,從現在的諸多產品看,對安全操作系統內核的固化與改造主要從以下幾個方面進行:

1)取消危險的系統調用;

2)限制命令的執行權限;

3)取消IP的轉發功能;

4)檢查每個分組的接口;

5)采用隨機連接序號;

6)駐留分組過濾模塊;

7)取消動態路由功能;

8)采用多個安全內核。

5.2系統的建立

防火墻不允許任何信息直接穿過它,對所有的內外連接均要通過系統來實現,為保證整個防火墻的安全,所有的都應該采用改變根目錄方式存在一個相對獨立的區域以安全隔離。

在所有的連接通過防火墻前,所有的要檢查已定義的訪問規則,這些規則控制的服務根據以下內容處理分組:

1)源地址;

2)目的地址;

3)時間;

4)同類服務器的最大數量。

所有外部網絡到防火墻內部或SSN的連接由進站處理,進站要保證內部主機能夠了解外部主機的所有信息,而外部主機只能看到防火墻之外或SSN的地址。

所有從內部網絡SSN通過防火墻與外部網絡建立的連接由出站處理,出站必須確保完全由它代表內部網絡與外部地址相連,防止內部網址與外部網址的直接連接,同時還要處理內部網絡SSN的連接。

5.3分組過濾器的設計

作為防火墻的核心部件之一,過濾器的設計要盡量做到減少對防火墻的訪問,過濾器在調用時將被下載到內核中執行,服務終止時,過濾規則會從內核中消除,所有的分組過濾功能都在內核中IP堆棧的深層運行,極為安全。分組過濾器包括以下參數。

1)進站接口;

2)出站接口;

3)允許的連接;

4)源端口范圍;

5)源地址;

6)目的端口的范圍等。

對每一種參數的處理都充分體現設計原則和安全政策。

5.4安全服務器的設計

安全服務器的設計有兩個要點:第一,所有SSN的流量都要隔離處理,即從內部網和外部網而來的路由信息流在機制上是分離的;第二,SSN的作用類似于兩個網絡,它看上去像是內部網,因為它對外透明,同時又像是外部網絡,因為它從內部網絡對外訪問的方式十分有限。

SSN上的每一個服務器都隱蔽于Internet,SSN提供的服務對外部網絡而言好像防火墻功能,由于地址已經是透明的,對各種網絡應用沒有限制。實現SSN的關鍵在于:

1)解決分組過濾器與SSN的連接;

2)支持通過防火墻對SSN的訪問;

3)支持服務。

5.5鑒別與加密的考慮

鑒別與加密是防火墻識別用戶、驗證訪問和保護信息的有效手段,鑒別機制除了提供安全保護之外,還有安全管理功能,目前國外防火墻產品中廣泛使用令牌鑒別方式,具體方法有兩種一種是加密卡(CryptoCard);另一種是SecureID,這兩種都是一次性口令的生成工具。

對信息內容的加密與鑒別則涉及加密算法和數字簽名技術,除PEM、PGP和Kerberos外,目前國外防火墻產品中尚沒有更好的機制出現,由于加密算法涉及國家信息安全和主權,各國有不同的要求。

6.第四代防火墻的抗攻擊能力

作為一種安全防護設備,防火墻在網絡中自然是眾多攻擊者的目標,故抗攻擊能力也是防火墻的必備功能。在Internet環境中針對防火墻的攻擊很多,下面從幾種主要的攻擊方法來評估第四代防火墻的抗攻擊能力。

6.1抗IP假冒攻擊

IP假冒是指一個非法的主機假冒內部的主機地址,騙取服務器的“信任”,從而達到對網絡的攻擊目的。由于第四代防火墻已經將網內的實際地址隱蔽起來,外部用戶很難知道內部的IP地址,因而難以攻擊。

6.2抗特洛伊木馬攻擊

特洛伊木馬能將病毒或破壞性程序傳入計算機網絡,且通常是將這些惡意程序隱蔽在正常的程序之中,尤其是熱門程序或游戲,一些用戶下載并執行這一程序,其中的病毒便會發作。第四代防火墻是建立在安全的操作系統之上的,其內核中不能執行下載的程序,故而可以防止特洛伊木馬的發生。必須指出的是,防火墻能抗特洛伊木馬的攻擊并不表明其保護的某個主機也能防止這類攻擊。事實上,內部用戶可以通過防火墻下載程序,并執行下載的程序。

6.3抗口令字探尋攻擊

在網絡中探尋口令的方法很多,最常見的是口令嗅探和口令解密。嗅探是通過監測網絡通信,截獲用戶傳給服務器的口令字,記錄下來,以便使用;解密是指采用強力攻擊、猜測或截獲含有加密口令的文件,并設法解密。此外,攻擊者還常常利用一些常用口令字直接登錄。

第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施,能夠有效防止對口令字的攻擊。

6.4抗網絡安全性分析

網絡安全性分析工具是提供管理人員分析網絡安全性之用的,一旦這類工具用作攻擊網絡的手段,則能夠比較方便地探測到內部網絡的安全缺陷和弱點所在。目前,SATA軟件可以從網上免費獲得,InternetScanner可以從市面上購買,這些分析工具給網絡安全構成了直接的威脅。第四代防火墻采用了地址轉換技術,將內部網絡隱蔽起來,使網絡安全分析工具無法從外部對內部網絡做分析。

6.5抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式,第四代防火墻不接收任何郵件,故難以采用這種方式對它攻擊,同樣值得一提的是,防火墻不接收郵件,并不表示它不讓郵件通過,實際上用戶仍可收發郵件,內部用戶要防郵件詐騙,最終的解決辦法是對郵件加密。

7.防火墻技術展望

伴隨著Internet的飛速發展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:

1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。

2)過濾深度會不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。

3)利用防火墻建立專用網是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協議的開發是一大熱點。

4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。

5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。

6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。

另外值得一提的是,伴隨著防火墻技術的不斷發展,人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環境和硬件要求、VPN的功能與CA的功能、接口的數量、成本等幾個方面。