购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.2 防火墙发展历程

1.2.1 防火墙技术的发展

防火墙技术经历了包过滤、应用代理网关、状态检测几个重要阶段,下面简要介绍一下其技术特点。

1.包过滤技术

包过滤防火墙工作在网络层,对数据包的源及目的IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、带有路由功能的路由器以及通用操作系统基本都具有包过滤(Packet Filter)控制的能力。

包过滤防火墙具有的缺陷:

(1)不支持应用层协议。假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用HTTP协议),不允许去外网下载电影(一般使用P2P协议),这时包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。

(2)不能处理新的安全威胁。它不能跟踪TCP状态,所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。

2.应用代理网关技术

应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。

应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。

缺点也非常明显,主要有:

(1)难以配置。由于每个应用都要求单独代理进程,这就要求网管能理解每项应用协议的弱点,并能合理配置安全策略,由于配置烦琐,难以理解,容易出现配置失误,最终影响内网的安全防范能力。

(2)处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性,但是实际应用中并不可行,因为对于内网的每个Web访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常Web访问不能及时得到响应。

3.状态检测技术

我们知道,Internet上传输的数据都必须遵循TCP/IP协议,根据TCP协议,每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段,我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。

状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。

网关防火墙的一个挑战就是能处理的流量,状态检测技术在大大提高安全防范能力的同时也改进了流量处理速度。状态检测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。

1.2.2 防火墙发展的新技术趋势

1.高性能

随着运营商、金融、大型企业的数据中心等用户对安全的关注,对防火墙高吞吐量、高性能连接处理能力的要求越来越迫切。对动辄十吉字节,几十吉字节的流量来说,传统的硬件架构已无法满足用户的需求,因此多核处理,ASIC加速芯片处理等技术纷纷登场。

2.适用于IPv4/6环境

随着IPv6的推广与普及,一方面,现有的信息安全产品必须适应IPv6的网络环境;另一方面,随着IPv6使用时间的延伸,新的安全问题将逐渐暴露,新的安全防护技术也将逐渐产生。虽然在纯IPv6网络中,IPv6端与端的IPSec以及最终摆脱NAT的发展构架对防火墙产品的冲击影响较大,但在IPv4/6共存阶段,针对不同过渡协议混杂的背景,防火墙产品还是有着技术发展和实现的需求。

3.应用层深度控制技术

随着网络大量新业务的推出,网络带宽被越来越多的业务流量占据。防火墙用户对其业务的关注度越来越高,在此环境下,基于深度控制技术的防火墙开始越来越多被提及。此类防火墙的特点是基于用户的策略配置,业务展现友好,具有强大的应用层控制能力和内容分析能力。

4.虚拟化技术

随着云时代的到来,各类云服务逐渐进入普通大众的生活。伴随着云服务而来的也有新的风险及机遇。防火墙作为基础的网络安全产品,伴随着云技术的发展,作为云服务平台的虚拟化技术也在高端防火墙产品中出现。

1.2.3 其他新型防火墙

1.Web应用防火墙

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

Web应用防火墙具有以下四大个方面的功能。

(1)审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话。

(2)访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。

(3)架构/网络设计工具:当运行在反向代理模式,它们被用来分配职能、集中控制、虚拟基础结构等。

(4)Web应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽Web应用固有弱点,而且能够保护Web应用编程错误导致的安全隐患。

2.数据库防火墙

数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,数据库防火墙部署于应用服务器和数据库之间。用户必须通过该类防火墙才能对数据库进行访问或管理。

数据库防火墙的特点如下所述。

(1)屏蔽直接访问数据库的通道:数据库防火墙部署介于数据库服务器和应用服务器之间,屏蔽直接访问的通道,防止数据库隐通道对数据库的攻击。

(2)攻击保护:实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击,并报警或者阻止攻击行为,同时详细审计攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。

(3)细粒度权限控制:按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者,以及基于表、视图对象、列进行权限控制。

(4)安全审计:系统能够审计对数据库服务器的访问情况,包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等信息,并提供灵活的回放日志查询分析功能,可以生成报表。

3.工业控制防火墙

随着信息技术的迅猛发展,信息化在企业中的应用取得了飞速发展,互联网技术的出现,使得工业控制网络中大量采用通用TCP/IP技术,ICS网络和企业管理网的联系越来越紧密。另一方面,传统工业控制系统采用专用的硬件、软件和通信协议,设计上基本没有考虑互联互通所必须考虑的通信安全问题,工控系统的安全隐患问题日益严峻。

工业控制防火墙的特点所下所述。

(1)支持专用工业通信协议:与常规防火墙不同的是,工业防火墙是基于内置工业通信协议的防护模式,由于工业通信协议通常是基于常规TCP/IP在应用层的高级开发,所以该防火墙不仅是在端口上的防护,更重要的是基于应用层上数据包深度检查,为工业通信提供独特的、工业级的专业隔离防护。

(2)工业型设计:硬件安装设计、环境温度要求、功耗散热、体积接口等方面需要符合工业要求。

(3)实时报警识别:由于工业生产的特殊性,任何非法的(未被允许的)访问都需要产生明确的、有效的、实时的报警信息,从而故障问题会在原始发生区域被迅速发现和正确解决,防止故障对生产网络的扩散影响。 GMgHn0v/hxKvzhG60bI2C5IgdygOV7YgWBzbBxjjoAGUw8jRJXhoosGhyj1DfpP+

点击中间区域
呼出菜单
上一章
目录
下一章
×