防火墙的现状与发展趋势

编者按:近年来，网络安全市场呈现出产业化的格局，我国各行业的网络安全应用已经进入了高速发展时期。以电子政务网络建设为例，据专家预测，未来几年网络安全以及与安全相关的设备投资将占到电子政务网总投资的20％到30％。此外，电子商务、行业信息化的发展也对网络安全提出了很大的需求。8月22日，以“阳光护航”为主题的网络安全解决方案高峰会在华为公司深圳总部举行，启明星辰、RSA、瑞星等业内知名安全厂商到会支持。来自全国各地的近百位行业信息安全方面的主管领导参加了此次会议。华为公司和与会代表一起探讨了目前网络存在的一些安全问题和整体解决之道，并全面阐述了华为在电子政务、电力、电子商务及中小企业方面的网络安全解决方案。会上，中科院院士何德全、安全领域权威专家何义大、卿斯汉等做了精彩演讲。我们在此选编一篇会议论文，供关注防火墙领域的读者借鉴。近几年来，我国国内的网络建设速度发展很快。几大运营商都构建了遍布全国的高速骨干和城域网。随着网络基础建设的完善，网络应用也迅速扩大，从而网络安全问题也日益突出。与此同时，我国政府对信息安全问题也日益重视，2002年4月，全国信息安全标准化技术委员会在北京正式成立，曲维枝副部长亲自担任标委会主任。一系列安全方面的法规已经发布或者正在制定中，例如在金融行业，国家已经规定银行信息系统建设用于信息安全的投资不得小于总投资的15％。当然，我国目前的网络状况还远远不够安全，而且大部分网上应用的软硬件产品都不具备自主知识产权，这也是当前一些重要应用不得不采用物理隔离的原因。在安全产品提供商方面，我国的信息安全产业，大部分是中小型企业，实力相对薄弱。近期，以华为为首的一些有相当技术实力的厂家，决心进军信息安全领域，我认为这是一个可喜的现象，必将促进我国信息安全产业的发展，提高我国信息安全的整体水平。网络安全涉及到通信和网络、密码学、芯片、操作系统、数据库等多方面技术，以及除技术以外的应用和安全管理等多个环节。就网络安全产品而言，主要分为以下几类：3A类产品(Authentication，AuthorizationandAdministration)、安全操作系统、安全隔离与信息交换系统、安全Web、反病毒产品、IDS(入侵检测)和弱点评估产品、防火墙、VPN、保密机、PKI等。其中，防火墙是网络安全的第一道屏障，在网络安全防护措施中，防火墙一般也被作为首选，因此，在安全市场上，防火墙所占的市场份额最大，其相关的各种技术也相对比较成熟。随着安全市场的引爆，防火墙市场也在迅猛发展，据IDC统计，1996年，全球防火墙产值只有1.5亿美元，到2002年，已经达到31亿美元，预计到2005年将达到55亿美元。下面就防火墙的现状与发展趋势做重点阐述。防火墙的应用现状1.防火墙现状概说附图是一个防火墙典型应用的示意图。防火墙的功能主要包含以下几个方面：访问控制，如应用ACL进行访问控制；攻击防范，如防止SYNFLOOD等；NAT；VPN；路由；认证和加密;日志记录;支持网管等。此外为了保证可靠性，支持双机或多机热备份；为了满足日益增多的语音、视频等需求，对QoS特性的支持和对H.323、SIP等多种应用协议的支持也必不可少。为了满足多样化的组网需求，方便用户组网，同时也降低用户对其他专用设备的需求，减少用户建网成本，防火墙上也常常把其他网络技术结合进来，例如支持DHCPSERVER、DHCPRELAY；支持动态路由，如RIP、OSPF等；支持拨号、PPPoE等特性；支持广域网口；支持透明模式(桥模式);支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动，已经成为新一代防火墙的发展趋势。但是，目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤，防病毒和IDS等的支持，实际的应用效果并不好。因为在这些功能支持的情况下，过滤会涉及到应用层包分析，对CPU的消耗很大。这些功能的启动，会导致性能急剧下降，本来100M的处理能力，可能会下降到几兆，导致网络严重阻塞甚至瘫痪，失去了防火墙存在的意义。2.包过滤防火墙和代理防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。应用代理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够好。从国外公开的防火墙测试报告来看，代理防火墙性能表现比较差，因此在网络带宽迅猛发展的情况下，已经不能完全满足需要。此外，有的防火墙支持SOCK代理，这种代理屏蔽了协议本身，只要客户端支持SOCK代理，该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议，如QQ的语音和视频协议，采用其他技术，在NAT情况下很难实现对该协议的支持，但QQ软件本身支持SOCK代理，如果防火墙支持SOCK代理协议，就可以实现对防火墙的穿越。但对于防火墙而言，不参与协议解码，也意味着防火墙对该协议失去了监测能力。3.状态检测技术下面，我们重点讲一下防火墙的状态检测技术。状态检测技术最早是CheckPoint提出的，也就是要监视每个连接发起到结束的全过程。对于部分协议，如FTP、H.323等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。例如FTP，除了开始要建立命令通道外，还要动态协商数据通道。以PORT方式为例，PORT模式下的工作过程如下：(1)客户端向服务器21端口发起连接，建立控制命令通道；(2)客户端向服务器发出命令，要求建立数据连接；(3)客户端打开一个端口；(4)客户端通过PORT命令，从控制通道把端口号发给服务器；(5)服务器向客户端该端口发送一个主动连接。从上述过程可以看出，客户端打开的端口号是未知的，所以防火墙必须对FTP控制通道的命令进行解码，从而知道协商后的端口号。然后，防火墙临时打开一个通道，允许服务器连接客户端的这个端口。对于状态防火墙，只需要通过ACL设置，开放该客户端对服务器的21端口连接。但对于以前的简单包过滤防火墙，如果想支持PORT模式，还得对外开放所有的端口，这显然是不安全的。状态防火墙可以对特定的协议进行解码，因此安全性也比较好。有的防火墙可以对FTP、SMTP等有害命令进行检测和过滤，但因为在应用层解码分析，处理速度比较慢，为此，有的防火墙采用自适应方式，亦即根据当前防火墙繁忙程度做出判断：如果防火墙忙，则只做基本检测，如FTP，只监测PORT命令，其他有害命令就不检测，因此处理速度很快。状态防火墙的抗攻击功能，还有一个特色是，当检测到SYNFLOOD攻击时，会启动代理，此时，如果是伪造源IP的会话，因为不能完成三层握手，攻击报文就无法到达服务器，但正常访问的报文仍然可达。4.高保障防火墙防火墙因为软件复杂，实现的功能较多，必须有操作系统支持，操作系统的安全是防火墙安全的基石。1998年，在中国一家机构和美国计算机学会ACM共同举办的国际会议上，我首次提出了高保障防火墙的概念，其核心是防火墙与安全操作系统无缝集成，在防火墙上实现类似B级操作系统的机制，如标记、MAC、强实体认证等。入关具有入关证，出关具有出关证。建立了防止内部敏感信息泄漏的机制，达到既防外又防内的目标，又实现了传统防火墙的全部功能。不久前，安胜防火墙应运而生，通过了国家权威机构的测评认证，是我国第一个研制成功的高保障防火墙，目前已经在我国31个省市广泛应用。防火墙的发展趋势可以预见，未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。1.高速从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。上面提到，为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)呢？说到底还是因为受现有技术的限制。目前，还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，存储量很大，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。2.多功能化多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSecVPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。3.安全未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。