防火墙技术及其产品标准化浅析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国质量与标准导报 2019 / 3
谢宗晓 博士
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文80多篇,出版专著近20本。
信息安全管理系列之五十
防火墙是保障网络安全(network security)所使用的最流行和最重要的工具之一。在之前的专栏中,我们从如何“使用”的角度讨论了入侵检测/防护系统(IDS/IPS),在本期中,将按照类似的架构,介绍防火墙技术及其产品的标准化。
谢宗晓(特约编辑)
防火墙技术及其产品标准化浅析
谢宗晓(中国金融认证中心)
官海滨(青岛职业技术学院科技处)
摘要:重新审视了防火墙的概念,并分析了其应用的主要技术、发展过程和未来趋势,最后列出了防火墙相关的国际/国家标准。
关键词:信息安全 防火墙 标准化
Analysis of Firewalls Technology and its Product Standardization
Xie Zongxiao (China Financial Certification Authority)
Guan Haibin (Qingdao Technical College)
Abstract: This paper re-examines the concept of firewall, analyzes the main technologies, development process and future trends of its application, and finally lists the international/national standards related to firewalls.
Key words: information security, firewalls, standardization
1 概念
防火墙是网络安全的第一道防线,在安全、可控的内部网络与不可信任的外部网络(如互联网等)之间建立了一道屏障。大约没有逻辑比防火墙更清晰的信息安全产品了,防火墙控制着网络入口,对数据流进行过滤。这与物理世界中的控制方式基本是一致的。
对比之前讨论过的IDS/IPS(Intrusion Detection/Prevention System)部署方式,一个最大的区别就是防火墙是禁止旁路的,这毫无疑问会影响整体的网络性能,如同高速公路的收费站,因此,对于IDS/ IPS而言,提高准确率是其不变的主题,对于防火墙而言,准确率重要,效率也同等重要。
一般而言,防火墙至少需要满足三个目标:1)防止旁路,即所有的进出数据流都得经过防火墙;2)只允许经过授权的数据流通过防火墙;3)保证防火墙自身的安全,防止其成为最首要的攻击目标。
本刊特约CHINA QUALITY AND STANDARDS REVIEW
2 主要技术及其发展过程
Firewalls词汇最早出现于1764年左右[1],用来指防止火灾蔓延至相邻区域且耐火极限不低于某时段的不燃性墙体。在介绍防火墙历史非常完整的文献[1]中,从围墙开始讨论,特别举例说明了中国的长城。由于防火墙的逻辑非常容易理解,或者说易于与现实世界进行类比,因此防火墙几乎与路由器同时出现。防火墙从建筑学领域被应用至计算机领域是在20世纪80年代晚期,随着网络(network)的出现。
第一篇可以查阅的关于防火墙的论文出现于1988年,数字设备公司(Digital Equipment Corporation,DEC)1)首次发布了关于数据包的过滤系统,这被定义为第一代防火墙,即包过滤防火墙(packet filter firewalls)。1992年,贝尔实验室(AT&T Bell Labs)2)的Bill Cheswick 与Steve Bellovin3)首次用示例的方式完整地描述了包过滤防火墙的部署架构拓扑。无论是静态包过滤技术还是动态包过滤技术,第一代防火墙都是工作在网络层(OSI第3层),也就是说,主要是依靠检查包头,能够识别访问源和访问目标,对“数据包净荷”一无所知,因此,难以抵抗IP欺骗攻击。
第二代防火墙通常被称为“状态防火墙(stateful firewalls)”或“电路级网关(circuit-level gateways)”,工作在会话层(OSI第5层)。当一个IP地址连接到另一个IP地址的某个具体TCP或UDP端口时,防火墙会跟踪这些会话。包过滤防火墙难于抵御中间人攻击的主要问题在于,包过滤防火墙是无状态的,二代防火墙对会话的跟踪使得会话有了状态(stateful),从而可以解决这个问题。
但是二代防火墙依然不能读取“数据包净荷”,因此实现的安全是有限的[2],例如,跨站脚本攻击和SQL注入等Web威胁就难以识别。第三代防火墙工作在应用层(OSI第7层),称作“应用防火墙(application firewall)”,能够对应用数据进行解码,例如HTTP协议。以Web应用防火墙(WAF)为例,其优点解决了某些高层协议的安全,缺点是只能解决某些协议,或者说特定服务的安全。
3 技术趋势分析
下一代防火墙(Next Generation Firewall,NGFW)是目前业内厂商的主推产品,NGFW仍然工作在应用层,因此很多时候会被认为是第三代防火墙的延伸产品。NGFW首先要解决三代防火墙中检查“广度”的问题,同时也需要加强检查的“深度”。
先讨论广度的问题。以WAF为例,WAF实际是代理,每种应用都需要设置,配置复杂,且性能不高。NGFW应该能够自动识别应用,不仅是针对某种或某几种特定服务。这需要“集成化”。NGFW 也强调了多功能集成,其中包括了IPS和统一身份认证等功能,但强调不是功能的堆砌。
再讨论深度问题。第三代防火墙一般不能识别HTTPS或SSH(Secure Shell)等加密传输协议。应用程序可能会通过加密网络流量来绕过防火墙,简单的阻止显然不符合实际。这时候就需要防火墙做更深度的启发式检查,例如,多数应用程序使用握手协议来开启新会话,这通常有一个可识别的模型,或者通过数据的频率、大小和时延等对通信进行分析,这种工作模式就形如IDS/IPS类似的专家系统。
特别强调一下统一威胁管理(Unified Threat Management,UTM),UTM一般将网络防火墙、网络防病毒和网络入侵检测等集成至一个产品,但是这可能会影响效率。对效率的影响不难理解,如上文所述,防火墙是串联在网络边界,IDS/IPS则不需要,完全可以旁路部署。一旦诸多功能集成叠加在一起,势必会影响效率,因此更适合中小企业。
多功能化不仅是防火墙的发展趋势,也是其他诸多安全产品的未来方向。例如,由于部署的位置类似,可以利用防火墙实现加密虚拟专用网络
1) DEC建立于1957年,是较早的计算机设备公司,1998年并入康柏(Compaq),在2002年,康柏被惠普(Hewlett-Packard)收购。
2) Bell Labs建立于1925年,1992年还隶属于美国电报电话公司(AT&T),后来依次被西部电器(Western Electric)和阿尔卡特朗讯(Alcatel-Lucent)收购,2016年,诺基亚(Nokia)收购了Bell Labs,目前标识为Nokia Bell Labs。
3) Bill Cheswick 在1987年入职贝尔实验室,在信息安全领域,他和Steve Bellovin不仅发明了第一代防火墙,还发明了蜜罐(honeypots)。蜜罐是一种安全技术。