本节接着按照防火墙产品的形态、部署的位置、功能应用以及技术特点分别介绍防火墙的多种分类及功能。
按照防火墙产品的形态,可以分为软件防火墙和硬件防火墙。
软件防火墙就像其他的软件产品一样需要在计算机上安装并做好配置才可以发挥作用,一般来说,这台计算机就是整个网络的网关。如今,许多网络设备中都含有防火墙功能,如路由器、无线基站、IP交换机等,流行的Windows、Linux操作系统中也含有软件防火墙。
软件防火墙具有安装灵活、便于升级扩展等优点,缺点是安全性受制于其支撑操作系统平台,性能不高。
图2-2和图2-3所示分别为Windows系统自带的软件防火墙和著名安全公司Check Point的ZoneAlarm软件防火墙(https://www.zonealarm.com/software/firewall/download)。
图2-2 Windows系统自带的软件防火墙
图2-3 ZoneAlarm软件防火墙
目前市场上大多数防火墙产品是硬件防火墙。这类防火墙一般基于PC架构,还有的基于特定用途集成电路(Application Specific Integrated Circuit,ASIC)芯片、基于网络处理器(Network Processor,NP),以及基于现场可编程门阵列(Field-programmable Gate Array,FPGA)芯片。基于专用芯片的防火墙采用专用操作系统,因此防火墙本身的漏洞比较少,而且由于基于专门的硬件平台,因而这类防火墙的处理能力强、性能高。图2-4所示为我国安全公司天融信的下一代防火墙产品。
图2-4 天融信下一代防火墙产品
按照防火墙的应用部署位置,可以分为因特网边界防火墙、内部子网边界防火墙和单机防火墙。
考虑一个典型的网络体系结构,如图2-5所示。
图2-5 一个典型的网络体系结构及防火墙的应用
在图2-5中,涉及3个不同的安全区域。
1)外部网络。外部网络包括外部因特网用户主机和设备,这个区域为防火墙的非可信网络区域。
2)DMZ网络。DMZ(Demilitarized Zone,隔离区,也称非军事区)网络是设立在外部网络和内部网络之间的小网络区域,是一个非安全系统与安全系统之间的缓冲区。DMZ中放置一些为因特网公众用户提供某种信息服务而必须公开的服务器,如Web服务器、Email服务器、FTP服务器、外部DNS服务器等。将需要对外部开放特定服务和应用的服务器放置在DMZ网络中,既对其提供了一定的防护,又确保了对其的访问畅通,同时更加有效地保护了内部网络。
3)内部网络。内部网络包括全部的内部网络设备、内网核心服务器及用户主机。需要注意的是,内部网络还可能包括不同的安全区域,具有不同等级的安全访问权限。
对于以上典型的网络体系结构,可以部署3种类型的防火墙。
因特网边界防火墙处于外部不可信网络(包括广域网和分支机构/其他自主网络)与内部可信网络之间,控制来自外部不可信网络对内部可信网络的访问,防范来自外部网络的攻击,同时,保证DMZ服务器的相对安全性和使用便利性。这是目前防火墙的最主要应用。
防火墙的内、外网卡分别连接于内、外部网络,但内部网络和外部网络是从逻辑上完全隔开的。所有来自外部网络的服务请求只能到达防火墙的外部网卡,防火墙对收到的数据包进行分析后将合法的请求通过内部网卡传送给相应的服务主机,对于非法访问予以拒绝。
说明:
路由器通常也具有防火墙功能,可以与实际防火墙产品共同构筑安全防线。第2.3节将详细介绍相关内容。
内部子网边界防火墙处于内部不同可信等级安全域之间,起到隔离内网关键部门、子网或用户的目的。
如图2-5所示的网络体系结构是一个多层次、多结点、多业务的网络,各结点间的信任程度不同,可能由于业务的需要,各主机和服务器群之间要频繁地交换数据,这时就需要在主机和服务器群之间或者服务器与服务器之间加设防火墙,制订完善的安全策略,以确保内部网络的安全。
单机防火墙通常为软件防火墙,安装于单台主机/服务器中,防护的也只是单台设备。
按照防火墙的功能应用,可以分为传统防火墙和下一代防火墙(Next-Generation Firewall,NGFW)。
传统防火墙主要包括以下功能。
●通过制订访问控制策略,对出入防火墙的信息流进行控制,以确保受保护网络的安全。
●可以精确制订每个用户的访问权限,控制受保护网络用户的访问。
●通过集中的安全策略管理,使每个网段上的主机不必再单独设立安全策略,降低了人为因素导致产生网络安全问题的可能性。
●认证功能,以防止非法入侵。
●网络地址转换(Network Address Translation,NAT)功能,隐藏内部网络拓扑。
●虚拟专用网(Virtual Private Network,VPN)功能,跨越不安全公网来建立安全数据通道。
●日志和审计功能,对内、外网访问进行详细记录并进行审计。
随着网络环境的日益严峻以及用户安全需求的不断增加,人们提出了下一代防火墙的概念,以应对攻击行为和业务流程的新变化。著名市场分析咨询机构Gartner于2009年发布的 Defining the Next-Generation Firewall 中给出了下一代防火墙的定义。NGFW至少应当具备以下几个功能。
●拥有传统防火墙的所有功能。
●支持与防火墙联动的入侵防御系统。
●应用层安全控制。
●与其他安全设备的智能化联动。
我国公安部第三研究所与深信服、网御星云等国内安全厂商制定了适用于国内网络环境的、并与国际接轨的第二代防火墙标准《信息安全技术第二代防火墙安全技术要求》(GA/T 1177—2014)。新标准将国际通用说法“下一代防火墙”更名为“第二代防火墙”。该标准从安全功能、安全保证、环境适应性和性能4个方面,对第二代防火墙提出了新的要求。
●应用层控制功能。新标准保留了传统防火墙在网络层的控制要求,如包过滤、状态检测、NAT等功能,增加了基于应用层控制的功能要求,尤其是在应用层面对于细分应用类型和协议的识别控制能力,以及数据包深度内容检测(Deep Packet Inspection,DPI)能力。
●入侵防御和恶意代码防护功能。要求能够检测并抵御操作系统类、文件类、服务器类等漏洞攻击,支持蠕虫病毒、后门木马等恶意代码的检测。
●Web攻击防护、信息泄露防护功能,符合用户业务安全需求。要求具备防护Web攻击的能力,支持SQL注入攻击检测与防护,支持XSS攻击检测与防护;应具备对输出的信息流进行检测的功能,防止敏感信息泄露。
在下一代(第二代)防火墙中,根据其功能应用,又有两类特殊的防火墙产品:Web应用防火墙和数据库防火墙。
(1)Web应用防火墙
Web应用防火墙(Web Application Firewall,WAF)是指部署于Web服务器前端,根据预先定义的安全防护规则,对流经的HTTP/HTTPS访问和响应数据进行解析,具备Web应用的访问控制及安全防护功能的网络安全产品。
可以把WAF看作防火墙的一个功能模块,是对深度检测数据包功能的增强;也可以把WAF看作运行在HTTP上的入侵检测系统(Intrusion Detection System,IDS)。
(2)数据库防火墙
数据库防火墙(Database Firewall,DBFW)部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,是具备数据库的访问控制及安全防护功能的网络安全产品。具体包括如下一些功能。
●可以对基于端口、IP、SQL语句等信息的数据库访问进行访问控制。
●能够实时检测出对数据库进行的SQL注入攻击,对攻击进行阻断并告警。
●可对数据库SQL语句操作精确到表、字段、关键字等细粒度的访问控制。
●根据用户的各种使用活动比对安全基线(模型)信息,自动学习数据库访问行为。
●减轻管理人员定义策略的负担,增加防御攻击的准确性。
●数据库内部的敏感信息可通过相关的脱敏规则对SQL查询返回结果进行模糊化处理和数据遮蔽,防止外部攻击和内部高权限用户的敏感信息泄露。
与Web应用防火墙不同的是,数据库防火墙作用在应用服务器和数据库服务器之间,看到的是经过了复杂的业务逻辑处理之后最后生成的完整SQL语句,也就是说,看到的是攻击的最终表现形态,因此数据库防火墙可以采用比Web应用防火墙更加积极的防御策略。此外,通过HTTP服务应用访问数据库只是数据库访问中的一种通道和业务,还有大量的业务访问和HTTP无关,这些与HTTP无关的业务自然就无法依赖Web应用防火墙,而需要数据库防火墙来完成。因此,数据库防火墙能够比Web应用防火墙取得更好的防御效果。
根据防火墙的技术特点,通常把防火墙分为包过滤防火墙和应用代理防火墙两大类。相关内容在接下来的第2.2节防火墙基本技术中做详细介绍。
拓展知识:防火墙与网络隔离的区别
在应用要求上,我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离。需要信息交换的网络安全隔离,目标是确保把有害的攻击隔离在可信网络之外,以及在保证可信网络内部信息不外泄的前提下完成网络之间的数据安全交换。
在工作原理上,防火墙主要在数据包转发过程中进行解析,并实现访问控制及其他安全防护。其内部所有的TCP/IP会话都在网络之间进行,存在被劫持和复用的风险。网络隔离技术的核心,是通过专用硬件和安全协议来确保两个链路层断开的网络能够实现数据交互。网闸就是这样一种常用的网络隔离产品。
在硬件架构上,防火墙是单主机系统,而网闸为2+1的结构,即前后主机+隔离硬件,网闸就像船闸一样有两个物理开关,信息流进入网闸时,前闸合上而后闸断开,网闸连通发送方而断开接收方;待信息存入中间的缓存以后,前闸断开而后闸合上,网闸连通所隔离的两个安全域中的接收方而断开发送方。这样,从网络电子信道这个角度,发送方与接收方不会同时和网闸连通,从而达到在信道上物理隔离的目的。
在部署位置上,防火墙主要部署在网络边界,功能包括访问控制、网络地址转换、虚拟专用网、入侵防御等。网闸一般部署在办公网和业务网之间,高安全与低安全区域之间,其功能主要为文件同步、数据库同步、组播协议等。