1、防火墻分析及校園網防火墻選擇主流防火墻分析報告一.防火墻產品類型發(fā)展趨勢防火墻發(fā)展的總趨勢都是集中在尋找防火墻性能和功能的平衡 點。下面是五種典型的現(xiàn)行的防火墻種類。（一.）包過濾防火墻傳統(tǒng)的包過濾對包的檢測是工作在網絡層，它只是通過逐個檢查 單個包的地址，協(xié)議以及端口等信息來決定是否允許此數(shù)據(jù)包通過。 包過濾的主要優(yōu)點是由高性能和易于配置， 因此盡管包過濾的安全性 低，許多廠家仍然不放棄包過濾類型， 而且對包過濾進行了大量的功 能擴展，如添加代理功能，用戶認證，對話層的狀態(tài)檢測等以提高包 過濾的安全性能，以求做到保證速度和安全性兼得。（二.）應用代理防火墻應用級防火墻主要工作于應用層。它主要

2、的優(yōu)點是通過完全隔離 內網和外網的通信以及細粒度的內容檢測可以達到很強的安全性能。 但是它的缺點也很突出，首先它對網絡性能影響很大，其次是必須為 每一種服務實現(xiàn)一個代理所造成的開發(fā)上的麻煩，最后是應用代理防火墻對用戶配置所造成的麻煩。所以應用代理防火墻的廠商也不斷的 想辦法提高自己的性能增強自己的競爭力， 另一方面也逐步向透明代 理過渡以方便用戶的使用。（三.）混合型防火墻（Hybrid ）由于希望防火墻在功能和處理上能進行融合，保證完善的應用。許多廠家提出了混合型防火墻的概念。 他們認為混合型防火墻應該是 動態(tài)包過濾和透明代理的有機結合，可以做到用戶無需知道給他提供 服務的到底是用了那些技術

3、，而防火墻根據(jù)不同的服務要求提供用戶 的使用要求和安全策略。而且為了保證性能只有必須使用應用代理才 能實現(xiàn)的功能才使用代理。（四.）全狀態(tài)檢測防火墻（Full State Inspection ）這是由一個知名防火墻廠家 Checkpoint提出的一種新型防火墻， 據(jù)Checkpoint關于firewall-1的技術文檔介紹，該種防火墻既能具有 包過濾的功能又能具有代理防火墻的安全性。Firewall-1擁有一個強 大的檢測模塊（Inspection Model）該模塊可以分析所有的包通信層， 并提取相關的通信及應用狀態(tài)信息。Firewall-1的檢查模塊位于操作 系統(tǒng)的核心，位于鏈路層和網絡

4、層之間，因此任何包未通過該模塊檢 驗通過之前將不會交給更高的協(xié)議層處理。據(jù)說狀態(tài)檢測可以支持所有主要的因特網服務和上百種應用程序，如 e-mail,FTP,Telnet,Orable SQL*Net數(shù)據(jù)庫存取和新興的多媒體應用程序如 RealAudio,VDOLive。（五.）自適應代理防火墻這是Network Associate公司提出的號稱新一代防火墻“自適應代理防火墻在自適應防火墻中，在每個連接通信的開始仍然需要在應用層接受檢測，而后面的包可以經過安全規(guī)則由自適應代理程 序自動的選擇是使用包過濾還是代理。自適應代理模塊是依靠動態(tài)包 過濾模塊來得知通信連接的情況，當一個連接到來時，動態(tài)包過

5、濾將 通知代理并提供源和目的的信息，然后自適應代理根據(jù)管理員關于“安全與性能”選擇的配置來靈活的為每一個連接指定相應的策略。在自適應代理中，動態(tài)包過濾允許代理要求新連接的通知，接著代理就可以檢查每個具體的連接信息，告訴動態(tài)包過濾接下去應該對 該包作如何處理，如丟棄，轉發(fā)還是將包提到應用層檢查。動態(tài)包過 濾對每個連接所采用的過濾規(guī)則都是由代理自動調整的。雖然Network Associate的這套自適應代理技術具有一定的先進 性，但據(jù)說并未完全被該公司所實現(xiàn)，因此該公司的技術文檔中很難 有關于自適應代理的詳細的資料。二.防火墻實現(xiàn)技術分析(一.)性能實現(xiàn)隨著網絡速度的不斷提升，防火墻的性能越來越

6、成為國外廠家關 注的問題，他們一般主要從硬件，操作系統(tǒng)和檢測方法方面作改進。.專用硬件使用專用的硬件以NetScreen防火墻最為典型，NetScreen防火墻 之所以具有很好的性能是和采用專用硬件設計是分不開的。在每個NetScreen設備中，都有 ASIC(Application Specific Integrated Circuit) 芯片，這些專用的ASIC芯片主要用來起到加速防火墻策略檢查，加 密，認證，以及PKI過程功能。例如，所有的規(guī)則都存儲在一個特定 的存儲區(qū)里，當硬件引擎每次需要檢查規(guī)則時，就去掃描存儲區(qū)。因 此檢查一條規(guī)則或 20條以上的規(guī)則并不會使性能有什么重大的不 同。

7、另一方面，為了使硬件和軟件處理達到最佳配合，NetScreen使用 了高速的多總線體系結構，該體系結構中每個 ASIC芯片都配有一個 RSIC處理器，SDRAM和以太網接口。因此NetScreen特有的硬件體 系結構的設計可以比使用公共的 PC硬件的防火墻產品達到更高的性 能價格比。.專用實時嵌入式操作系統(tǒng)NetScreen使用了專門的ASIC硬件設計之后，在操作系統(tǒng)也采用 了專用的嵌入式操作系統(tǒng)ScreenOS在NetScreen防火墻中每個RISC處理器都運行ScreenOS ScreenOS是一個強安全，低維護費用， 專門為ASIC線路設計的實時嵌入式操作系統(tǒng)。ScreeOS的任務主要

8、有三。首先，ScreenOS支持從 WebUI （Web界面）和 CLI （用戶界 面）獲取配置，管理和監(jiān)控任務。其次，ScreenOS高性能的TCP/IP 引擎集成并與ASIC芯片緊密合作完成包的檢測和轉發(fā)的功能。最后， 由于ScreenOS不象其他公用的操作系統(tǒng)平臺受到連接表和處理數(shù)目 的限制，因此一般地ScreenOS每秒所能支持的TCP并發(fā)連接數(shù)可達 到 19, 600 個。NetScreen專用ASIC硬件和專用ScreenOS操作系統(tǒng)如何配合做到對安全策略的處理方面達到高性能。NetScreen對包的檢測主要分如下幾個步驟：首先，進來的包在網絡層被攔截，ScreenOS提供包的格式

9、和框架的檢查以辨認是否是畸形包。其次，如果包是合法的， ScreenOS將檢查該包是否屬于存在的 TCP會話。再次，如果該包所 屬的TCP會話的確存在，那么 ScreenOS將檢查TCP包的序列號和 代碼域來證明包真正屬于給該對話。如果該包不是屬于一個已存在的 TCP會話，那么ASIC芯片則要檢測該包是否符合安全策略，如果不 符合安全策略則丟包，否則建立新的連接通信。基本原理如下圖。圖.NetSceen防火墻對包的處理過程.多CPU和大容量RAM除了使用專用的硬件和軟件設計，大多數(shù)的硬件防火墻采用通用PC系統(tǒng)和通用的操作系統(tǒng)如linux,Solaris,Windows等。.檢測算法改進前面都是

10、從硬件和操作系統(tǒng)方面來提高防火墻的性能，另一個提6高防火墻的方法則是從數(shù)據(jù)包的檢測方法上來提高性能。以下由幾種典型的包檢測的改進方法。首先，就是前面提到的全狀態(tài)檢測。checkpoint firewall-1的檢測 模塊的工作都是在操作系統(tǒng)的內核完成，它可以檢測所有七層通信協(xié) 議，并且可以分析包的狀態(tài)信息。因此既能保證包檢測的性能，又能 保證包檢測的全面性。之所以 Firewall-1檢測模塊能做到檢測應用層 是因為Firewall-1對IP協(xié)議包的內部結構很清楚，因此檢測模塊可以 從包的應用內容中提取數(shù)據(jù)并將其保存下來為后面的包提供必要的 狀態(tài)信息。Firewall-1檢測模塊的原理圖如下。

11、Firewall-1檢測模塊工作原理圖其次，就是自適應代理。自從Network Associates的防火墻使用 了自適應代理體系結構，由于只在防火墻檢測到可疑通信量時才啟用 代理，因此在啟用 NAT后，Gaunlet防火墻的性能比 NetScreen和 Checkpoint 甚至更好。 由于在 NetWork Associates( HYPERLINK ) 找不到更多的關于自適應代理的資料，因此對自適應代理基本原理的 描述只局限于前面提到的一部分。再次，是MAC層狀態(tài)檢測。這是NetGuard公司為其防火墻提出 的這種檢測方法，由于包的檢測是處于 MAC層，因此能很明顯的提 高防火墻的性能，

12、并且使得它對操作系統(tǒng)安全漏洞具有免疫功能。最后，快速代理(cut-through proxy)這是由Cisco公司對代理性 能的一種改進，但是這種改進是否保證安全還需考證。Cisco認為一個代理服務器必須對包進行七層協(xié)議的檢查是很浪費時間的，而PIX防火墻只是對每個通信連接的開始通過認證服務器進行必要的用戶 認證(如外部用戶采用一次性口令)，然后就可建立起直接的數(shù)據(jù)流， 這樣速度自然要快得多。Cisco在檢測安全時還使用了適應性安全算 法(Adaptive Security Algorithm )，該算法接近于狀態(tài)檢測，它將防火 墻所連接的網絡進行安全分級，ASA算法遵守下列規(guī)則：每個包必 須

13、經過狀態(tài)檢查；除了被安全策略拒絕，任何從安全區(qū)域向相對不安 全區(qū)域發(fā)的包放行；除了被安全策略允許，任何從相對不安全區(qū)域向 安全區(qū)域發(fā)的包拒絕；所有ICMP包除了被指定允許否則都拒絕。從 Cisco提出的ASA算法和cut-through proxy的方案可以看出Cisco是 有點想犧牲點安全來換取性能。(二.)功能實現(xiàn)防火墻的功能比較多種多樣，國外各個廠家一方面都提供了一些 防火墻基本功能和常見功能，另一方面也多多少少有自己的一些特色 功能。由于防火墻的基本功能和常見的功能如 NAT, PAT,內容過濾， 負載平衡，高可靠性，透明模式等網盾防火墻已基本實現(xiàn)，所以這里 將不再對其敘訴。我這里只對

14、我們未實現(xiàn)過的一些功能加以簡單的描述。.多種身份認證體系和靈活的認證方法由于現(xiàn)今各種操作系統(tǒng)支持多種認證方案，因此許多防火墻廠商為用戶提供了多種的認證體系以便用戶使用，例如， checkpoint認證 體系大概有六種：防火墻口令，RADIUS或TACACS/TACACS+服務 器，數(shù)字證書，S/Key, SecurID Tokens, Axent Pathways Defender, OS 口令。為了使防火墻用戶能靈活的控制認證對象，Checkpoint還提供了 三種不同的認證方法：用戶認證，IP地址認證，對話認證(基于每個 對話對每個服務作認證)。最后一個是許多公司提出的透明的用戶ID和地址

15、認證服務體系。該種透明認證的實現(xiàn)是通過將 Windows NT的域認證方案和它的防火 墻合為一體。該透明的認證服務可以自動的捕捉 Windows NT系統(tǒng)的 登錄信息和本機動態(tài)分配的地址，然后這些捕捉到的信息就可以直接 作為防火墻認證的信息，這樣就可以做到用戶透明認證。.防病毒檢測很多防火墻都增加了防病毒功能，他們一般是通過集成第三方的 防病毒軟件實現(xiàn)，例如， Checkpoint通過它的CVP(Content Vectoring Protocol)服務器集成第三方的防病毒產品。如果防火墻的ftp服務需要病毒檢測，那么防火墻就會攔截 FTP所傳送的文件送往CVP服務 器接受檢測，然后防火墻在根

16、據(jù) CVP服務器的檢查來處理該FTP的 連接。.入侵檢測在防火墻中綁定入侵檢測也是現(xiàn)在國外增強防火墻安全性的一種重要方法。由于防火墻對安全的手段一般趨于靜態(tài)，而入侵檢測則 趨于動態(tài)，對安全的防范做到動靜結合我想這是很多廠家的想法。但是做到入侵檢測和防火墻真正緊密配合還是要花一定的功夫。例如， 入侵檢測是否可以根據(jù)檢測到的情況直接對防火墻進行動態(tài)控制。.多媒體服務支持互聯(lián)網的多媒體應用已經在企業(yè)和用戶中很流行，但是多媒體應用由于要求打開許多端口也給網絡安全帶來相當?shù)耐{。由于多媒體應用的一個重要特征就是數(shù)據(jù)量大而且要求速度快，因此對付防火墻的安全性檢查的性能就需要一定的要求，Cisco公司的產品

17、PIX對 多媒體應用很重視，他自稱可以做到性能和安全兼得。 他們支持的多 媒體應用包括： RealAudio,Streamworks,CU-SeeMe,Internet Phone,IRC,Vxtreme,VDO Live。. VPNVPN是指在公共通信通道中使用虛擬隧道的技術，由于這種應用的客戶需求很大，因此幾乎所有的防火墻廠家都將它與防火墻綁定。 他們都將管理簡易、高速吞吐量和強有力的安全特性作為衡量VPN好壞的標準。CommWeb和Network Test Inc進行合作測試，最后發(fā)現(xiàn)有三個網 關在能夠提供安全性、可擴展性、使用簡單和價格性能比的最佳組合。具有最高水平的設備是來 自 Ne

18、tScreen Technologies Inc 的10NetScreen-100,它沒有安全問題，在我們測試的任何設備中具有最高 的吞吐量，同時有一個比較公平的價格。來自 Cisco Systems Inc的 Cisco 7100 VPN路由器和其他測試設備比較，提供更加強大的安全 性能，具有優(yōu)秀的管理特點，同時支持更多的并發(fā)連接，盡管其價格 是高了一些。Lucent Technologies的 VPN Firewall Brick 80 在我們測 試的高端設備中，提供非常好的管理性能，極佳的參數(shù)和最好的價格 性能比。由于VPN運作也是較復雜的一部分，這里不再詳訴。如果有必要， 可以加以更深

19、一步的調研。（三.）管理防火墻的功能和性能固然重要，但是系統(tǒng)管理員是通過防火墻的 管理界面來與控制防火墻，因此提供一個系統(tǒng)，靈活，簡單且直觀的 管理也是防火墻吸引客戶的一個重要方面。因此國外的廠家在管理界 面方面也下了一定的功夫，成為他們宣傳中的一個亮點。.基于客戶機/服務器的管理方式Check-point的管理非常具有它的獨特性，而且它的管理方式在業(yè) 界享有盛譽，因此給我留下很深的印象。Check-point總的管理模式是基于客戶機/服務器方式的如下圖。這種管理方式具有高性能，可 擴展，集中管理等優(yōu)點。在這種模式下，管理員可以通過單一的用戶 界面對公司中所有網絡安全設備進行配置，管理和監(jiān)控。

20、這種管理模式有三個部分組成：用戶界面（GUI）,管理服務器，網絡安全模塊。 其中管理服務器相當于安全數(shù)據(jù)庫，它儲存了11VPN,Firewall-1，入侵檢測等服務器圖。分布式客戶/服務器管理模式網絡對象定義，用戶定義，安全策略，所有網絡安全設備的日志文件 等信息。然后管理服務器負責這些安全策略下載到各網絡安全設備。還有各個安全設備的升級問題也可以由管理服務器統(tǒng)一管理，你只要更新管理服務器上的版本，那么需要更新的安全設備就會覺察到這種 改變接著從管理服務器上下載更新文件自動更新自己。.簡單的面向對象管理思想Checkpoint對安全策略的配置是基于面向對象思想。他們把網絡 資源(網段，路由器，網關，服務)看作一個對象，這些對象都有一 套各自的屬性如姓名，IP地址或范圍，NAT等。然后定義好的對象 就可以在規(guī)則策略