防火墙分析及校园网防火墙选择

防火墙分析及校园网防火墙选择

主流防火墙分析报告

一.防火墙产品类型发展趋势

防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。

（一.）包过滤防火墙

传统的包过滤对包的检测是工作在网络层，它只是通过逐个检查单个包的地址，协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置，因此尽管包过滤的安全性低，许多厂家仍然不放弃包过滤类型，而且对包过滤进行了大量的功能扩展，如添加代理功能，用户认证，对话层的状态检测等以提高包过滤的安全性能，以求做到保证速度和安全性兼得。

（二.）应用代理防火墙

应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出，首先它对网络性能影响很大，其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力，另一方面也逐步向透明代

理过渡以方便用户的使用。

（三.）混合型防火墙（Hybrid）

由于希望防火墙在功能和处理上能进行融合，保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供服务的到底是用了那些技术，而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。

（四.）全状态检测防火墙（Full State Inspection）

这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙，据Checkpoint关于firewall-1的技术文档介绍，该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块（Inspection Model）,该模块可以分析所有的包通信层，并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心，位于链路层和网络层之间，因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序，如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。

（五.）自适应代理防火墙

这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中，在每个连接通信的开始仍然需

要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包过滤模块来得知通信连接的情况，当一个连接到来时，动态包过滤将通知代理并提供源和目的的信息，然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连接指定相应的策略。

在自适应代理中，动态包过滤允许代理要求新连接的通知，接着代理就可以检查每个具体的连接信息，告诉动态包过滤接下去应该对该包作如何处理，如丢弃，转发还是将包提到应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。

虽然Network Associate的这套自适应代理技术具有一定的先进性，但据说并未完全被该公司所实现，因此该公司的技术文档中很难有关于自适应代理的详细的资料。

二.防火墙实现技术分析

（一.）性能实现

随着网络速度的不断提升，防火墙的性能越来越成为国外厂家关注的问题，他们一般主要从硬件，操作系统和检测方法方面作改进。

1.专用硬件

使用专用的硬件以NetScreen防火墙最为典型，NetScreen防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。在每个NetScreen设备中，都有ASIC(Application Specific Integrated Circuit)芯片，这些专用的ASIC芯片主要用来起到加速防火墙策略检查，加

密，认证，以及PKI过程功能。例如，所有的规则都存储在一个特定的存储区里，当硬件引擎每次需要检查规则时，就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。

另一方面，为了使硬件和软件处理达到最佳配合，NetScreen使用了高速的多总线体系结构，该体系结构中每个ASIC芯片都配有一个RSIC处理器，SDRAM和以太网接口。因此NetScreen特有的硬件体系结构的设计可以比使用公共的PC硬件的防火墙产品达到更高的性能价格比。

2.专用实时嵌入式操作系统

NetScreen使用了专门的ASIC硬件设计之后，在操作系统也采用了专用的嵌入式操作系统——ScreenOS。在NetScreen防火墙中每个RISC处理器都运行ScreenOS。ScreenOS是一个强安全，低维护费用，专门为ASIC线路设计的实时嵌入式操作系统。ScreeOS的任务主要有三。首先，ScreenOS支持从WebUI（Web界面）和CLI（用户界面）获取配置，管理和监控任务。其次，ScreenOS和高性能的TCP/IP 引擎集成并与ASIC芯片紧密合作完成包的检测和转发的功能。最后，由于ScreenOS不象其他公用的操作系统平台受到连接表和处理数目的限制，因此一般地ScreenOS每秒所能支持的TCP并发连接数可达到19，600个。

NetScreen专用ASIC硬件和专用ScreenOS操作系统如何配合做到对安全策略的处理方面达到高性能。NetScreen对包的检测主要分

如下几个步骤：首先，进来的包在网络层被拦截，ScreenOS提供包的格式和框架的检查以辨认是否是畸形包。其次，如果包是合法的，ScreenOS将检查该包是否属于存在的TCP会话。再次，如果该包所属的TCP会话的确存在，那么ScreenOS将检查TCP包的序列号和代码域来证明包真正属于给该对话。如果该包不是属于一个已存在的TCP会话，那么ASIC芯片则要检测该包是否符合安全策略，如果不符合安全策略则丢包，否则建立新的连接通信。基本原理如下图。

图.NetSceen防火墙对包的处理过程

3.多CPU和大容量RAM

除了使用专用的硬件和软件设计，大多数的硬件防火墙采用通用PC系统和通用的操作系统如linux,Solaris,Windows等。

4.检测算法改进

前面都是从硬件和操作系统方面来提高防火墙的性能，另一个提