防火墻技術(shù)詳解及技術(shù)發(fā)展趨勢

　　3. 防火墻的系統(tǒng)管理發(fā)展趨勢

　　防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個方面：

　�。�1）. 首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)成功，也就是目前所稱的"分布式防火墻"和"嵌入式防火墻"。關(guān)于這一新技術(shù)在本篇下面將詳細介紹。

　　（2）. 強大的審計功能和自動日志分析功能。這兩點的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。

　�。�3）. 網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化

　　隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做"建立以防火墻為核心的網(wǎng)絡(luò)安全體系"。因為我們在現(xiàn)實中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。

　　如現(xiàn)在的IDS設(shè)備就能很好地與防火墻一起聯(lián)合。一般情況下，為了確保系統(tǒng)的通信性能不受安全設(shè)備的影響太大，IDS設(shè)備不能像防火墻一樣置于網(wǎng)絡(luò)入口處，只能置于旁路位置。而在實際使用中，IDS的任務(wù)往往不僅在于檢測，很多時候在IDS發(fā)現(xiàn)入侵行為以后，也需要IDS本身對入侵及時遏止。顯然，要讓處于旁路偵聽的IDS完成這個任務(wù)又太難為，同時主鏈路又不能串接太多類似設(shè)備。在這種情況下，如果防火墻能和IDS、病毒檢測等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各自的長處，協(xié)同配合，共同建立一個有效的安全防范體系，那么系統(tǒng)網(wǎng)絡(luò)的安全性就能得以明顯提升。

　　目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測部分直接"做"到防火墻中，使防火墻具有IDS和病毒檢測設(shè)備的功能；另一種是各個產(chǎn)品分立，通過某種通訊方式形成一個整體，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成過濾和報告。目前更看重后一種方案，因為它實現(xiàn)方式較前一種容易許多。

　　三、分布式防火墻技術(shù)

　　在前面已提到一種新的防火墻技術(shù)，即分布式防火墻技術(shù)已在逐漸興起，并在國外一些大的網(wǎng)絡(luò)設(shè)備開發(fā)商中得到了實現(xiàn)，由于其優(yōu)越的安全防護體系，符合未來的發(fā)展趨勢，所以這一技術(shù)一出現(xiàn)便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火墻技術(shù)。

　　1． 分布式防火墻的產(chǎn)生

　　因為傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，外于內(nèi)、外部互聯(lián)網(wǎng)之間，所以稱為"邊界防火墻（Perimeter Firewall）"。隨著人們對網(wǎng)絡(luò)安全防護要求的提高，邊界防火墻明顯感覺到力不從心，因為給網(wǎng)絡(luò)帶來安全威脅的不僅是外部網(wǎng)絡(luò)，更多的是來自內(nèi)部網(wǎng)絡(luò)。但邊界防火墻無法對內(nèi)部網(wǎng)絡(luò)實現(xiàn)有效地保護，除非對每一臺主機都安裝防火墻，這是不可能的�；诖�，一種新型的防火墻技術(shù)，分布式防火墻（Distributed Firewalls）技術(shù)產(chǎn)生了。它可以很好地解決邊界防火墻以上的不足，當(dāng)然不是為每對路主機安裝防火墻，而是把防火墻的安全防護系統(tǒng)延伸到網(wǎng)絡(luò)中各對臺主機。一方面有效地保證了用戶的投資不會很高，另一方面給網(wǎng)絡(luò)所帶來的安全防護是非常全面的。

　　我們都知道，傳統(tǒng)邊界防火墻用于限制被保護企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）之間相互進行信息存取、傳遞操作，它所處的位置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。實際上，所有以前出現(xiàn)的各種不同類型的防火墻，從簡單的包過濾在應(yīng)用層代理以至自適應(yīng)代理，都是基于一個共同的假設(shè)，那就是防火墻把內(nèi)部網(wǎng)絡(luò)一端的用戶看成是可信任的，而外部網(wǎng)絡(luò)一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火墻是一種主機駐留式的安全系統(tǒng)，它是以主機為保護對象，它的設(shè)計理念是主機以外的任何用戶訪問都是不可信任的，都需要進行過濾。當(dāng)然在實際應(yīng)用中，也不是要求對網(wǎng)絡(luò)中每對臺主機都安裝這樣的系統(tǒng)，這樣會嚴重影響網(wǎng)絡(luò)的通信性能。它通常用于保護企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。

　　分布式防火墻負責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護，所以"分布式防火墻"是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。根據(jù)其所需完成的功能，新的防火墻體系結(jié)構(gòu)包含如下部分：

　　·網(wǎng)絡(luò)防火墻（Network Firewall）：這一部分有的公司采用的是純軟件方式，而有的可以提供相應(yīng)的硬件支持。它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護。與傳統(tǒng)邊界防火墻相比，它多了一種用于對內(nèi)部子網(wǎng)之間的安全防護層，這樣整個網(wǎng)絡(luò)的安全防護體系就顯得更加全面，更加可靠。不過在功能與傳統(tǒng)的邊界式防火墻類似。

　　·主機防火墻（Host Firewall）：同樣也有純軟件和硬件兩種產(chǎn)品，是用于對網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護。這也是傳統(tǒng)邊界式防火墻所不具有的，也算是對傳統(tǒng)邊界式防火墻在安全體系方面的一個完善。它是作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。這樣防火墻的作用不僅是用于內(nèi)部與外部網(wǎng)之間的防護，還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間�？梢哉f達到了應(yīng)用層的安全防護，比起網(wǎng)絡(luò)層更加徹底。

　　·中心管理（Central Managerment）：這是一個防火墻服務(wù)器管理軟件，負責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是新的防火墻的管理功能，也是以前傳統(tǒng)邊界防火墻所不具有的。這樣防火墻就可進行智能管理，提高了防火墻的安全防護靈活性，具備可管理性。

　2. 分布式防火墻的主要特點

　　綜合起來這種新的防火墻技術(shù)具有以下幾個主要特點：

　　（1）. 主機駐留

　　這種分布式防火墻的 主要特點就是采用主機駐留方式，所以稱之為"主機防火墻"（傳統(tǒng)邊界防火墻通常稱之為"網(wǎng)絡(luò)防火墻"）。它的重要特征是駐留在被保護的主機上，該主機以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認為是不可信任的，因此可以針對該主機上運行的具體應(yīng)用和對外提供的服務(wù)設(shè)定針對性很強的安全策略。主機防火墻對分布式防火墻體系結(jié)構(gòu)的突出貢獻是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個網(wǎng)絡(luò)末端。

　　（2）. 嵌入操作系統(tǒng)內(nèi)核

　　這主要是針對目前的純軟件式分布式防火墻來說的.操作系統(tǒng)自身存在許多安全漏洞目前是眾所周知的，運行在其上的應(yīng)用軟件無一不受到威,。分布式主機防火墻也運行在主機上，所以其運行機制是主機防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進行檢查后再提交操作系統(tǒng)。為實現(xiàn)這樣的運行機制，除防火墻廠商自身的開發(fā)技術(shù)外，與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件，因為這需要一些操作系統(tǒng)不公開內(nèi)部技術(shù)接口。不能實現(xiàn)這種分布式運行模式的主機防火墻由于受到操作系統(tǒng)安全性的制約，存在著明顯的安全隱患。

　�。�3）. 類似于個人防火墻

　　個人防火墻是一種軟件防火墻產(chǎn)品，它是用來保護單一主機系統(tǒng)的。分布式防火墻與個人防火墻有相似之處，如都是對應(yīng)個人系統(tǒng)。但它們之間又有著本質(zhì)上的差別。

　　首先它們管理方式迥然不同，個人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，全面功能和管理都在本機上實現(xiàn)，它的目標(biāo)是防止主機以外的任何外部用戶攻擊；而針對桌面應(yīng)用的主機防火墻的安全策略由整個系統(tǒng)的管理員統(tǒng)一介紹和設(shè)置，除了對該桌面機起到保護作用外，也可以對該桌面機的對外訪問加以控制，并且這種安全機制是桌面機的使用者不可見和不可改動的。

　　其次，不同于個人防火墻是單純的直接面向個人用戶，針對桌面應(yīng)用的主機防火墻是面向企業(yè)級客戶的，它與分布式防火墻其它產(chǎn)品共同構(gòu)成一個企業(yè)級應(yīng)用方案，形成一個安全策略中心統(tǒng)一管理，所以它在一定程度上也面對整個網(wǎng)絡(luò)。它是整個安全防護系統(tǒng)中不可分割的一部分，整個系統(tǒng)的安全檢查機制分散布置在整個分布式防火墻體系中。

　�。�4）適用于服務(wù)器托管

　　互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展促進了互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）的迅速崛起，其主要業(yè)務(wù)之一就是服務(wù)器托管服務(wù)。對服務(wù)器托管用戶而言，該服務(wù)器邏輯上是其企業(yè)網(wǎng)的一部分，只不過物理上不在企業(yè)內(nèi)部。對于這種應(yīng)用，邊界防火墻解決方案就顯得比較牽強附會。我們在前面介紹了，對于這類用戶，他們通常所采用的防火墻方案是采用虛擬防火墻方案，但這種配置相當(dāng)復(fù)雜，非一般網(wǎng)管人員能勝任。而針對服務(wù)器的主機防火墻解決方案則是其一個典型應(yīng)用。對于純軟件式的分布式防火墻則用戶只需在該服務(wù)器上安裝上主機防火墻軟件，并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略即可，并可以利用中心管理軟件對該服務(wù)器進行遠程監(jiān)控，不需任何額外租用新的空間放置邊界防火墻。對于硬件式的分布式防火墻因其通常采用PCI卡式的，通常兼顧網(wǎng)卡作用，所以可以直接插在服務(wù)器機箱里面，也就無需單獨的空間托管費了，對于企業(yè)來說更加實惠。

　　3. 分布式防火墻的主要優(yōu)勢

　　在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點處設(shè)置屏障，從而形成了一個多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。主要優(yōu)勢如下：

　�。�1）增強的系統(tǒng)安全性：增加了針對主機的入侵檢測和防護功能，加強了對來自內(nèi)部攻擊防范，可以實施全方位的安全策略。

　　在傳統(tǒng)邊界式防火墻應(yīng)用中，企業(yè)內(nèi)部網(wǎng)絡(luò)非常容易受到有目的的攻擊，一旦已經(jīng)接入了企業(yè)局域網(wǎng)的某臺計算機，并獲得這臺計算機的控制權(quán)，他們便可以利用這臺機器作為入侵其他系統(tǒng)的跳板。而 新的分布式防火墻將防火墻功能分布到網(wǎng)絡(luò)的各個子網(wǎng)、桌面系統(tǒng)、筆記本計算機以及服務(wù)器PC上。分布于整個公司內(nèi)的分布式防火墻使用戶可以方便地訪問信息，而不會將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)還是遠程訪問所實現(xiàn)與企業(yè)的互聯(lián)不再有任何區(qū)別。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點系統(tǒng)的入侵而導(dǎo)致向整個網(wǎng)絡(luò)蔓延的情況發(fā)生，同時也使通過公共帳號登錄網(wǎng)絡(luò)的用戶無法進入那些限制訪問的計算機系統(tǒng)。針對邊界式防火墻對內(nèi)部網(wǎng)絡(luò)安全性防范的不足，

　　另外，由于分布式防火墻使用了IP安全協(xié)議，能夠很好地識別在各種安全協(xié)議下的內(nèi)部主機之間的端到端網(wǎng)絡(luò)通信，使各主機之間的通信得到了很好的保護。所以分布式防火墻有能力防止各種類型的被動和主動攻擊。特別在當(dāng)我們使用IP安全協(xié)議中的密碼憑證來標(biāo)志內(nèi)部主機時，基于這些標(biāo)志的策略對主機來說無疑更具可信性。

　�。�2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。

　　傳統(tǒng)防火墻由于擁有單一的接入控制點，無論對網(wǎng)絡(luò)的性能還是對網(wǎng)絡(luò)的可靠性都有不利的影響。雖然目前也有這方面的研究并提供了一些相應(yīng)的解決方案，從網(wǎng)絡(luò)性能角度來說，自適應(yīng)防火墻是一種在性能和安全之間尋求平衡的方案；從網(wǎng)絡(luò)可靠性角度來說，采用多個防火墻冗余也是一種可行的方案，但是它們不僅引入了很多復(fù)雜性，而且并沒有從根本上解決該問題。分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。另一方面分布式防火墻可以針對各個服務(wù)器及終端計算機的不同需要，對防火墻進行 佳配置，配置時能夠充分考慮到這些主機上運行的應(yīng)用，如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運轉(zhuǎn)效率。

　�。�3）系統(tǒng)的擴展性：分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。

　　因為分布式防火墻分布在整個企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無限制的擴展能力。隨著網(wǎng)絡(luò)的增長，它們的處理負荷也在網(wǎng)絡(luò)中進一步分布，因此它們的高性能可以持續(xù)保持住。而不會象邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模的增大而不堪重負。

　　（4）實施主機策略：對網(wǎng)絡(luò)中的各節(jié)點可以起到更安全的防護。

　　現(xiàn)在防火墻大多缺乏對主機意圖的了解，通常只能根據(jù)數(shù)據(jù)包的外在特性來進行過濾控制。雖然代理型防火墻能夠解決該問題，但它需要對每一種協(xié)議單獨地編寫代碼，其局限性也顯而易見的。在沒有上下文的情況下，防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的，因而也就無法實施過濾。事實上，攻擊者很容易偽裝成合法包發(fā)動攻擊，攻擊包除了內(nèi)容以外的部分可以完全與合法包一樣。分布式防火墻由主機來實施策略控制，毫無疑問主機對自己的意圖有足夠的了解，所以分布式防火墻依賴主機作出合適的決定就能很自然地解決這一問題。

　　（5）應(yīng)用更為廣泛，支持VPN通信

　　其實分布式防火墻 重要的優(yōu)勢在于，它能夠保護物理拓樸上不屬于內(nèi)部網(wǎng)絡(luò)，但位于邏輯上的"內(nèi)部"網(wǎng)絡(luò)的那些主機，這種需求隨著VPN的發(fā)展越來越多。對這個問題的傳統(tǒng)處理方法是將遠程"內(nèi)部"主機和外部主機的通信依然通過防火墻隔離來控制接入，而遠程"內(nèi)部"主機和防火墻之間采用"隧道"技術(shù)保證安全性，這種方法使原本可以直接通信的雙方必須繞經(jīng)防火墻，不僅效率低而且增加了防火墻過濾規(guī)則設(shè)置的難度。與之相反，分布式防火墻的建立本身就是基本邏輯網(wǎng)絡(luò)的概念，因此對它而言，遠程"內(nèi)部"主機與物理上的內(nèi)部主機沒有任何區(qū)別，它從根本上防止了這種情況的發(fā)生。

　　4. 分布式防火墻的主要功能

　　上面介紹了分布式防火墻的特點和優(yōu)勢，那么到底這種防火墻具備哪些功能呢？因為采用了軟件形式（有的采用了軟件+硬件形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現(xiàn)在以下幾個方面：

　�。�1）Internet訪問控制

　　依據(jù)工作站名稱、設(shè)備指紋等屬性，使用"Internet訪問規(guī)則"，控制該工作站或工作站組在指定的時間段內(nèi)是否允許/禁止訪問模板或網(wǎng)址列表中所規(guī)定的Internet Web服務(wù)器，某個用戶可否基于某工作站訪問www服務(wù)器，同時當(dāng)某個工作站/用戶達到規(guī)定流量后確定是否斷網(wǎng)。

　�。�2）應(yīng)用訪問控制

　　通過對網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測，控制來自局域網(wǎng)/Internet的應(yīng)用服務(wù)請求，如SQL數(shù)據(jù)庫訪問、IPX協(xié)議訪問等。

　　（3）網(wǎng)絡(luò)狀態(tài)監(jiān)控

　　實時動態(tài)報告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵事件等信息。

　�。�4）黑客攻擊的防御

　　抵御包括Smurf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自Internet的黑客攻擊手段。

　�。�5）日志管理

　　對工作站協(xié)議規(guī)則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗證規(guī)則日志、入侵檢測規(guī)則日志的記錄與查詢分析。

　　（6）系統(tǒng)工具

　　包括系統(tǒng)層參數(shù)的設(shè)定、規(guī)則等配置信息的備份與恢復(fù)、流量統(tǒng)計、模板設(shè)置、工作站管理等。