防火墻分析及校園網(wǎng)防火墻選擇

1、防火墻分析及校園網(wǎng)防火墻選擇主流防火墻分析報(bào)告一.防火墻產(chǎn)品類(lèi)型發(fā)展趨勢(shì)防火墻發(fā)展的總趨勢(shì)都是集中在尋找防火墻性能和功能的平衡 點(diǎn)。下面是五種典型的現(xiàn)行的防火墻種類(lèi)。（一.）包過(guò)濾防火墻傳統(tǒng)的包過(guò)濾對(duì)包的檢測(cè)是工作在網(wǎng)絡(luò)層，它只是通過(guò)逐個(gè)檢查 單個(gè)包的地址，協(xié)議以及端口等信息來(lái)決定是否允許此數(shù)據(jù)包通過(guò)。 包過(guò)濾的主要優(yōu)點(diǎn)是由高性能和易于配置， 因此盡管包過(guò)濾的安全性 低，許多廠家仍然不放棄包過(guò)濾類(lèi)型， 而且對(duì)包過(guò)濾進(jìn)行了大量的功 能擴(kuò)展，如添加代理功能，用戶(hù)認(rèn)證，對(duì)話(huà)層的狀態(tài)檢測(cè)等以提高包 過(guò)濾的安全性能，以求做到保證速度和安全性兼得。（二.）應(yīng)用代理防火墻應(yīng)用級(jí)防火墻主要工作于應(yīng)用層。它主要

2、的優(yōu)點(diǎn)是通過(guò)完全隔離 內(nèi)網(wǎng)和外網(wǎng)的通信以及細(xì)粒度的內(nèi)容檢測(cè)可以達(dá)到很強(qiáng)的安全性能。 但是它的缺點(diǎn)也很突出，首先它對(duì)網(wǎng)絡(luò)性能影響很大，其次是必須為 每一種服務(wù)實(shí)現(xiàn)一個(gè)代理所造成的開(kāi)發(fā)上的麻煩，最后是應(yīng)用代理防火墻對(duì)用戶(hù)配置所造成的麻煩。所以應(yīng)用代理防火墻的廠商也不斷的 想辦法提高自己的性能增強(qiáng)自己的競(jìng)爭(zhēng)力， 另一方面也逐步向透明代 理過(guò)渡以方便用戶(hù)的使用。（三.）混合型防火墻（Hybrid ）由于希望防火墻在功能和處理上能進(jìn)行融合，保證完善的應(yīng)用。許多廠家提出了混合型防火墻的概念。 他們認(rèn)為混合型防火墻應(yīng)該是 動(dòng)態(tài)包過(guò)濾和透明代理的有機(jī)結(jié)合，可以做到用戶(hù)無(wú)需知道給他提供 服務(wù)的到底是用了那些技術(shù)

3、，而防火墻根據(jù)不同的服務(wù)要求提供用戶(hù) 的使用要求和安全策略。而且為了保證性能只有必須使用應(yīng)用代理才 能實(shí)現(xiàn)的功能才使用代理。（四.）全狀態(tài)檢測(cè)防火墻（Full State Inspection ）這是由一個(gè)知名防火墻廠家 Checkpoint提出的一種新型防火墻， 據(jù)Checkpoint關(guān)于firewall-1的技術(shù)文檔介紹，該種防火墻既能具有 包過(guò)濾的功能又能具有代理防火墻的安全性。Firewall-1擁有一個(gè)強(qiáng) 大的檢測(cè)模塊（Inspection Model）該模塊可以分析所有的包通信層， 并提取相關(guān)的通信及應(yīng)用狀態(tài)信息。Firewall-1的檢查模塊位于操作 系統(tǒng)的核心，位于鏈路層和網(wǎng)絡(luò)

4、層之間，因此任何包未通過(guò)該模塊檢 驗(yàn)通過(guò)之前將不會(huì)交給更高的協(xié)議層處理。據(jù)說(shuō)狀態(tài)檢測(cè)可以支持所有主要的因特網(wǎng)服務(wù)和上百種應(yīng)用程序，如 e-mail,FTP,Telnet,Orable SQL*Net數(shù)據(jù)庫(kù)存取和新興的多媒體應(yīng)用程序如 RealAudio,VDOLive。（五.）自適應(yīng)代理防火墻這是Network Associate公司提出的號(hào)稱(chēng)新一代防火墻“自適應(yīng)代理防火墻在自適應(yīng)防火墻中，在每個(gè)連接通信的開(kāi)始仍然需要在應(yīng)用層接受檢測(cè)，而后面的包可以經(jīng)過(guò)安全規(guī)則由自適應(yīng)代理程 序自動(dòng)的選擇是使用包過(guò)濾還是代理。自適應(yīng)代理模塊是依靠動(dòng)態(tài)包 過(guò)濾模塊來(lái)得知通信連接的情況，當(dāng)一個(gè)連接到來(lái)時(shí)，動(dòng)態(tài)包過(guò)

5、濾將 通知代理并提供源和目的的信息，然后自適應(yīng)代理根據(jù)管理員關(guān)于“安全與性能”選擇的配置來(lái)靈活的為每一個(gè)連接指定相應(yīng)的策略。在自適應(yīng)代理中，動(dòng)態(tài)包過(guò)濾允許代理要求新連接的通知，接著代理就可以檢查每個(gè)具體的連接信息，告訴動(dòng)態(tài)包過(guò)濾接下去應(yīng)該對(duì) 該包作如何處理，如丟棄，轉(zhuǎn)發(fā)還是將包提到應(yīng)用層檢查。動(dòng)態(tài)包過(guò) 濾對(duì)每個(gè)連接所采用的過(guò)濾規(guī)則都是由代理自動(dòng)調(diào)整的。雖然Network Associate的這套自適應(yīng)代理技術(shù)具有一定的先進(jìn) 性，但據(jù)說(shuō)并未完全被該公司所實(shí)現(xiàn)，因此該公司的技術(shù)文檔中很難 有關(guān)于自適應(yīng)代理的詳細(xì)的資料。二.防火墻實(shí)現(xiàn)技術(shù)分析(一.)性能實(shí)現(xiàn)隨著網(wǎng)絡(luò)速度的不斷提升，防火墻的性能越來(lái)越

6、成為國(guó)外廠家關(guān) 注的問(wèn)題，他們一般主要從硬件，操作系統(tǒng)和檢測(cè)方法方面作改進(jìn)。.專(zhuān)用硬件使用專(zhuān)用的硬件以NetScreen防火墻最為典型，NetScreen防火墻 之所以具有很好的性能是和采用專(zhuān)用硬件設(shè)計(jì)是分不開(kāi)的。在每個(gè)NetScreen設(shè)備中，都有 ASIC(Application Specific Integrated Circuit) 芯片，這些專(zhuān)用的ASIC芯片主要用來(lái)起到加速防火墻策略檢查，加 密，認(rèn)證，以及PKI過(guò)程功能。例如，所有的規(guī)則都存儲(chǔ)在一個(gè)特定 的存儲(chǔ)區(qū)里，當(dāng)硬件引擎每次需要檢查規(guī)則時(shí)，就去掃描存儲(chǔ)區(qū)。因 此檢查一條規(guī)則或 20條以上的規(guī)則并不會(huì)使性能有什么重大的不 同。

7、另一方面，為了使硬件和軟件處理達(dá)到最佳配合，NetScreen使用 了高速的多總線體系結(jié)構(gòu)，該體系結(jié)構(gòu)中每個(gè) ASIC芯片都配有一個(gè) RSIC處理器，SDRAM和以太網(wǎng)接口。因此NetScreen特有的硬件體 系結(jié)構(gòu)的設(shè)計(jì)可以比使用公共的 PC硬件的防火墻產(chǎn)品達(dá)到更高的性 能價(jià)格比。.專(zhuān)用實(shí)時(shí)嵌入式操作系統(tǒng)NetScreen使用了專(zhuān)門(mén)的ASIC硬件設(shè)計(jì)之后，在操作系統(tǒng)也采用 了專(zhuān)用的嵌入式操作系統(tǒng)ScreenOS在NetScreen防火墻中每個(gè)RISC處理器都運(yùn)行ScreenOS ScreenOS是一個(gè)強(qiáng)安全，低維護(hù)費(fèi)用， 專(zhuān)門(mén)為ASIC線路設(shè)計(jì)的實(shí)時(shí)嵌入式操作系統(tǒng)。ScreeOS的任務(wù)主要

8、有三。首先，ScreenOS支持從 WebUI （Web界面）和 CLI （用戶(hù)界 面）獲取配置，管理和監(jiān)控任務(wù)。其次，ScreenOS高性能的TCP/IP 引擎集成并與ASIC芯片緊密合作完成包的檢測(cè)和轉(zhuǎn)發(fā)的功能。最后， 由于ScreenOS不象其他公用的操作系統(tǒng)平臺(tái)受到連接表和處理數(shù)目 的限制，因此一般地ScreenOS每秒所能支持的TCP并發(fā)連接數(shù)可達(dá) 到 19, 600 個(gè)。NetScreen專(zhuān)用ASIC硬件和專(zhuān)用ScreenOS操作系統(tǒng)如何配合做到對(duì)安全策略的處理方面達(dá)到高性能。NetScreen對(duì)包的檢測(cè)主要分如下幾個(gè)步驟：首先，進(jìn)來(lái)的包在網(wǎng)絡(luò)層被攔截，ScreenOS提供包的格式

9、和框架的檢查以辨認(rèn)是否是畸形包。其次，如果包是合法的， ScreenOS將檢查該包是否屬于存在的 TCP會(huì)話(huà)。再次，如果該包所 屬的TCP會(huì)話(huà)的確存在，那么 ScreenOS將檢查T(mén)CP包的序列號(hào)和 代碼域來(lái)證明包真正屬于給該對(duì)話(huà)。如果該包不是屬于一個(gè)已存在的 TCP會(huì)話(huà)，那么ASIC芯片則要檢測(cè)該包是否符合安全策略，如果不 符合安全策略則丟包，否則建立新的連接通信?；驹砣缦聢D。圖.NetSceen防火墻對(duì)包的處理過(guò)程.多CPU和大容量RAM除了使用專(zhuān)用的硬件和軟件設(shè)計(jì)，大多數(shù)的硬件防火墻采用通用PC系統(tǒng)和通用的操作系統(tǒng)如linux,Solaris,Windows等。.檢測(cè)算法改進(jìn)前面都是

10、從硬件和操作系統(tǒng)方面來(lái)提高防火墻的性能，另一個(gè)提6高防火墻的方法則是從數(shù)據(jù)包的檢測(cè)方法上來(lái)提高性能。以下由幾種典型的包檢測(cè)的改進(jìn)方法。首先，就是前面提到的全狀態(tài)檢測(cè)。checkpoint firewall-1的檢測(cè) 模塊的工作都是在操作系統(tǒng)的內(nèi)核完成，它可以檢測(cè)所有七層通信協(xié) 議，并且可以分析包的狀態(tài)信息。因此既能保證包檢測(cè)的性能，又能 保證包檢測(cè)的全面性。之所以 Firewall-1檢測(cè)模塊能做到檢測(cè)應(yīng)用層 是因?yàn)镕irewall-1對(duì)IP協(xié)議包的內(nèi)部結(jié)構(gòu)很清楚，因此檢測(cè)模塊可以 從包的應(yīng)用內(nèi)容中提取數(shù)據(jù)并將其保存下來(lái)為后面的包提供必要的 狀態(tài)信息。Firewall-1檢測(cè)模塊的原理圖如下。

11、Firewall-1檢測(cè)模塊工作原理圖其次，就是自適應(yīng)代理。自從Network Associates的防火墻使用 了自適應(yīng)代理體系結(jié)構(gòu)，由于只在防火墻檢測(cè)到可疑通信量時(shí)才啟用 代理，因此在啟用 NAT后，Gaunlet防火墻的性能比 NetScreen和 Checkpoint 甚至更好。 由于在 NetWork Associates( HYPERLINK ) 找不到更多的關(guān)于自適應(yīng)代理的資料，因此對(duì)自適應(yīng)代理基本原理的 描述只局限于前面提到的一部分。再次，是MAC層狀態(tài)檢測(cè)。這是NetGuard公司為其防火墻提出 的這種檢測(cè)方法，由于包的檢測(cè)是處于 MAC層，因此能很明顯的提 高防火墻的性能，

12、并且使得它對(duì)操作系統(tǒng)安全漏洞具有免疫功能。最后，快速代理(cut-through proxy)這是由Cisco公司對(duì)代理性 能的一種改進(jìn)，但是這種改進(jìn)是否保證安全還需考證。Cisco認(rèn)為一個(gè)代理服務(wù)器必須對(duì)包進(jìn)行七層協(xié)議的檢查是很浪費(fèi)時(shí)間的，而PIX防火墻只是對(duì)每個(gè)通信連接的開(kāi)始通過(guò)認(rèn)證服務(wù)器進(jìn)行必要的用戶(hù) 認(rèn)證(如外部用戶(hù)采用一次性口令)，然后就可建立起直接的數(shù)據(jù)流， 這樣速度自然要快得多。Cisco在檢測(cè)安全時(shí)還使用了適應(yīng)性安全算 法(Adaptive Security Algorithm )，該算法接近于狀態(tài)檢測(cè)，它將防火 墻所連接的網(wǎng)絡(luò)進(jìn)行安全分級(jí)，ASA算法遵守下列規(guī)則：每個(gè)包必 須

13、經(jīng)過(guò)狀態(tài)檢查；除了被安全策略拒絕，任何從安全區(qū)域向相對(duì)不安 全區(qū)域發(fā)的包放行；除了被安全策略允許，任何從相對(duì)不安全區(qū)域向 安全區(qū)域發(fā)的包拒絕；所有ICMP包除了被指定允許否則都拒絕。從 Cisco提出的ASA算法和cut-through proxy的方案可以看出Cisco是 有點(diǎn)想犧牲點(diǎn)安全來(lái)?yè)Q取性能。(二.)功能實(shí)現(xiàn)防火墻的功能比較多種多樣，國(guó)外各個(gè)廠家一方面都提供了一些 防火墻基本功能和常見(jiàn)功能，另一方面也多多少少有自己的一些特色 功能。由于防火墻的基本功能和常見(jiàn)的功能如 NAT, PAT,內(nèi)容過(guò)濾， 負(fù)載平衡，高可靠性，透明模式等網(wǎng)盾防火墻已基本實(shí)現(xiàn)，所以這里 將不再對(duì)其敘訴。我這里只對(duì)

14、我們未實(shí)現(xiàn)過(guò)的一些功能加以簡(jiǎn)單的描述。.多種身份認(rèn)證體系和靈活的認(rèn)證方法由于現(xiàn)今各種操作系統(tǒng)支持多種認(rèn)證方案，因此許多防火墻廠商為用戶(hù)提供了多種的認(rèn)證體系以便用戶(hù)使用，例如， checkpoint認(rèn)證 體系大概有六種：防火墻口令，RADIUS或TACACS/TACACS+服務(wù) 器，數(shù)字證書(shū)，S/Key, SecurID Tokens, Axent Pathways Defender, OS 口令。為了使防火墻用戶(hù)能靈活的控制認(rèn)證對(duì)象，Checkpoint還提供了 三種不同的認(rèn)證方法：用戶(hù)認(rèn)證，IP地址認(rèn)證，對(duì)話(huà)認(rèn)證(基于每個(gè) 對(duì)話(huà)對(duì)每個(gè)服務(wù)作認(rèn)證)。最后一個(gè)是許多公司提出的透明的用戶(hù)ID和地址

15、認(rèn)證服務(wù)體系。該種透明認(rèn)證的實(shí)現(xiàn)是通過(guò)將 Windows NT的域認(rèn)證方案和它的防火 墻合為一體。該透明的認(rèn)證服務(wù)可以自動(dòng)的捕捉 Windows NT系統(tǒng)的 登錄信息和本機(jī)動(dòng)態(tài)分配的地址，然后這些捕捉到的信息就可以直接 作為防火墻認(rèn)證的信息，這樣就可以做到用戶(hù)透明認(rèn)證。.防病毒檢測(cè)很多防火墻都增加了防病毒功能，他們一般是通過(guò)集成第三方的 防病毒軟件實(shí)現(xiàn)，例如， Checkpoint通過(guò)它的CVP(Content Vectoring Protocol)服務(wù)器集成第三方的防病毒產(chǎn)品。如果防火墻的ftp服務(wù)需要病毒檢測(cè)，那么防火墻就會(huì)攔截 FTP所傳送的文件送往CVP服務(wù) 器接受檢測(cè)，然后防火墻在根

16、據(jù) CVP服務(wù)器的檢查來(lái)處理該FTP的 連接。.入侵檢測(cè)在防火墻中綁定入侵檢測(cè)也是現(xiàn)在國(guó)外增強(qiáng)防火墻安全性的一種重要方法。由于防火墻對(duì)安全的手段一般趨于靜態(tài)，而入侵檢測(cè)則 趨于動(dòng)態(tài)，對(duì)安全的防范做到動(dòng)靜結(jié)合我想這是很多廠家的想法。但是做到入侵檢測(cè)和防火墻真正緊密配合還是要花一定的功夫。例如， 入侵檢測(cè)是否可以根據(jù)檢測(cè)到的情況直接對(duì)防火墻進(jìn)行動(dòng)態(tài)控制。.多媒體服務(wù)支持互聯(lián)網(wǎng)的多媒體應(yīng)用已經(jīng)在企業(yè)和用戶(hù)中很流行，但是多媒體應(yīng)用由于要求打開(kāi)許多端口也給網(wǎng)絡(luò)安全帶來(lái)相當(dāng)?shù)耐{。由于多媒體應(yīng)用的一個(gè)重要特征就是數(shù)據(jù)量大而且要求速度快，因此對(duì)付防火墻的安全性檢查的性能就需要一定的要求，Cisco公司的產(chǎn)品

17、PIX對(duì) 多媒體應(yīng)用很重視，他自稱(chēng)可以做到性能和安全兼得。 他們支持的多 媒體應(yīng)用包括： RealAudio,Streamworks,CU-SeeMe,Internet Phone,IRC,Vxtreme,VDO Live。. VPNVPN是指在公共通信通道中使用虛擬隧道的技術(shù)，由于這種應(yīng)用的客戶(hù)需求很大，因此幾乎所有的防火墻廠家都將它與防火墻綁定。 他們都將管理簡(jiǎn)易、高速吞吐量和強(qiáng)有力的安全特性作為衡量VPN好壞的標(biāo)準(zhǔn)。CommWeb和Network Test Inc進(jìn)行合作測(cè)試，最后發(fā)現(xiàn)有三個(gè)網(wǎng) 關(guān)在能夠提供安全性、可擴(kuò)展性、使用簡(jiǎn)單和價(jià)格性能比的最佳組合。具有最高水平的設(shè)備是來(lái) 自 Ne

18、tScreen Technologies Inc 的10NetScreen-100,它沒(méi)有安全問(wèn)題，在我們測(cè)試的任何設(shè)備中具有最高 的吞吐量，同時(shí)有一個(gè)比較公平的價(jià)格。來(lái)自 Cisco Systems Inc的 Cisco 7100 VPN路由器和其他測(cè)試設(shè)備比較，提供更加強(qiáng)大的安全 性能，具有優(yōu)秀的管理特點(diǎn)，同時(shí)支持更多的并發(fā)連接，盡管其價(jià)格 是高了一些。Lucent Technologies的 VPN Firewall Brick 80 在我們測(cè) 試的高端設(shè)備中，提供非常好的管理性能，極佳的參數(shù)和最好的價(jià)格 性能比。由于VPN運(yùn)作也是較復(fù)雜的一部分，這里不再詳訴。如果有必要， 可以加以更深

19、一步的調(diào)研。（三.）管理防火墻的功能和性能固然重要，但是系統(tǒng)管理員是通過(guò)防火墻的 管理界面來(lái)與控制防火墻，因此提供一個(gè)系統(tǒng)，靈活，簡(jiǎn)單且直觀的 管理也是防火墻吸引客戶(hù)的一個(gè)重要方面。因此國(guó)外的廠家在管理界 面方面也下了一定的功夫，成為他們宣傳中的一個(gè)亮點(diǎn)。.基于客戶(hù)機(jī)/服務(wù)器的管理方式Check-point的管理非常具有它的獨(dú)特性，而且它的管理方式在業(yè) 界享有盛譽(yù)，因此給我留下很深的印象。Check-point總的管理模式是基于客戶(hù)機(jī)/服務(wù)器方式的如下圖。這種管理方式具有高性能，可 擴(kuò)展，集中管理等優(yōu)點(diǎn)。在這種模式下，管理員可以通過(guò)單一的用戶(hù) 界面對(duì)公司中所有網(wǎng)絡(luò)安全設(shè)備進(jìn)行配置，管理和監(jiān)控。

20、這種管理模式有三個(gè)部分組成：用戶(hù)界面（GUI）,管理服務(wù)器，網(wǎng)絡(luò)安全模塊。 其中管理服務(wù)器相當(dāng)于安全數(shù)據(jù)庫(kù)，它儲(chǔ)存了11VPN,Firewall-1，入侵檢測(cè)等服務(wù)器圖。分布式客戶(hù)/服務(wù)器管理模式網(wǎng)絡(luò)對(duì)象定義，用戶(hù)定義，安全策略，所有網(wǎng)絡(luò)安全設(shè)備的日志文件 等信息。然后管理服務(wù)器負(fù)責(zé)這些安全策略下載到各網(wǎng)絡(luò)安全設(shè)備。還有各個(gè)安全設(shè)備的升級(jí)問(wèn)題也可以由管理服務(wù)器統(tǒng)一管理，你只要更新管理服務(wù)器上的版本，那么需要更新的安全設(shè)備就會(huì)覺(jué)察到這種 改變接著從管理服務(wù)器上下載更新文件自動(dòng)更新自己。.簡(jiǎn)單的面向?qū)ο蠊芾硭枷隒heckpoint對(duì)安全策略的配置是基于面向?qū)ο笏枷?。他們把網(wǎng)絡(luò) 資源(網(wǎng)段，路由器，網(wǎng)關(guān)，服務(wù))看作一個(gè)對(duì)象，這些對(duì)象都有一 套各自的屬性如姓名，IP地址或范圍，NAT等。然后定義好的對(duì)象 就可以在規(guī)則策略