防火墙分析及校园网防火墙选择

1防火墙分析及校园网防火墙选择主流防火墙分析报告一.防火墙产品类型发展趋势防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。（一.）包过滤防火墙传统的包过滤对包的检测是工作在网络层，它只是通过逐个检查单个包的地址，协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置，因此尽管包过滤的安全性低，许多厂家仍然不放弃包过滤类型，而且对包过滤进行了大量的功能扩展，如添加代理功能，用户认证，对话层的状态检测等以提高包过滤的安全性能，以求做到保证速度和安全性兼得。（二.）应用代理防火墙应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出，首先它对网络性能影响很大，其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力，另一方面也逐步向透明代2理过渡以方便用户的使用。（三.）混合型防火墙（Hybrid）由于希望防火墙在功能和处理上能进行融合，保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供服务的到底是用了那些技术，而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。（四.）全状态检测防火墙（FullStateInspection）这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙，据Checkpoint关于firewall-1的技术文档介绍，该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块（InspectionModel）,该模块可以分析所有的包通信层，并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心，位于链路层和网络层之间，因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序，如e-mail,FTP,Telnet,OrableSQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。（五.）自适应代理防火墙这是NetworkAssociate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中，在每个连接通信的开始仍然需3要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包过滤模块来得知通信连接的情况，当一个连接到来时，动态包过滤将通知代理并提供源和目的的信息，然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连接指定相应的策略。在自适应代理中，动态包过滤允许代理要求新连接的通知，接着代理就可以检查每个具体的连接信息，告诉动态包过滤接下去应该对该包作如何处理，如丢弃，转发还是将包提到应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。虽然NetworkAssociate的这套自适应代理技术具有一定的先进性，但据说并未完全被该公司所实现，因此该公司的技术文档中很难有关于自适应代理的详细的资料。二.防火墙实现技术分析（一.）性能实现随着网络速度的不断提升，防火墙的性能越来越成为国外厂家关注的问题，他们一般主要从硬件，操作系统和检测方法方面作改进。1.专用硬件使用专用的硬件以NetScreen防火墙最为典型，NetScreen防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。在每个NetScreen设备中，都有ASIC(ApplicationSpecificIntegratedCircuit)芯片，这些专用的ASIC芯片主要用来起到加速防火墙策略检查，加4密，认证，以及PKI过程功能。例如，所有的规则都存储在一个特定的存储区里，当硬件引擎每次需要检查规则时，就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。另一方面，为了使硬件和软件处理达到最佳配合，NetScreen使用了高速的多总线体系结构，该体系结构中每个ASIC芯片都配有一个RSIC处理器，SDRAM和以太网接口。因此NetScreen特有的硬件体系结构的设计可以比使用公共的PC硬件的防火墙产品达到更高的性能价格比。2.专用实时嵌入式操作系统NetScreen使用了专门的ASIC硬件设计之后，在操作系统也采用了专用的嵌入式操作系统——ScreenOS。在NetScreen防火墙中每个RISC处理器都运行ScreenOS。ScreenOS是一个强安全，低维护费用，专门为ASIC线路设计的实时嵌入式操作系统。ScreeOS的任务主要有三。首先，ScreenOS支持从WebUI（Web界面）和CLI（用户界面）获取配置，管理和监控任务。其次，ScreenOS和高性能的TCP/IP引擎集成并与ASIC芯片紧密合作完成包的检测和转发的功能。最后，由于ScreenOS不象其他公用的操作系统平台受到连接表和处理数目的限制，因此一般地ScreenOS每秒所能支持的TCP并发连接数可达到19，600个。NetScreen专用ASIC硬件和专用ScreenOS操作系统如何配合做到对安全策略的处理方面达到高性能。NetScreen对包的检测主要分5如下几个步骤：首先，进来的包在网络层被拦截，ScreenOS提供包的格式和框架的检查以辨认是否是畸形包。其次，如果包是合法的，ScreenOS将检查该包是否属于存在的TCP会话。再次，如果该包所属的TCP会话的确存在，那么ScreenOS将检查TCP包的序列号和代码域来证明包真正属于给该对话。如果该包不是属于一个已存在的TCP会话，那么ASIC芯片则要检测该包是否符合安全策略，如果不符合安全策略则丢包，否则建立新的连接通信。基本原理如下图。图.NetSceen防火墙对包的处理过程3.多CPU和大容量RAM除了使用专用的硬件和软件设计，大多数的硬件防火墙采用通用PC系统和通用的操作系统如linux,Solaris,Windows等。4.检测算法改进前面都是从硬件和操作系统方面来提高防火墙的性能，另一个提6高防火墙的方法则是从数据包的检测方法上来提高性能。以下由几种典型的包检测的改进方法。首先，就是前面提到的全状态检测。checkpointfirewall-1的检测模块的工作都是在操作系统的内核完成，它可以检测所有七层通信协议，并且可以分析包的状态信息。因此既能保证包检测的性能，又能保证包检测的全面性。之所以Firewall-1检测模块能做到检测应用层是因为Firewall-1对IP协议包的内部结构很清楚，因此检测模块可以从包的应用内容中提取数据并将其保存下来为后面的包提供必要的状态信息。Firewall-1检测模块的原理图如下。Firewall-1检测模块工作原理图其次，就是自适应代理。自从NetworkAssociates的防火墙使用了自适应代理体系结构，由于只在防火墙检测到可疑通信量时才启用代理，因此在启用NAT后，Gaunlet防火墙的性能比NetScreen和Checkpoint甚至更好。由于在NetWorkAssociates()找不到更多的关于自适应代理的资料，因此对自适应代理基本原理的描述只局限于前面提到的一部分。7再次，是MAC层状态检测。这是NetGuard公司为其防火墙提出的这种检测方法，由于包的检测是处于MAC层，因此能很明显的提高防火墙的性能，并且使得它对操作系统安全漏洞具有免疫功能。最后，快速代理（cut-throughproxy）这是由Cisco公司对代理性能的一种改进，但是这种改进是否保证安全还需考证。Cisco认为一个代理服务器必须对包进行七层协议的检查是很浪费时间的，而PIX防火墙只是对每个通信连接的开始通过认证服务器进行必要的用户认证（如外部用户采用一次性口令），然后就可建立起直接的数据流，这样速度自然要快得多。Cisco在检测安全时还使用了适应性安全算法（AdaptiveSecurityAlgorithm）,该算法接近于状态检测，它将防火墙所连接的网络进行安全分级，ASA算法遵守下列规则：每个包必须经过状态检查；除了被安全策略拒绝，任何从安全区域向相对不安全区域发的包放行；除了被安全策略允许，任何从相对不安全区域向安全区域发的包拒绝；所有ICMP包除了被指定允许否则都拒绝。从Cisco提出的ASA算法和cut-throughproxy的方案可以看出Cisco是有点想牺牲点安全来换取性能。（二.）功能实现防火墙的功能比较多种多样，国外各个厂家一方面都提供了一些防火墙基本功能和常见功能，另一方面也多多少少有自己的一些特色功能。由于防火墙的基本功能和常见的功能如NAT，PAT，内容过滤，负载平衡，高可靠性，透明模式等网盾防火墙已基本实现，所以这里将不再对其叙诉。我这里只对我们未实现过的一些功能加以简单的描8述。1.多种身份认证体系和灵活的认证方法由于现今各种操作系统支持多种认证方案，因此许多防火墙厂商为用户提供了多种的认证体系以便用户使用，例如，checkpoint认证体系大概有六种：防火墙口令,RADIUS或TACACS/TACACS+服务器，数字证书，S/Key，SecurIDTokens，AxentPathwaysDefender，OS口令。为了使防火墙用户能灵活的控制认证对象，Checkpoint还提供了三种不同的认证方法：用户认证，IP地址认证，对话认证（基于每个对话对每个服务作认证）。最后一个是许多公司提出的透明的用户ID和地址认证服务体系。该种透明认证的实现是通过将WindowsNT的域认证方案和它的防火墙合为一体。该透明的认证服务可以自动的捕捉WindowsNT系统的登录信息和本机动态分配的地址，然后这些捕捉到的信息就可以直接作为防火墙认证的信息，这样就可以做到用户透明认证。2.防病毒检测很多防火墙都增加了防病毒功能，他们一般是通过集成第三方的防病毒软件实现，例如，Checkpoint通过它的CVP(ContentVectoringProtocol)服务器集成第三方的防病毒产品。如果防火墙的ftp服务需要病毒检测，那么防火墙就会拦截FTP所传送的文件送往CVP服务器接受检测，然后防火墙在根据CVP服务器的检查来处理该FTP的连接。93.入侵检测在防火墙中绑定入侵检测也是现在国外增强防火墙安全性的一种重要方法。由于防火墙对安全的手段一般趋于静态，而入侵检测则趋于动态，对安全的防范做到动静结合我想这是很多厂家的想法。但是做到入侵检测和防火墙真正紧密配合还是要花一定的功夫。例如，入侵检测是否可以根据检测到的情况直接对防火墙进行动态控制。4.多媒体服务支持互联网的多媒体应用已经在企业和用户中很流行，但是多媒体应用由于要求打开许多端口也给网络安全带来相当的威胁。由于多媒体应用的一个重要特征就是数据量大而且要求速度快，因此对付防火墙的安全性检查的性能就需要一定的要求，Cisco公司的产品PIX对多媒体应用很重视，他自称可以做到性能和安全兼得。他们支持的多媒体应用包括：RealAudio,Streamworks,CU-SeeMe,InternetPhone,IRC,Vxtreme,VDOLive。5.VPNVPN是指在公共通信通道中使用虚拟隧道的技术，由于这种应用的客户需求很大，因此几乎所有的防火墙厂家都将它与防火墙绑定。他们都将管理简易、高速吞吐量和强有力的安全特性作为衡量VPN好坏的标准。CommWeb和NetworkTestInc进行合作测试，最后发现有三个网关在能够提供安全性、可扩展性、使用简单和价格性能比的最佳组合。具有最高水平的设备是来自NetScreenTechnologiesInc的10NetScreen-1