作者:万国平
本文提出了智能防火墙,这种类型的防火墙更聪明更智能,克服了传统的防火墙的“一管就死,一放就乱”的状况,修正上述防火墙的重大假设为“拒绝保证安全,放行的也要保证安全”。新的智能防火墙把“出口”的概念改变为“关口”的概念,所有经过“关口”的数据包都必须接受防火墙的检查。与传统防火墙采用的数据匹配检查的技术不同,新的智能防火墙采用人工智能识别技术来决定访问控制。智能防火墙比传统的防火墙,更安全,效率更高。
防火墙已经被用户普遍接受,而且正在成为一个主要的网络安全设备。防火墙圈定一个保护的范围,并假定防火墙是唯一的出口,然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设,如果防火墙拒绝某些数据包的通过,则一定是安全的,因为该些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的,防火墙无法判断一个正常的服务的数据包和一个恶意的数据包有什么不同,因此要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么,既然管理员说必须通过,那么防火墙依据你设置的规则来准许该包通过,这样管理员则必须承担策略错误的安全责任。然而,传统防火墙的这种假设对网络安全是不恰当的,安全效果也不好。把安全责任交给安全管理员,实际上就没有解决安全问题。新一代的防火墙应该加强放行数据的安全性,因为网络安全的真实需求是,既要保证安全,也必须保证应用的正常进行。
一、传统的防火墙技术简介
目前的防火墙无论从技术上还是产品发展历程上,都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。 第三代的防火墙准确来说,是美国国防部认为第一代和第二代的防火墙的安全性不够,希望能对应用进行检查,于是出资研制出有名的TIS防火墙套件。第四代防火墙是1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义。高级应用代理(Advanced Application Proxy)的研究,克服速度和安全性之间的矛盾,可以称之为第五代防火墙。
前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。因此,它们都有一个共同的缺陷,安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。
二、传统防火墙遗留的主要安全问题
没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是,以拒绝访问(DDOS)为主要目的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题,非智能防火墙都无能为力。
根据2003年美国联邦调查局(FBI)和计算机犯罪调查机构(CSI)联合发布的报告,超过50%的被调查者承认遭受拒绝访问攻击,80%的被调查者遭受病毒的攻击。垃圾电子邮件更猖狂,IDC估计到2006年,全球每天发送的垃圾信息将超过200亿条。
传统的防火墙能解决上述三大问题吗?答案是否定的。原因有三,一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法解决复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统的防火墙无法解决恶意的攻击行为。
传统的防火墙厂商主张,这三大问题不应该由防火墙来解决。但用户调查表明,超过80%的用户,主张防火墙帮助他们解决上述三大问题。
三、新一代的智能防火墙
智能防火墙是相对传统的防火墙而言的,顾名思义,更聪明更智能。很多用户非常接受智能防火墙概念,在他们的眼里,不聪明就是不可靠不安全,找个不聪明的保镖,你觉得安全吗?传统的防火墙存在的很多问题,用户往往难以理解。用户经常会问,为什么防火墙不能防止黑客的攻击?安全专家用记录的数据来分析,一眼就发现黑客的攻击,为什么防火墙不行?原因就是传统的防火墙是一个简单机制,机械的执行安全策略。
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此,又称为智能防火墙。
一个典型的例子可以说明智能防火墙对网络安全是多么的重要。传统的防火墙对包的检查,就像对人的相貌的识别,采用图像识别一样。把一个人的相貌转换为图像,对图像的每一个像素进行记忆,然后进行匹配检查。通过检查上千万个像素之后,告诉你,这是谁。人不是这样来识别相貌的。人几乎没有计算就可以实时地识别你是谁?这就是智能识别。智能防火墙无须海量计算就可以轻松找到网络行为的特征值来识别网络行为,从而轻松的执行访问控制。
四、智能防火墙的关键技术
1、防攻击技术
智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。
2、防扫描技术
智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。
3、防欺骗技术
智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。
4、入侵防御技术
智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控,并能阻断应用层攻击。
5、包擦洗和协议正常化技术
智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。
6、AAA技术
IP v4版本的一大缺陷是缺乏身份认证功能,所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日,IP v4在相当长一段时间内,还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。
五、智能防火墙的功能特点
智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题,病毒传播的问题和高级应用入侵的行为,代表着防火墙的主流发展方向。新一代的智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化,系统最小化,内核安全,系统加固,系统优化和网络性能最大化方面,与传统防火墙相比,有质的飞跃。
智能防火墙执行全访问的访问控制,而不是简单的进行过滤策略。基于对行为的识别,可以根据什么人、什么时间、什么地点(网络层),什么行为(OSI7层)来执行访问控制,大大增强了防火墙的安全性,更聪明更智能。
智能防火墙的高可用性也是一大亮点。支持最新的国际RFC双机热备标准VRRP,支持流量分担,支持并行防火墙,支持双机容错,支持负载均衡,支持多出口路由。流量分担和并行防火墙技术,对实现线速防火墙具有重大的现实意义。
智能防火墙还具有广泛的应用支持。支持内核级的FTP,H.323,IGMP(组播)等特殊应用支持,支持基于SNMP的集中网管,支持特殊应用网关定制。
智能防火墙具备集中网络管理平台,具备配置管理、性能管理、故障管理、安全管理、审计管理五大管理域。
智能防火墙提供网络实时监控功能。支持监控防火墙的性能如CPU,内存,网络和硬盘的使用率等信息。支持监控防火墙的状态,并实时报警。支持实时监控,包括性能监控、接口流量监控等。
智能防火墙提供对日志的监控,自动处理,人工或自动导出,数据库导入,查看,查询,显示,报警等功能。支持条件查询。
六、智能防火墙的典型应用
除传统防火墙的应用外,智能防火墙还有以下特殊应用场合。
保护网络和站点免受黑客的攻击。由于目前众多的防火墙无法抵御DDOS的攻击,使得网站和网络频繁遭受黑客的攻击。采用智能防火墙,可以有效解决拒绝服务攻击。
阻断病毒的恶意传播。智能防火墙可以智能识别病毒的恶意扫描和流量攻击,有效切断恶意病毒的传播途径。由于智能防火墙是从流量异常来判断病毒的传播,避免了每一次新病毒的爆发所带来的灾难。
有效监控和管理内部局域网。传统的防火墙只防外不管内,导致内部局域网速度慢,恶意病毒和木马盛行。智能防火墙的防欺骗功能和MAC控制功能,有效发现内部恶意流量,帮助安全管理员来找到攻击来源。
保护必需的应用安全。智能防火墙的入侵防护功能,深层的应用数据检测可以有效的发现对应用的恶意攻击,并加以制止。
提供强大的身份认证授权和审计管理。对优化进行身份鉴别授权和审计,是网络安全的要素之一,基于人而不是IP进行管理,更能有效的进行网络安全管理。也为网络取证提供防抵赖的功能。
使用并行防火墙来增加网络的高可用性,实现流量分担,负载均衡,双机热备,实现线速防火墙。大大降低了系统的成本,而且灵活,保持系统的高安全性。