2022年防火墙分析及校园网防火墙选择 .pdf

1 防火墙分析及校园网防火墙选择主流防火墙分析报告一.防火墙产品类型发展趋势防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。（一.）包过滤防火墙传统的包过滤对包的检测是工作在网络层，它只是通过逐个检查单个包的地址，协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置，因此尽管包过滤的安全性低，许多厂家仍然不放弃包过滤类型，而且对包过滤进行了大量的功能扩展，如添加代理功能，用户认证，对话层的状态检测等以提高包过滤的安全性能，以求做到保证速度和安全性兼得。（二.）应用代理防火墙应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出，首先它对网络性能影响很大，其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力，另一方面也逐步向透明代名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 13 页 -2 理过渡以方便用户的使用。（三.）混合型防火墙（Hybrid）由于希望防火墙在功能和处理上能进行融合，保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供服务的到底是用了那些技术，而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。（四.）全状态检测防火墙（Full State Inspection）这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙，据 Checkpoint 关于 firewall-1 的技术文档介绍，该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1 拥有一个强大的检测模块（Inspection Model）,该模块可以分析所有的包通信层，并提取相关的通信及应用状态信息。Firewall-1 的检查模块位于操作系统的核心，位于链路层和网络层之间，因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序，如e-mail,FTP,Telnet,Orable SQL*Net数 据 库 存 取 和 新 兴 的 多 媒 体 应 用 程 序 如RealAudio,VDOLive。（五.）自适应代理防火墙这是 Network Associate公司提出的号称新一代防火墙“自适应代理防火墙“。在自适应防火墙中，在每个连接通信的开始仍然需名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 13 页 -3 要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包过滤模块来得知通信连接的情况，当一个连接到来时，动态包过滤将通知代理并提供源和目的的信息，然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连接指定相应的策略。在自适应代理中，动态包过滤允许代理要求新连接的通知，接着代理就可以检查每个具体的连接信息，告诉动态包过滤接下去应该对该包作如何处理，如丢弃，转发还是将包提到应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。虽然 Network Associate 的这套自适应代理技术具有一定的先进性，但据说并未完全被该公司所实现，因此该公司的技术文档中很难有关于自适应代理的详细的资料。二.防火墙实现技术分析（一.）性能实现随着网络速度的不断提升，防火墙的性能越来越成为国外厂家关注的问题，他们一般主要从硬件，操作系统和检测方法方面作改进。1.专用硬件使用专用的硬件以NetScreen防火墙最为典型，NetScreen防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。在每个NetScreen设备中，都有 ASIC(Application Specific Integrated Circuit)芯片，这些专用的ASIC 芯片主要用来起到加速防火墙策略检查，加名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 13 页 -4 密，认证，以及 PKI 过程功能。例如，所有的规则都存储在一个特定的存储区里，当硬件引擎每次需要检查规则时，就去扫描存储区。因此检查一条规则或20 条以上的规则并不会使性能有什么重大的不同。另一方面，为了使硬件和软件处理达到最佳配合，NetScreen使用了高速的多总线体系结构，该体系结构中每个ASIC 芯片都配有一个RSIC 处理器，SDRAM 和以太网接口。因此 NetScreen特有的硬件体系结构的设计可以比使用公共的PC硬件的防火墙产品达到更高的性能价格比。2.专用实时嵌入式操作系统NetScreen使用了专门的 ASIC 硬件设计之后，在操作系统也采用了专用的嵌入式操作系统ScreenOS。在 NetScreen防火墙中每个RISC 处理器都运行 ScreenOS。ScreenOS是一个强安全，低维护费用，专门为 ASIC 线路设计的实时嵌入式操作系统。ScreeOS的任务主要有三。首先，ScreenOS支持从 WebUI（Web 界面）和 CLI（用户界面）获取配置，管理和监控任务。其次，ScreenOS和高性能的 TCP/IP引擎集成并与 ASIC 芯片紧密合作完成包的检测和转发的功能。最后，由于 ScreenOS不象其他公用的操作系统平台受到连接表和处理数目的限制，因此一般地 ScreenOS每秒所能支持的 TCP 并发连接数可达到 19，600 个。NetScreen专用 ASIC 硬件和专用 ScreenOS操作系统如何配合做到对安全策略的处理方面达到高性能。NetScreen 对包的检测主要分名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 13 页 -5 如下几个步骤：首先，进来的包在网络层被拦截，ScreenOS提供包的格式和框架的检查以辨认是否是畸形包。其次，如果包是合法的，ScreenOS将检查该包是否属于存在的TCP 会话。再次，如果该包所属的 TCP 会话的确存在，那么ScreenOS将检查 TCP 包的序列号和代码域来证明包真正属于给该对话。如果该包不是属于一个已存在的TCP会话，那么 ASIC 芯片则要检测该包是否符合安全策略，如果不符合安全策略则丢包，否则建立新的连接通信。基本原理如下图。图.NetSceen防火墙对包的处理过程3.多 CPU 和大容量 RAM 除了使用专用的硬件和软件设计，大多数的硬件防火墙采用通用PC系统和通用的操作系统如linux,Solaris,Windows 等。4.检测算法改进前面都是从硬件和操作系统方面来提高防火墙的性能，另一个提名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 13 页 -6 高防火墙的方法则是从数据包的检测方法上来提高性能。以下由几种典型的包检测的改进方法。首先，就是前面提到的全状态检测。checkpoint firewall-1 的检测模块的工作都是在操作系统的内核完成，它可以检测所有七层通信协议，并且可以分析包的状态信息。因此既能保证包检测的性能，又能保证包检测的全面性。之所以Firewall-1 检测模块能做到检测应用层是因为 Firewall-1 对 IP 协议包的内部结构很清楚，因此检测模块可以从包的应用内容中提取数据并将其保存下来为后面的包提供必要的状态信息。Firewall-1 检测模块的原理图如下。Firewall-1 检测模块工作原理图其次，就是自适应代理。自从 Network Associates的防火墙使用了自适应代理体系结构，由于只在防火墙检测到可疑通信量时才启用代理，因此在启用NAT 后，Gaunlet 防火墙的性能比NetScreen 和Checkpoint 甚至更好。由于在 NetWork Associates(http:/)找不到更多的关于自适应代理的资料，因此对自适应代理基本原理的描述只局限于前面提到的一部分。名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 13 页 -7 再次，是 MAC 层状态检测。这是 NetGuard公司为其防火墙提出的这种检测方法，由于包的检测是处于MAC 层，因此能很明显的提高防火墙的性能，并且使得它对操作系统安全漏洞具有免疫功能。最后，快速代理（cut-through proxy）这是由 Cisco 公司对代理性能的一种改进，但是这种改进是否保证安全还需考证。Cisco 认为一个代理服务器必须对包进行七层协议的检查是很浪费时间的，而 PIX防火墙只是对每个通信连接的开始通过认证服务器进行必要的用户认证（如外部用户采用一次性口令），然后就可建立起直接的数据流，这样速度自然要快得多。Cisco 在检测安全时还使用了适应性安全算法（Adaptive Security Algorithm）,该算法接近于状态检测，它将防火墙所连接的网络进行安全分级，ASA 算法遵守下列规则：每个包必须经过状态检查；除了被安全策略拒绝，任何从安全区域向相对不安全区域发的包放行；除了被安全策略允许，任何从相对不安全区域向安全区域发的包拒绝；所有 ICMP 包除了被指定允许否则都拒绝。从Cisco 提出的 ASA 算法和 cut-through proxy 的方案可以看出Cisco 是有点想牺牲点安全来换取性能。（二.）功能实现防火墙的功能比较多种多样，国外各个厂家一方面都提供了一些防火墙基本功能和常见功能，另一方面也多多少少有自己的一些特色功能。由于防火墙的基本功能和常见的功能如NAT，PAT，内容过滤，负载平衡，高可靠性，透明模式等网盾防火墙已基本实现，所以这里将不再对其叙诉。我这里只对我们未实现过的一些功能加以简单的描名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 13 页 -8 述。1.多种身份认证体系和灵活的认证方法由于现今各种操作系统支持多种认证方案，因此许多防火墙厂商为用户提供了多种的认证体系以便用户使用，例如，checkpoint 认证体系大概有六种：防火墙口令,RADIUS 或 TACACS/TACACS+服务器，数字证书，S/Key，SecurID Tokens，Axent Pathways Defender，OS 口令。为了使防火墙用户能灵活的控制认证对象，Checkpoint 还提供了三种不同的认证方法：用户认证，IP 地址认证，对话认证（基于每个对话对每个服务作认证）。最后一个是许多公司提出的透明的用户ID 和地址认证服务体系。该种透明认证的实现是通过将Windows NT 的域认证方案和它的防火墙合为一体。该透明的认证服务可以自动的捕捉Windows NT 系统的登录信息和本机动态分配的地址，然后这些捕捉到的信息就可以直接作为防火墙认证的信息，这样就可以做到用户透明认证。2.防病毒检测很多防火墙都增加了防病毒功能，他们一般是通过集成第三方的防病毒软件实现，例如，Checkpoint 通过它的 CVP(Content Vectoring Protocol)服务器集成第三方的防病毒产品。如果防火墙的ftp 服务需要病毒检测，那么防火墙就会拦截FTP 所传送的文件送往CVP 服务器接受检测，然后防火墙在根据CVP 服务器的检查来处理该FTP 的连接。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 13 页 -9 3.入侵检测在防火墙中绑定入侵检测也是现在国外增强防火墙安全性的一种重要方法。由于防火墙对安全的手段一般趋于静态，而入侵检测则趋于动态，对安全的防范做到动静结合我想这是很多厂家的想法。但是做到入侵检测和防火墙真正紧密配合还是要花一定的功夫。例如，入侵检测是否可以根据检测到的情况直接对防火墙进行动态控制。4.多媒体服务支持互联网的多媒体应用已经在企业和用户中很流行，但是多媒体应用由于要求打开许多端口也给网络安全带来相当的威胁。由于多媒体应用的一个重要特征就是数据量大而且要求速度快，因此对付防火墙的安全性检查的性能就需要一定的要求，Cisco 公司的产品 PIX 对多媒体应用很重视，他自称可以做到性能和安全兼得。他们支持的多媒体 应用包 括：RealAudio,Streamworks,CU-SeeMe,Internet Phone,IRC,Vxtreme,VDO Live。5.VPN VPN 是指在公共通信通道中使用虚拟隧道的技术，由于这种应用的客户需求很大，因此几乎所有的防火墙厂家都将它与防火墙绑定。他们都将管理简易、高速吞吐量和强有力的安全特性作为衡量VPN好坏的标准。CommWeb和 Network Test Inc 进行合作测试，最后发现有三个网关在能够提供安全性、可扩展性、使用简单和价格性能比的最佳组合。具 有 最 高 水 平 的 设 备 是 来 自NetScreen Technologies Inc的名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 13 页 -10 NetScreen-100，它没有安全问题，在我们测试的任何设备中具有最高的吞吐量，同时有一个比较公平的价格。来自Cisco Systems Inc 的Cisco 7100 VPN 路由器和其他测试设备比较，提供更加强大的安全性能，具有优秀的管理特点，同时支持更多的并发连接，尽管其价格是高了一些。Lucent Technologies的 VPN Firewall Brick 80 在我们测试的高端设备中，提供非常好的管理性能，极佳的参数和最好的价格性能比。由于 VPN 运作也是较复杂的一部分，这里不再详诉。如果有必要，可以加以更深一步的调研。（三.）管理防火墙的功能和性能固然重要，但是系统管理员是通过防火墙的管理界面来与控制防火墙，因此提供一个系统，灵活，简单且直观的管理也是防火墙吸引客户的一个重要方面。因此国外的厂家在管理界面方面也下了一定的功夫，成为他们宣传中的一个亮点。1.基于客户机/服务器的管理方式Check-point 的管理非常具有它的独特性，而且它的管理方式在业界享有盛誉，因此给我留下很深的印象。Check-point 总的管理模式是基于客户机/服务器方式的如下图。这种管理方式具有高性能，可扩展，集中管理等优点。在这种模式下，管理员可以通过单一的用户界面对公司中所有网络安全设备进行配置，管理和监控。这种管理模式有三个部分组成：用户界面（GUI）,管理服务器，网络安全模块。其中管理服务器相当于安全数据库，它储存了名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 13 页 -11 用户界面管理服务器路由，网关，VPN,Firewall-1,入侵检测等服务器图。分布式客户/服务器管理模式网络对象定义，用户定义，安全策略，所有网络安全设备的日志文件等信息。然后管理服务器负责这些安全策略下载到各网络安全设备。还有各个安全设备的升级问题也可以由管理服务器统一管理，你只要更新管理服务器上的版本，那么需要更新的安全设备就会觉察到这种改变接着从管理服务器上下载更新文件自动更新自己。2.简单的面向对象管理思想Checkpoint 对安全策略的配置是基于面向对象思想。他们把网络资源（网段，路由器，网关，服务）看作一个对象，这些对象都有一套各自的属性如姓名，IP 地址或范围，NAT 等。然后定义好的对象就可以在规则策略表（rule base）中方便的使用。因此为整个网络通信所定义的规则策略表显得非常的简练，清楚。该规则表的原型可以在 Firewall-1 的 demo中看到。名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 13 页 -12 3.视觉化策略编辑为了让管理员对整个网络的结构有一个直观的理解，Check-point的界面让网管者可以检视图形化的整体网路安全部署架构同时管理安全政策。视觉化策略编辑会显示进入企业网路的连线，而任何安全政策的改变都会显示在视觉化策略编辑的图示中，以真实反应网路安全的状况同时确保较高等级的安全。4.多种管理方式由于管理员控制设备的习惯各异，而且配置过程中实际情况不同，因此为管理员准备多种配置方式是很有必要的。基本的方式包括：自带 Web 服 务 器：方 便 地 通 过 流 行 的 浏 览 器 进行 管 理Windows 95/NT/2000 图形界面：可 关 闭 远 程 的 管 理 方式，只 用 本 地 的、安 全 的 管 理SNMP 管 理 方 式：通 过 网 络 管 理 软 件 管 理命令行界面：支持 批 处 理 方 式 及 通 过 调 制 解 调器的备 用 渠 道 进 行 控 制安全策略视觉化策略编辑可供选择 的 对象目录名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 13 页 -13 校园网防火墙选取如果我是校园网管理者，我会选择 AXENT Raptor。因为它的界面易读、易操作，Raptor 的优势在于其代理的深度和广度。只有它提供对 Microsoft NT 服务器的保护。它还具有SQLNET 代理功能，可控制对 Oracle 数据库的访问。Raptor 在 SMTP 方面做得很好，而且它是唯一可防止缓存溢出的防火墙，它可以代理NNTP(网络新闻传输协议)和 NTP(网络时间协议)。Raptor 还提供 IPsec兼容的 VPN，但由于没有硬件辅助卡，所以在建立多个使用加密的连接时，CPU 可能难以承受。名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 13 页 -