一. 主要功能
1.雙連線埠或三連線埠的結構
新一代防火牆產品有兩個到三個獨立的網卡,內外兩個網卡可不作IP轉化而串接於內部網與外部網之間,另一個網卡可專用於對伺服器的安全保護。
2.透明訪問方式
以前的防火牆在訪問方式上要么要求用戶登錄進系統,要么需要通過SOCKS等路徑修改客戶機的套用。第四代防火牆利用了透明代理技術,從而降低了系統登錄固有的安全風險和出錯機率。
3.靈活的代理系統
代理系統是一種將信息從防火牆的一側傳送到另一側的軟體模組。第四代防火牆採用了兩種代理機制,一種用於代理從內部網路到外部網路的連線,另一種用於代理從外部網路到內部網路的連線。前者採用網路地址轉換(NAT)技術來實現,後者採用非保密的用戶定製代理或保密的代理系統技術來實現。
4.多級過濾技術
為保證系統的安全性和防護水平,第四代防火牆採用了三級過濾措施,並輔以鑑別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在套用網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務;在電路網關一級,實現內部主機與外部站點的透明連線,並對服務的通行實行嚴格控制。
5.網路地址轉換技術(NAT)
NAT技術能透明地對所有內部地址作轉換,使外部網路無法了解內部網路的結構,同時允許內部網路使用自己編的IP位址和專用網路,防火牆能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
6.Internet網關技術
7.安全伺服器網路(SSN)
為適應越來越多的用戶向Internet上提供服務時對伺服器保護的需要,第四代防火牆採用分別保護的策略對用戶上網的對外伺服器實施保護。它利用一張網卡將對外伺服器作為一個獨立網路處理,對外伺服器既是內部網的一部分,又與內部網關完全隔離。這就是安全伺服器網路(SSN)技術,對SSN上的主機既可單獨管理,也可設定成通過FTP、Telnet等方式從內部網上管理。
SSN的方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火牆保護,SSN與內部網之間也有防火牆保護,而DMZ只是一種在內、外部網路網關之間存在的一種防火牆方式。換言之,一旦SSN受破壞,內部網路仍會處於防火牆的保護之下,而一旦DMZ受到破壞,內部網路便暴露於攻擊之下。
8.用戶鑑別與加密
為了降低防火牆產品在Telnet、FTP等服務和遠程管理上的安全風險,鑑別功能必不可少,第四代防火牆採用一次性使用的口令字系統來作為用戶的鑑別手段,並實現了對郵件的加密。
9.用戶定製服務
為滿足特定用戶的特定需求,第四代防火牆在提供眾多服務的同時,還為用戶定製提供支持,這類選項有:通用TCP,出站UDP、FTP、SMTP等,如果某一用戶需要建立一個資料庫的代理,便可利用這些支持,方便設定。
10.審計和告警
第四代防火牆產品的審計和告警功能十分健全,日誌檔案包括:一般信息、核心信息、核心信息、接收郵件、郵件路徑、傳送郵件、已收訊息、已發訊息、連線需求、已鑑別的訪問、告警條件、管理日誌、進站代理、FTP代理、出站代理、郵件伺服器、域名伺服器等。告警功能會守住每一個TCP或UDP探尋,並能發出郵件、聲響等多種方式報警。
此外第四代防火牆還在網路診斷,數據備份與保全等方面具有特色。
二. 技術實現
在第四代防火牆產品的設計與開發中,安全核心、代理系統、多級過濾、安全伺服器和鑑別與加密是關鍵所在。
1.安全核心的實現
第四代防火牆是建立在安全作業系統之上的,安全的作業系統來自對專用作業系統的安全加固和改造,從現有的諸多產品看,對安全作業系統核心的固化與改造主要從以下幾方面進行:
● 取消危險的系統調用;
● 限制命令的執行許可權;
● 取消IP的轉發功能;
● 檢查每個分組的接口;
● 採用隨機連線序號;
● 駐留分組過濾模組;
● 取消動態路由功能;
● 採用多個安全核心。
2.代理系統的建立
防火牆不允許任何信息直接穿過它,對所有的內外連線均要通過代理系統來實現,為保證整個防火牆的安全,所有的代理都應採用改變根目錄的方式存在一個相對獨立的區域以作安全隔離。
在所有的連線通過防火牆前,所有的代理要檢查已定義的訪問規則,這些規則控制代理的服務,並根據以下內容處理分組:
● 源地址;
● 目的地址;
● 時間;
● 同類伺服器的最大數量。
所有外部網路到防火牆內部或SSN的連線由進站代理處理,進站代理要保證內部主機能了解外部主機的所有信息,而外部主機只能看到防火牆之外或SSN的地址。
所有從內部網路或SSN通過防火牆與外部網路建立的連線由出站代理處理,出站代理必須確保由它代表的內部網路與外部地址相連,防止內部網址與外部網址的直接連線,同時還要處理內部網路到SSN的連線。
3. 分組過濾器的設計
作為防火牆的核心部件之一,過濾器的設計要儘量做到減少對防火牆的訪問。過濾器在調用時將被下載到核心中執行,服務終止時,過濾規則會從核心中消除,所有的分組過濾功能都在核心中IP堆疊的深層運行,極為安全。分組過濾器包括以下參數:
● 進站接口;
● 出站接口;
● IP協定特徵;
● 允許的連線;
● 源連線埠範圍;
● 源地址;
● 目的地址;
● 目的連線埠的範圍;
● 對每一種參數的處理都要充分體現設計原則和安全政策。
4. 安全伺服器的設計
安全伺服器的設計有兩個要點:第一,所有SSN的流量都要隔離處理,即從內部網和外部網而來的路由信息流在機制上是分離的;第二,SSN的作用類似於兩個網路,它看上去像是內部網,因為它對外透明,同時又像是外部網路,因為它從內部網路對外訪問的方式十分有限。
SSN上的每一個伺服器都是隱蔽在Internet中的,SSN提供的服務對外部網路而言像防火牆的功能,由於地址轉換是透明的,對各種網路套用沒有限制。實現SSN的關鍵在於:
● 解決分組過濾器與SSN的連線;
● 支持通用防火牆對SSN的訪問;
● 支持代理服務。
5.鑑別與加密的考慮
鑑別與加密是防火牆識別用戶、驗證訪問和保護信息的有效手段,鑑別機制除了提供安全保護而外,還有安全管理功能。目前國外防火牆產品中廣泛使用令牌鑑別方式,具體方法有兩種,一種是加密卡;另一種是Secure ID,這兩種都是一次性口令的生成工具。
對信息內容的加密與鑑別則涉及加密算法和數字簽名技術,除PEM、PGP和Kerberos外,目前國外防火牆產品中尚沒有更好的機制出現。由於加密算法涉及國家信息安全和主權,各國有不同的要求。
三. 抗攻擊能力
作為一種安全防護設備,防火牆在網路中自然是眾多攻擊者的目標,故抗攻擊能力也是防火牆的必備功能。在Internet環境中針對防火牆的攻擊方法很多,下面從幾種主要的功擊方法來評估第四代防火牆的抗攻擊能力。
1.抗IP假冒攻擊
2.抗特洛伊木馬攻擊
第四代防火牆是建立在安全的作業系統之上的,其安全核心中不能執行下載的程式,故而可防止特洛伊木馬的發生。必須指出的是,防火牆能抗特洛伊木馬的攻擊並不表明受其保護的某個主機也能防止這類攻擊。事實上,內部用戶可通過防火牆下載程式,並執行下載的程式。
3.抗口令字探尋攻擊
在網路中探尋口令字的方法很多,最常見的是口令字嗅探和口令字解密。
第四代防火牆採用了一次性口令字和禁止直接登錄防火牆的措施,能有效防止對口令字的攻擊。
4.抗網路安全性分析
網路安全性分析工具本是供管理人員分析網路安全性之用的,一旦這類工具用作攻擊網路的手段,則能較方便地探測到內部網路的安全缺陷和弱點所在。目前,SATAN軟體可以從網上免費獲得,Internet Scanner可從市面上購買,這些分析工具給網路安全構成了直接威脅。第四代防火牆採用了地址轉換技術,將內部網絡隱蔽起來,使網路安全分析工具無法從外部對內部網分析。
5.抗郵件詐欺攻擊
郵件詐欺也是越來越突出的攻擊方式,第四代防火牆不接收任何郵件,故難以採用這種方式對它攻擊。同樣值得一提的是,防火牆不接受郵件,並不表示它不讓郵件通過,實際上用戶仍可收發郵件,內部用戶要防郵件詐欺,最終的解決辦法是對郵件加密。
四. 防火牆技術展望
1.幾點趨勢
從防火牆產品及功能上,可以看出一些動向和趨勢,下面幾點是防火牆下一步的走向:
①防火牆將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展;
②過濾深度不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對Active X、Java等的過濾,並逐漸有病毒清除功能;
③利用防火牆建立虛擬專網(VPN)是未來較長時間內用戶使用的主流,IP加密需求越來越強,安全協定的開發是一大熱點;
④單向防火牆(又叫網路二極體)將作為一種產品門類而出現;
⑤對網路攻擊的檢測和告警將成為防火牆的重要功能;
⑥安全管理工具不斷完善,特別是可疑活動的日誌分析工具等將成為防火牆產品中的一部分。
2.需求的變化
根據上述趨勢,人們選擇防火牆的標準將集中在以下幾個方面:
① 易於管理性;
② 套用透明性;
③ 鑑別與加密功能;
④ 操作環境和硬體要求;
⑤ VPN和CA的功能;
⑥ 接口的數量;
⑦ 成本。
