淺談防火墻的歷史與發展

1 Internet的誕生

現代計算機網絡實際20是上世紀60年代美蘇冷戰時期的產物。在20世紀60年代初期, 美國APAR (AdvancedResearch Project Agency) 提出研制一種嶄新的、能適應現代戰爭的、生存性很強的不同于基于電路交換的電信網的網絡。這種新型網絡必須滿足以下一些基本要求。

(1) 用于計算機之間的數據傳送。

(2) 能夠連接不同類型的計算機。

(3) 所有的網絡節點都同等重要。

(4) 計算機通信必須有冗余的路由。

(5) 結構應當盡可能簡單, 但能夠非?？煽康貍魉蛿祿?。

根據以上要求, 基于分組交換的新型計算機網絡的前身 (ARPANET) 誕生了。但此時的ARPANET知識一個單個的分組交換網 (并不是互聯網) 。1 9 8 3年T C P/I P協議成為ARPANET上的標準協議。同年, ARPANET分解成兩個網絡:ARPANET及MILNET。就此, 在1983~1984年間, Internet形成。

2 網絡普及所帶來的問題

伴隨計算機網絡的飛速發展, 不管是個人還是這個世界都從中得到了無微不至的服務和照顧。但是事物永遠不只有好的方面!伴隨著Internet的不斷壯大和基于Internet的應用越來越多, 網絡傳輸了太多的重要、關鍵甚至絕密的信息。這讓某些心懷叵測的計算機高手們不再滿足于炫耀自己的本領, 而是直接用其所學從中漁利。所有的這一切都讓計算機網絡的安全問題日益突出。

目前計算機網絡面臨的主要安全威脅見于以下。

信息流截取 (InformationStream Interception) :攻擊者只是被動觀察和分析網絡上傳送的某一個或一些PDU (Protocol Data Unit) , 而不主動干擾和破壞傳送中的信息流。整個過程對于通信雙方的通信存在潛在的威脅。一旦攻擊者從P D U的控制信息部分了解或分析出通信雙方的身份及傳送數據的性質, 被動攻擊者或許即刻就會采取進一步行動。

信息流中斷 (InformationStream Interruption) :攻擊者主動并且蓄意中斷他人在網絡上的通信。其結果是用戶不能得到所請求的服務或數據。用戶可能會以為是網絡問題而重新請求服務或數據。而結果是只要攻擊者行為不被制止或攻擊者主動離開, 用戶將不能獲得所需要的服務或數據, 除非采取某些方法繞過攻擊者。

信息被篡改 (Information Modification) :攻擊者擔任了一個此時我們并不需要、更不喜歡的角色:“緩存”。攻擊者首先中斷網絡上正在傳送的信息流, 并將其篡改后重新發送給接收者。如果被篡改的結果被接收者視為所期望通信對象所發送的真實信息, 其造成的結果將是很難想象的。

連接偽造 (Link Fabrication) :攻擊者偽造信息在網絡上傳播。所謂的偽造信息指的是出現在錯誤的時間或錯誤的地點的信息, 盡管其內容也可能是真實的、我們之前所期望得到的。

惡意程序 (Rouge Virus) :顧名思義, 這種威脅主要是由于我們平時使用網絡或者其它內存件連接網絡時的不小心而被惡意植入的一些程序。包括計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈等。

3 防火墻的出現及進化

3.1 什么是防火墻

防火墻的本意是指古代構筑和使用木制結構房屋的時候, 為了防止火災的發生和蔓延, 人們將堅固的石頭堆砌在房屋周圍作為屏障的一種防護構筑物, 這種防護構筑物就本稱之為“防火墻”。當然我們通常所說的網絡防火墻其實是借鑒了古代真正用于防火的防火墻的喻義。防火墻英文名稱為:firewall。是指位于計算機和它連接的網絡之間的硬件及軟件, 也可以位于兩個或多個網絡之間。比如局域網和互聯網之間。網絡之間的所有數據流都有經過防火墻。通過防火墻可以對網絡之間的通信進行掃描, 關閉不安全的埠, 阻止外來的DoS攻擊, 封鎖特洛伊木馬等, 以保證網絡和計算機的安全。

防火墻大致可分為硬件防火墻和軟件防火墻。硬件防火墻是指把防火墻程序做到芯片里面, 由硬件執行這些功能。硬件防火墻能減少CPU的負擔, 使路由更穩定。硬件防火墻一般都有W A N、L A N和D M Z三個埠, 并具有各種安全功能, 價格也就比較高。因此硬件防火墻在企業以及大型網絡中使用比較多。而軟件防火墻其實也就是各種安全防護軟件。

3.2 第一代防火墻

第一代防火墻技術幾乎與路由器同時出現, 采用靜態包過濾 (Statics Packet Filter) 。這種類型的防火墻根據定義好的過濾規則審查每個數據包, 以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括I P源地址、I P目標地址、傳輸協議 (T C P、U D P、I C M P等) 、T C P/U D P目標端口、ICMP消息類型等。包過濾類型的防火墻遵循的一條基本原則是“最小特權原則”。即明確允許那些管理員希望通過的數據包通過, 而禁止其它的所有數據包。

3.3 第二、三代防火墻

1989年, 貝爾實驗室的Dave Presotoo和Howard Trickey推出了第二代防火墻。即電路層防火墻。同時提出了第三代防火墻——應用層防火墻 (代理防火墻) 的初步結構。

代理服務器通常也稱作應用級防火墻。所謂代理服務, 即防火墻內外的計算機系統應用層的鏈接是在兩個終止于代理服務器的鏈接來實現的。這樣便成功地實現了防火墻內外計算機系統的隔離。代理服務器是設置在Internet防火墻網關上的應用, 是在網管員允許下或拒絕的特定的應用程度或者特定服務, 同時, 還可應用于實施較強的數據流監控、過濾、記錄和報告功能 (參見圖1示) 。

一般情況下可以應用于特定的互聯網服務, 比如超文本傳輸 (HTTP) 、遠程文檔傳輸 (FTP) 等。

3.4 第四代防火墻

1992年, UCS信息科學院的Bob Braden開發出了基于動態包過濾 (Dynamic packet filter) 技術的第四代防火墻。這種類型的防火墻采用動態設置包過濾規則的方法, 避免了靜態包過濾所具有的問題, 依據設定好的過濾邏輯, 檢查數據流中的每個數據包, 根據數據包的源地址、目標地址、以及包的使用確定是否允許該類型數據包通過。

3.5 第五代防火墻

1998年, NAI公司推出了一種自適應代理 (Adaptiveproxy) 技術, 并在其產品Gauntlet Firewall for NT中得以實現, 給代理類型放棄賦予了全新的意義, 可以稱之為第五代防火墻。

4 分布式防火墻

鑒于傳統邊界防火墻逐漸走到盡頭, 基于多臺主機但受到集中管理和配置的分布式防火墻應運而生了。在分布式防火墻中, 安全策略仍然被集中定義, 但發布在網絡端點 (如主機、路由器) 上單獨實施。

分布式防火墻是一種主機駐留式的安全系統。它是以主機為保護對象。其設計理念是主機以外的任何用戶訪問都是不可信任的, 都需要進行過濾。當然在實際應用中, 也不是要求對網絡中每臺主機都安裝這樣的系統, 因為這樣會嚴重影響網絡的通信性能。它通常用于保護企業網絡中的關鍵節點服務器、數據及工作站免受非法入侵的破壞。

分布式防火墻負責網絡邊界、各子網和網絡內部各節點之間的安全防護, 所以分布式防火墻是一個完整的系統, 而不是單一的產品。

在新的安全體系結構下, 分布式防火墻代表新一代防火墻技術的潮流。它可以在網絡的任何交界和節點處設置屏障, 從而形成一個多層次、多協議, 內外皆防的全方位安全體系。分布式防火墻的主要優點如下。

(1) 增強的系統安全性:增加了針對主機的入侵檢測和防護功能, 加強了對來自內部攻擊的防范, 可以實施全方位的安全策略。

(2) 提高了系統性能:消除了結構性瓶頸, 提高了系統性能。

(3) 提高了系統的擴展性:分布式防火墻隨系統擴充提供了安全防護無限的擴充能力。

(4) 實施主機策略:對網絡中的各節點可以起到更安全的防護。

(5) 應用更為廣泛:支持VPN通信。

5 對防火墻未來發展趨勢的預測

對于來自網絡的各種不安全因素, 回歸本源, 或許一切答案都很明顯。

網絡=主機+傳輸線路+路由器+相關傳輸協議。

對于第一個網絡要素主機:本就是處于防守地位的我們除了用各種方法把自己武裝得嚴嚴實實之外, 幾乎沒有其它辦法阻止外來的攻擊。而且當你真的有辦法應對來自非防御網絡上的對你主機的攻擊時, 你自身也許就快變成另一個攻擊者了。

對于第二個網絡要素傳輸線路:除非你自己有錢給每個和你通信的主機都架設一條通往你主機的專用線路并確保其不被蓄意破壞, 我們同樣沒有什么好的辦法。

對于第三個網絡要素路由器:我們早就有很多辦法:在上邊添加專用硬件、軟件以防止已經被修改過、破壞了的分組通過, 并作相應處理。但效果實在是不太理想。并且伴隨網絡規模的膨脹、用戶對傳輸速度更高的要求, 路由器是在是已經有點不堪重負。除非路由器所使用的硬件有革命性的突破, 想再次利用路由器為網絡俺去作額外的貢獻是在是不大現實的事情。

對于第四個網絡要素傳輸協議:鑒于與網絡傳輸相關的協議不在少數, 在此僅以應用最廣的TCP/IP協議作一些簡要的分析。

對于計算機網絡所面臨的威脅前邊已有所提及, 所有的主動攻擊造成的結果無非是數據包被修改, 數據包延遲到達 (未到達) 。

因此, 理論上我們要做的事情很簡單:判斷數據包是否被中途修改;判斷數據包到達時間是否合理。

對于如何確定數據包傳輸途中是否被修改, 傳輸雙方可以在數據包的某些約定位置添加一些用于確定數據包是否被途中修改過的信息。對于IPV6所帶來的128bit的超長地址, 我們或許可以在其中的某些冗余位置添加一些用于驗證和防止所傳輸數據的選項。并可以在其中加入某些選項用以表示此數據包從源站發出后是否被修改及傳輸途中所經歷的路由器的停留最長時間記錄。用以判斷數據包的到達時間是否合理。并可以讓路由器對一些傳輸時間非正常的數據包按事先與用戶的約定進行相應的處理。

事實上, 如果我們的網絡傳輸沒有受到攻擊, 我們根本就不需要防火墻。同樣, 如果沒有網絡也就不會有這么多的安全問題。但事實是, “火”是我們不可阻止的, 而“墻”的存在也就成為必然。目前看來, 我們不可能放棄網絡。同樣, 我們也不可能讓別人放棄攻擊。防火墻的發展如同其他各種殺毒軟件一樣面臨同樣的問題:時間上的滯后性。永遠是攻擊者有了新的進攻策略后, 我們才能“隨機應變”的制定防守策略。既如此, 我們所能做的就是盡可能地減少這種“延遲”。用盡可能短的時間用最有效地方法防止攻擊造成損失的擴大。

摘要：本文以互聯網的發展, 大眾在其使用過程中遇到的種種困惑與麻煩為背景, 為我們展示了防火墻的誕生于發展的簡要過程。文章重點在于面對日益復雜和龐大的互聯網應用以及隨之出現的新的安全威脅時防火墻自身的安全策略。最后就在IPv6時代防火墻的生存狀況做些許分析。

關鍵詞：防火墻,代理服務器,分布式防火墻

參考文獻

[1] 朱雁輝.WINDOWS防火墻與網絡封包截獲技術[M].電子工業出版社出版.

[2] Marcus Goncalves[著].宋書民, 朱智強, 徐開勇[譯].防火墻技術指南[M].機械工業出版社出版.

[3] 電子版:http://www.bitscn.com/net-work/200606/27430.html.