一. 防火牆的概念
近年來,隨着普通計算機用戶羣的日益增長,“防火牆”一詞已經不再是服務器領域的專署,大部分家庭用戶都知道爲自己愛機安裝各種“防火牆”軟件了。但是,並不是所有用戶都對“防火牆”有所瞭解的,一部分用戶甚至認爲,“防火牆”是一種軟件的名稱……
到底什麼纔是防火牆?它工作在什麼位置,起着什麼作用?查閱歷史書籍可知,古代構築和使用木製結構房屋的時候爲防止火災的發生和蔓延,人們將堅固的石塊 堆砌在房屋周圍作爲屏障,這種防護構築物就被稱爲“防火牆”(FireWall)。時光飛梭,隨着計算機和網絡的發展,各種攻擊入侵手段也相繼出現了,爲 了保護計算機的安全,人們開發出一種能阻止計算機之間直接通信的技術,並沿用了古代類似這個功能的名字——“防火牆”技術來源於此。用專業術語來說,防火 牆是一種位於兩個或多個網絡間,實施網絡之間訪問控制的組件集合。對於普通用戶來說,所謂“防火牆”,指的就是一種被放置在自己的計算機與外界網絡之間的 防禦系統,從網絡發往計算機的所有數據都要經過它的判斷處理後,纔會決定能不能把這些數據交給計算機,一旦發現有害數據,防火牆就會攔截下來,實現了對計 算機的保護功能。
防火牆技術從誕生開始,就在一刻不停的發展着,各種不同結構不同功能的防火牆,構築成網絡上的一道道防禦大堤。
二. 防火牆的分類
世界上沒有一種事物是唯一的,防火牆也一樣,爲了更有效率的對付網絡上各種不同攻擊手段,防火牆也派分出幾種防禦架構。根據物理特性,防火牆分爲兩大 類,硬件防火牆和軟件防火牆。軟件防火牆是一種安裝在負責內外網絡轉換的網關服務器或者獨立的個人計算機上的特殊程序,它是以邏輯形式存在的,防火牆程序 跟隨系統啓動,通過運行在Ring0級別的特殊驅動模塊把防禦機制插入系統關於網絡的處理部分和網絡接口設備驅動之間,形成一種邏輯上的防禦體系。
在沒有軟件防火牆之前,系統和網絡接口設備之間的通道是直接的,網絡接口設備通過網絡驅動程序接口(Network Driver Interface Specification,NDIS)把網絡上傳來的各種報文都忠實的交給系統處理,例如一臺計算機接收到請求列出機器上所有共享資源的數據報文, NDIS直接把這個報文提交給系統,系統在處理後就會返回相應數據,在某些情況下就會造成信息泄漏。而使用軟件防火牆後,儘管NDIS接收到仍然的是原封 不動的數據報文,但是在提交到系統的通道上多了一層防禦機制,所有數據報文都要經過這層機制根據一定的規則判斷處理,只有它認爲安全的數據才能到達系統, 其他數據則被丟棄。因爲有規則提到“列出共享資源的行爲是危險的”,因此在防火牆的判斷下,這個報文會被丟棄,這樣一來,系統接收不到報文,則認爲什麼事 情也沒發生過,也就不會把信息泄漏出去了。
軟件防火牆工作於系統接口與NDIS之間,用於檢查過濾由NDIS發送過來的數據,在無需改動硬件 的前提下便能實現一定強度的安全保障,但是由於軟件防火牆自身屬於運行於系統上的程序,不可避免的需要佔用一部分CPU資源維持工作,而且由於數據判斷處 理需要一定的時間,在一些數據流量大的網絡裏,軟件防火牆會使整個系統工作效率和數據吞吐速度下降,甚至有些軟件防火牆會存在漏洞,導致有害數據可以繞過 它的防禦體系,給數據安全帶來損失,因此,許多企業並不會考慮用軟件防火牆方案作爲公司網絡的防禦措施,而是使用看得見摸得着的硬件防火牆。
硬件防火牆是一種以物理形式存在的專用設備,通常架設於兩個網絡的駁接處,直接從網絡設備上檢查過濾有害的數據報文,位於防火牆設備後端的網絡或者服務器 接收到的是經過防火牆處理的相對安全的數據,不必另外分出CPU資源去進行基於軟件架構的NDIS數據檢測,可以大大提高工作效率。
硬件防火 牆一般是通過網線連接於外部網絡接口與內部服務器或企業網絡之間的設備,這裏又另外派分出兩種結構,一種是普通硬件級別防火牆,它擁有標準計算機的硬件平 臺和一些功能經過簡化處理的UNIX系列操作系統和防火牆軟件,這種防火牆措施相當於專門拿出一臺計算機安裝了軟件防火牆,除了不需要處理其他事務以外, 它畢竟還是一般的操作系統,因此有可能會存在漏洞和不穩定因素,安全性並不能做到最好;另一種是所謂的“芯片”級硬件防火牆,它採用專門設計的硬件平臺, 在上面搭建的軟件也是專門開發的,並非流行的操作系統,因而可以達到較好的安全性能保障。但無論是哪種硬件防火牆,管理員都可以通過計算機連接上去設置工 作參數。由於硬件防火牆的主要作用是把傳入的數據報文進行過濾處理後轉發到位於防火牆後面的網絡中,因此它自身的硬件規格也是分檔次的,儘管硬件防火牆已 經足以實現比較高的信息處理效率,但是在一些對數據吞吐量要求很高的網絡裏,檔次低的防火牆仍然會形成瓶頸,所以對於一些大企業而言,芯片級的硬件防火牆 纔是他們的首選。
有人也許會這麼想,既然PC架構的防火牆也不過如此,那麼購買這種防火牆還不如自己找技術人員專門騰出一臺計算機來做防火牆 方案了。雖然這樣做也是可以的,但是工作效率並不能和真正的PC架構防火牆相比,因爲PC架構防火牆採用的是專門修改簡化過的系統和相應防火牆程序,比一 般計算機系統和軟件防火牆更高度緊密集合,而且由於它的工作性質決定了它要具備非常高的穩定性、實用性和非常高的系統吞吐性能,這些要求並不是安裝了多網 卡的計算機就能簡單替代的,因此PC架構防火牆雖然是與計算機差不多的配置,價格卻相差很大。
現實中我們往往會發現,並非所有企業都架設了芯 片級硬件防火牆,而是用PC架構防火牆甚至前面提到的計算機替代方案支撐着,爲什麼?這大概就是硬件防火牆最顯著的缺點了:它太貴了!購進一臺PC架構防 火牆的成本至少都要幾千元,高檔次的芯片級防火牆方案更是在十萬元以上,這些價格並非是小企業所能承受的,而且對於一般家庭用戶而言,自己的數據和系統安 全也無需專門用到一個硬件設備去保護,何況爲一臺防火牆投入的資金足以讓用戶購買更高檔的電腦了,因而廣大用戶只要安裝一種好用的軟件防火牆就夠了。
爲防火牆分類的方法很多,除了從形式上把它分爲軟件防火牆和硬件防火牆以外,還可以從技術上分爲“包過濾型”、“應用代理型”和“狀態監視”三類;從結 構上又分爲單一主機防火牆、路由集成式防火牆和分佈式防火牆三種;按工作位置分爲邊界防火牆、個人防火牆和混合防火牆;按防火牆性能分爲百兆級防火牆和千 兆級防火牆兩類……雖然看似種類繁多,但這只是因爲業界分類方法不同罷了,例如一臺硬件防火牆就可能由於結構、數據吞吐量和工作位置而規劃爲“百兆級狀態 監視型邊界防火牆”,因此這裏主要介紹的是技術方面的分類,即“包過濾型”、“應用代理型”和“狀態監視型”防火牆技術。
那麼,那些所謂的 “邊界防火牆”、“單一主機防火牆”又是什麼概念呢?所謂“邊界”,就是指兩個網絡之間的接口處,工作於此的防火牆就被稱爲“邊界防火牆”;與之相對的有 “個人防火牆”,它們通常是基於軟件的防火牆,只處理一臺計算機的數據而不是整個網絡的數據,現在一般家庭用戶使用的軟件防火牆就是這個分類了。而“單一 主機防火牆”呢,就是我們最常見的一臺臺硬件防火牆了;一些廠商爲了節約成本,直接把防火牆功能嵌進路由設備裏,就形成了路由集成式防火牆……
三. 防火牆技術
傳統意義上的防火牆技術分爲三大類,“包過濾”(Packet Filtering)、“應用代理”(Application Proxy)和“狀態監視”(Stateful Inspection),無論一個防火牆的實現過程多麼複雜,歸根結底都是在這三種技術的基礎上進行功能擴展的。
1.包過濾技術
包過濾是最早使用的一種防火牆技術,它的第一代模型是“靜態包過濾”(Static Packet Filtering),使用包過濾技術的防火牆通常工作在OSI模型中的網絡層(Network Layer)上,後來發展更新的“動態包過濾”(Dynamic Packet Filtering)增加了傳輸層(Transport Layer),簡而言之,包過濾技術工作的地方就是各種基於TCP/IP協議的數據報文進出的通道,它把這兩層作爲數據監控的對象,對每個數據包的頭部、 協議、地址、端口、類型等信息進行分析,並與預先設定好的防火牆過濾規則(Filtering Rule)進行覈對,一旦發現某個包的某個或多個部分與過濾規則匹配並且條件爲“阻止”的時候,這個包就會被丟棄。適當的設置過濾規則可以讓防火牆工作得 更安全有效,但是這種技術只能根據預設的過濾規則進行判斷,一旦出現一個沒有在設計人員意料之中的有害數據包請求,整個防火牆的保護就相當於擺設了。也許 你會想,讓用戶自行添加不行嗎?但是別忘了,我們要爲是普通計算機用戶考慮,並不是所有人都瞭解網絡協議的,如果防火牆工具出現了過濾遺漏問題,他們只能 等着被入侵了。一些公司採用定期從網絡升級過濾規則的方法,這個創意固然可以方便一部分家庭用戶,但是對相對比較專業的用戶而言,卻不見得就是好事,因爲 他們可能會有根據自己的機器環境設定和改動的規則,如果這個規則剛好和升級到的規則發生衝突,用戶就該鬱悶了,而且如果兩條規則衝突了,防火牆該聽誰的, 會不會當場“死給你看”(崩潰)?也許就因爲考慮到這些因素,至今我沒見過有多少個產品會提供過濾規則更新功能的,這並不能和殺毒軟件的病毒特徵庫升級原 理相提並論。爲了解決這種魚與熊掌的問題,人們對包過濾技術進行了改進,這種改進後的技術稱爲“動態包過濾”(市場上存在一種“基於狀態的包過濾防火牆” 技術,即Stateful-based Packet Filtering,他們其實是同一類型),與它的前輩相比,動態包過濾功能在保持着原有靜態包過濾技術和過濾規則的基礎上,會對已經成功與計算機連接的 報文傳輸進行跟蹤,並且判斷該連接發送的數據包是否會對系統構成威脅,一旦觸發其判斷機制,防火牆就會自動產生新的臨時過濾規則或者把已經存在的過濾規則 進行修改,從而阻止該有害數據的繼續傳輸,但是由於動態包過濾需要消耗額外的資源和時間來提取數據包內容進行判斷處理,所以與靜態包過濾相比,它會降低運 行效率,但是靜態包過濾已經幾乎退出市場了,我們能選擇的,大部分也只有動態包過濾防火牆了。
基於包過濾技術的防火牆,其缺點是很顯著的:它 得以進行正常工作的一切依據都在於過濾規則的實施,但是偏又不能滿足建立精細規則的要求(規則數量和防火牆性能成反比),而且它只能工作於網絡層和傳輸 層,並不能判斷高級協議裏的數據是否有害,但是由於它廉價,容易實現,所以它依然服役在各種領域,在技術人員頻繁的設置下爲我們工作着。
2.應用代理技術
由於包過濾技術無法提供完善的數據保護措施,而且一些特殊的報文攻擊僅僅使用過濾的方法並不能消除危害(如SYN攻擊、ICMP洪水等),因此人們需要 一種更全面的防火牆保護技術,在這樣的需求背景下,採用“應用代理”(Application Proxy)技術的防火牆誕生了。我們的讀者還記得“代理”的概念嗎?代理服務器作爲一個爲用戶保密或者突破訪問限制的數據轉發通道,在網絡上應用廣泛。 我們都知道,一個完整的代理設備包含一個服務端和客戶端,服務端接收來自用戶的請求,調用自身的客戶端模擬一個基於用戶請求的連接到目標服務器,再把目標 服務器返回的數據轉發給用戶,完成一次代理工作過程。那麼,如果在一臺代理設備的服務端和客戶端之間連接一個過濾措施呢?這樣的思想便造就了“應用代理” 防火牆,這種防火牆實際上就是一臺小型的帶有數據檢測過濾功能的透明代理服務器(Transparent Proxy),但是它並不是單純的在一個代理設備中嵌入包過濾技術,而是一種被稱爲“應用協議分析”(Application Protocol Analysis)的新技術。
“應用協議分析”技術工作在OSI模型的最高層——應用層上,在這一層裏能接觸到的所有數據都是最終形式,也就 是說,防火牆“看到”的數據和我們看到的是一樣的,而不是一個個帶着地址端口協議等原始內容的數據包,因而它可以實現更高級的數據檢測過程。整個代理防火 牆把自身映射爲一條透明線路,在用戶方面和外界線路看來,它們之間的連接並沒有任何阻礙,但是這個連接的數據收發實際上是經過了代理防火牆轉向的,當外界 數據進入代理防火牆的客戶端時,“應用協議分析”模塊便根據應用層協議處理這個數據,通過預置的處理規則(沒錯,又是規則,防火牆離不開規則)查詢這個數 據是否帶有危害,由於這一層面對的已經不再是組合有限的報文協議,甚至可以識別類似於“GET /sql.asp?id=1 and 1”的數據內容,所以防火牆不僅能根據數據層提供的信息判斷數據,更能像管理員分析服務器日誌那樣“看”內容辨危害。而且由於工作在應用層,防火牆還可以 實現雙向限制,在過濾外部網絡有害數據的同時也監控着內部網絡的信息,管理員可以配置防火牆實現一個身份驗證和連接時限的功能,進一步防止內部網絡信息泄 漏的隱患。最後,由於代理防火牆採取是代理機制進行工作,內外部網絡之間的通信都需先經過代理服務器審覈,通過後再由代理服務器連接,根本沒有給分隔在內 外部網絡兩邊的計算機直接會話的機會,可以避免入侵者使用“數據驅動”攻擊方式(一種能通過包過濾技術防火牆規則的數據報文,但是當它進入計算機處理後, 卻變成能夠修改系統設置和用戶數據的惡意代碼)滲透內部網絡,可以說,“應用代理”是比包過濾技術更完善的防火牆技術。
但是,似乎任何東西都 不可能逃避“墨菲定律”的規則,代理型防火牆的結構特徵偏偏正是它的最大缺點,由於它是基於代理技術的,通過防火牆的每個連接都必須建立在爲之創建的代理 程序進程上,而代理進程自身是要消耗一定時間的,更何況代理進程裏還有一套複雜的協議分析機制在同時工作,於是數據在通過代理防火牆時就不可避免的發生數 據遲滯現象,換個形象的說法,每個數據連接在經過代理防火牆時都會先被請進保安室喝杯茶搜搜身再繼續趕路,而保安的工作速度並不能很快。代理防火牆是以犧 牲速度爲代價換取了比包過濾防火牆更高的安全性能,在網絡吞吐量不是很大的情況下,也許用戶不會察覺到什麼,然而到了數據交換頻繁的時刻,代理防火牆就成 了整個網絡的瓶頸,而且一旦防火牆的硬件配置支撐不住高強度的數據流量而發生罷工,整個網絡可能就會因此癱瘓了。所以,代理防火牆的普及範圍還遠遠不及包 過濾型防火牆,而在軟件防火牆方面更是幾乎沒見過類似產品了——單機並不具備代理技術所需的條件,所以就目前整個龐大的軟件防火牆市場來說,代理防火牆很 難有立足之地。
3.狀態監視技術
這是繼“包過濾”技術和“應用代理”技術後發展的防火牆技術,它是CheckPoint技術公 司在基於“包過濾”原理的“動態包過濾”技術發展而來的,與之類似的有其他廠商聯合發展的“深度包檢測”(Deep Packet Inspection)技術。這種防火牆技術通過一種被稱爲“狀態監視”的模塊,在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各 個層次實行監測,並根據各種過濾規則作出安全決策。
“狀態監視”(Stateful Inspection)技術在保留了對每個數據包的頭部、協議、地址、端口、類型等信息進行分析的基礎上,進一步發展了“會話過濾”(Session Filtering)功能,在每個連接建立時,防火牆會爲這個連接構造一個會話狀態,裏面包含了這個連接數據包的所有信息,以後這個連接都基於這個狀態信 息進行,這種檢測的高明之處是能對每個數據包的內容進行監視,一旦建立了一個會話狀態,則此後的數據傳輸都要以此會話狀態作爲依據,例如一個連接的數據包 源端口是8000,那麼在以後的數據傳輸過程裏防火牆都會審覈這個包的源端口還是不是8000,否則這個數據包就被攔截,而且會話狀態的保留是有時間限制 的,在超時的範圍內如果沒有再進行數據傳輸,這個會話狀態就會被丟棄。狀態監視可以對包內容進行分析,從而擺脫了傳統防火牆僅侷限於幾個包頭部信息的檢測 弱點,而且這種防火牆不必開放過多端口,進一步杜絕了可能因爲開放端口過多而帶來的安全隱患。
由於狀態監視技術相當於結合了包過濾技術和應用 代理技術,因此是最先進的,但是由於實現技術複雜,在實際應用中還不能做到真正的完全有效的數據安全檢測,而且在一般的計算機硬件系統上很難設計出基於此 技術的完善防禦措施(市面上大部分軟件防火牆使用的其實只是包過濾技術加上一點其他新特性而已)。
四. 技術展望
防火 牆作爲維護網絡安全的關鍵設備,在目前採用的網絡安全的防範體系中,佔據着舉足輕重的位置。伴隨計算機技術的發展和網絡應用的普及,越來越多的企業與個體 都遭遇到不同程度的安全難題,因此市場對防火牆的設備需求和技術要求都在不斷提升,而且越來越嚴峻的網絡安全問題也要求防火牆技術有更快的提高,否則將會 在面對新一輪入侵手法時束手無策。
多功能、高安全性的防火牆可以讓用戶網絡更加無憂,但前提是要確保網絡的運行效率,因此在防火牆發展過程 中,必須始終將高性能放在主要位置,目前各大廠商正在朝這個方向努力,而且豐富的產品功能也是用戶選擇防火牆的依據之一,一款完善的防火牆產品,應該包含 有訪問控制、網絡地址轉換、代理、認證、日誌審計等基礎功能,並擁有自己特色的安全相關技術,如規則簡化方案等,明天的防火牆技術將會如何發展,讓我們拭 目以待。
