防火墙工作原理二

249312648军

三.网络层防火墙(IP_layer firewall)
　　网络层防火墙的基本模型为一个多端口的IP层路由器,它对每个IP数据报都运用一系列规则进行匹配运算,借以判断该数据报是否被前传或丢弃.也就是利用数据包头所提供的信息,对IP数据报进行过滤(filter)处理.
防火墙路由器具有一系列规则(rule),每条规则由分组刻面(packet profile)和动作(action)组成.分组刻面用来描述分组头部某些域的值,主要有源IP地址,目的IP地址,协议号和其他关于源端和目的端的信息.
防火墙的高速数据报前传路径(high_speed datagram forwarding path)对每个分组应用相应规则进行分组刻面的匹配.若结果匹配,则执行相应动作.典型的动作包括:前传(forwarding),丢弃(dropping),返回失败信息(sending a failure response)和异常登记(logging for exception tacking).一般而言,应包含一个缺省的规则,以便当所有规则均不匹配时,能够留一个出口,该规则通常对应一个丢弃动作.
1.1 策略控制层(policy control level)
现在引入策略控制层的概念,正是它在防火墙路由器中设置过滤器,以对客户的请求进行
认证和权限校验,策略控制层由认证功能和权限校验功能两部分组成.前者用来验证用户的身份,而后者用来判断用户是否具有相应资源的访问权限.
C<---------->F1<------------>F2<------------->S
/
\_____ /
  /
A1 Z1
如上图所示,c位客户,s为服务器,F1,F2为处于其间的两个防火墙.A1和X1分别为认证服务器和权限验证服务器.
首先由C向s发送一个数据报开始整个会话过程.客户c使用通常的DNSlookup和网络层路由机制.当分组到达防火墙f1时,f1将会进行一系列上述的匹配.由于该分组不可能与任何可接受的分组刻面匹配,所以返回一个"Authentication Required"的标错信息给C,其中包括F1所信任的认证/权限校验服务器列表.
然后客户c根据所返回的标错信息,向认证服务器A1发出认证请求.利用从A1返回的票据,客户C向权限校验服务器Z1发出权限校验请求,其中包括所需的服务和匹配防火墙所需的刻面.
Z1随之进行相应的校验操作,若校验结果正确,权限校验服务器Z1知会防火墙F1允许该分组通过.
在客户C的分组通过F1后,在防火墙F2处还会被拒绝,从而各部分重复上述过程.
1.2 源端认证
现在考虑如何防止源端IP地址欺骗的问题,即插入一些并非来自客户c却声称如是的分组问题.关于网络层防火墙此类问题有三种防护机制.
A.仅由分组刻面
网络层防火墙根据分组刻面过滤分组.该机制几乎没有安全性可言,远未解决上述的源地址欺骗问题.
B.分组封条
每个分组散列算法而进行贴封.其中由认证服务器Ai,权限校验服务器Zi,客户和服务器共
享一个密值(secret).客户c传送的每个分组均包含一个散列值,改制取决于分组的内容和密值
.防火墙能够重新执行相同的散列函数以验证该分组是否有共享密值的客户c发送.
C.分组签名
在该机制中,每个分组都利用公有/私有密钥对算法进行签名.客户c与权限校验服务器Zn
即防火墙Fn共享共钥.这样的话可避免在第二种机制中出现的对Zi和Fi的信任问题,从而可对所有的权限校验服务器和防火墙使用同一个密钥对.
1.3 网络层防火墙的优劣讨论
网络层防火墙的优点可归结为:
A.对于所有应用可采用统一的认证协议.
B.对于每个终端主机无需多余认证.
C.网络层防火墙造成的性能下降较小.
D.网络层防火墙的崩溃和恢复不会影响开放的TCP连接.
E.路由改变也不会影响TCP连接.
F.它与应用无关.
G.不存在单个可导致失败的点. 　　
然而，对于网络层防火墙有许多设计难题需要解决，尤其在多防火墙，非对称路由，组播和性能方面尤其如此.

Stateful-inspection防火墙
防火墙技术是网络安全领域应用较普遍的一种技术，传统上防火墙基本分为两大类，即包过滤防火墙和应用网关防火墙，这两种防火墙由于其受限的地方，逐渐不能适应当前的需求，因此新一代的防火墙Stateful-inspection防火墙应运而生，这种防火墙既继承了传统防火墙的优点，又克服了传统防火墙的缺点，是一种革新式的防火墙。
一、防火墙安全性需求
使用防火墙的主要目的就是为了保证网络的安全，一个防火墙为了提供稳定可靠的安全性，必须跟踪流经它的所有通信信息。为了达到控制目的，防火墙首先必须获得所有通信层和其它应用的信息，然后存储这些信息，还要能够重新获得以及控制这些信息。 防火墙仅检查独立的信息包是不够的，因为状态信息——以前的通信和其它应用信息）——是控制新的通信连接的最基本的因素。对于某一通信连接，通信状态（以前的通信信息）和应用状态（其他的应用信息）是对该连接做控制决定的关键因素。因此为了保证高层的安全，防火墙必须能够访问、分析和利用以下几种信息：
* 通信信息：所有应用层的数据包的信息；
* 通信状态：以前的通信状态信息；
* 来自应用的状态：其它应用的状态信息；
* 信息处理：基于以上所有元素的灵活的表达式的估算。
二、Stateful-inspection防火墙定义
Stateful-inspection防火墙是新一代的防火墙技术，由Check Point公司引入。它监视每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包，然后分析这些数据包，并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。和应用网关不同，Stateful-inspection防火墙使用用户定义的过滤规则，不依赖预先定义的应用信息，执行效率比应用网关高，而且它不识别特定的应用信息，因此不用对不同的应用信息制定不同的应用规则，伸缩性好。
三、Stateful-inspection防火墙的工作原理 有比较才知优劣，为了更好的理解Stateful-inspection防火墙的工作原理，我们先了解一下传统防火墙的工作原理及其优缺点。
1．包过滤防火墙的工作原理
包过滤防火墙一般在路由器上实现，过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与应用层无关，这样系统就具有很好的传输性能，易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感知——也就是说，它们不理解通信的内容，这样更容易被黑客攻破。 基于这种工作机制，包过滤防火墙有以下缺陷：
* 通信信息：包过滤防火墙只能访问部分数据包的头信息；
* 通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息；
* 信息处理：包过滤防火墙处理信息的能力是有限的。
2．应用网关
应用网关是检查所有应用层的信息包，并将检查的内容信息放入决策过程，这样安全性有所提高。然而，它们是通过打破客户机/服务器模式实现的，每一个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每一个代理需要一个不同的应用进程，或一个后台运行的服务程序，这样如果有一个新的应用就必须添加对此应用的服务程序，否则不能使用该种服务，可伸缩性差。 基于这种工作机制，应用网关防火墙有以下缺陷：
* 连接限制：每一个服务需要自己的代理，所以可提供的服务数和伸缩性受到限制；
* 技术限制：应用网关不能为UDP、RPC及普通协议族的其他服务提供代理；
* 性能：实现应用网关防火墙牺牲了一些系统性能。
3．Stateful-inspection防火墙
Stateful-inspection克服了前两种方法的限制，其实现是通过不断开客户机/服务器的模式而提供一个完全的应用层感知。在Stateful-inspection里，信息包在网络层就被截取了，然后防火墙从接收到的数据包中提取与安全策略相关的状态信息，将这些信息保存在一个动态状态表中，其目的是为了验证后续的连接请求，这样提供了一个高安全性的方案，系统的执行效率提高了，还具有很好的伸缩性和扩展性。图1为Stateful-inspection防火墙工作原理图。
四、Stateful-inspection防火墙的优点
1．高安全性
Stateful-inspection防火墙工作在数据链路层和网络层之间，它从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样防火墙确保了截取和检查所有通过网络的原始数据包。防火墙截取到数据包就处理它们，首先根据安全策略从数据包中提取有用信息，保存在内存中；然后将相关信息组合起来，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接、加密数据等。Stateful-inspection防火墙虽然工作在协议栈较低层，但它监测所有应用层的数据包，从中提取有用信息，如IP地址、端口号、数据内容等，这样安全性得到很大提高。
2．高效性
Stateful-inspection防火墙工作在协议栈的较低层，通过防火墙的所有的数据包都在低层处理，而不需要协议栈的上层处理任何数据包，这样减少了高层协议头的开销，执行效率提高很多；另外在这种防火墙中一旦一个连接建立起来，就不用再对这个连接做更多工作，系统可以去处理别的连接，执行效率明显提高。
3．可伸缩性和易扩展性
Stateful-inspection防火墙不像应用网关式防火墙那样，每一个应用对应一个服务程序，这样所能提供的服务是有限的，而且当增加一个新的服务时，必须为新的服务开发相应的服务程序，这样系统的可伸缩性和可扩展性降低。Stateful-inspection防火墙不区分每个具体的应用，只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用的新的规则，而不用另外写代码，所以具有很好的伸缩性和扩展性。
4．应用范围广
Stateful-inspection防火墙不仅支持基于TCP的应用，而且支持基于无连接协议的应用，如RPC、基于UDP的应用（DNS、WAIS、Archie等）等。对于无连接的协议，连接请求和应答没有区别，包过滤防火墙和应用网关对此类应用要么不支持，要么开放一个大范围的UDP端口，这样暴露了内部网，降低了安全性。
Stateful-inspection防火墙对基于UDP应用安全的实现是通过在UDP通信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息，允许穿过防火墙的UDP请求包被记录，当UDP包在相反方向上通过时，依据连接状态表确定该UDP包是否被授权的，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数据包没有到达，连接超时，则该连接被阻塞，这样所有的攻击都被阻塞，UDP应用安全实现了。
Stateful-inspection防火墙也支持RPC，因为对于RPC服务来说，其端口号是不定的，因此简单的跟踪端口号是不能实现该种服务的安全的，Stateful-inspection防火墙通过动态端口映射图记录端口号，为验证该连接还保存连接状态、程序号等，通过动态端口映射图来实现此类应用的安全。
五、结束语
随着网络的高速发展、网络应用的普及，人们对网络安全提出越来越高的要求，Stateful-inspection防火墙不仅继承了包过滤防火墙和应用网关防火墙的优点，而且克服了这两种防火墙的缺点，是新一代的防火墙技术。这种技术自问世以来就成为防火墙产品的主流技术，国内外许多公司的防火墙产品都采用这种技术，如CheckPoint公司的FireWall-1防火墙，NetGuard公司的Guardian Firewall防火墙，东大阿尔派公司的NetEye防火墙等产品都采用此种技术，这种技术的采用不仅使得他们的产品成为市场上的主流产品，并占据着重要地位，而且更加符合广大用户的需要。

防火墙产品大观
---- 防火墙产品的用户主要分为个人用户、企业用户和政府部门用户。个人用户的安全需求基本上局限于防止网络病毒和“邮件炸弹”，一般的单机防火墙软件就能满足需求，而企业级用户和政府部门用户是安全产品最重要的应用对象。因此这里主要介绍针对后两类用户的防火墙产品。
1 Checkpoint Firewall-1
----Checkpoint公司是一家专门从事网络安全产品开发的公司，是软件防火墙领域中的佼佼者，其旗舰产品Checkpoint Firewall-1在全球软件防火墙产品中位居第一。
----Checkpoint Firewall-1是一个综合的、模块化的安全套件，它是一个基于策略的解决方案，提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CP Firewall-1套件提供单一的、集中的分布式安全策略，跨越Unix、NT、路由器、交换机和其他外围设备，提供大量的API，有100多个解决方案和OEM厂商的支持。
----CP Firewall-1由3个交互操作的组件构成：控制组件、加强组件和可选组件。这些组件既可以运行在单机上，也可以部署在跨平台系统上。其中，控制组件包括Firewall-1管理服务器和图形化的客户端；加强组件包含Firewall-1检测模块和Firewall-1防火墙模块;可选组件包括Firewall-1 Encryption Module（主要用于保护VPN）、Firewall-1 Connect Control Module（执行服务器负载平衡）和Router Security Module（管理路由器访问控制列表）。
----CP Firewall-1防火墙的操作在操作系统的核心层进行，而不是在应用程序层，这样可以使系统达到最高性能的扩展和升级。此外，CP Firewall-1支持基于Web的多媒体和基于UDP的应用程序，并采用多重验证模板和方法，使网络管理员容易验证客户端、会话和用户对网络的访问。目前该产品支持的平台有Windows NT、Win9x/2000、Sun OS、Sun Solaris、IBM AIX、HP-UX以及Bay Networks Router等。CP Firewall-1的不足是价格偏高。
2. Sonicwall 系列防火墙
----Sonicwall系列防火墙是Sonic System公司针对中小企业需求开发的产品，并以其高性能和极具竞争力的价格受到中小企业和ISP公司的青睐。Sonicwall系列防火墙包括Sonicwall/10 、Sonicwall/50 Sonicwall/Plus、Sonicwall/Bandit和Sonicwall/DMZ Plus等。这些产品除具有普通防火墙的功能外，还可管理和控制访问Internet的流量。其可视化的Web Browser设置，更使得非专业人员可以方便地进行配置和管理。Sonicwall系列防火墙都具有以下主要功能：
阻止未授权用户访问防火墙内网络；
阻止拒绝服务攻击，并可完成Internet 内容过滤；
IP地址管理，网络地址转换（NAT），也可作为Proxy；
制定网络访问规则，规定对某些网站访问的限制，如Internet Chat；
自动通知升级软件；
Sonicwall/DMZ Plus提供VPN功能。
----Sonicwall系列防火墙的市场定位是中小型企业，价格不算太高，功能也较齐全，不失为一款质优价廉的产品。
3. NetScreen Firewall
----NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可选端口）三个J-45网络接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快闪存储器。防火墙的配置可在网络上任何一台带有浏览器的机器上完成，它把多种功能诸如流量控制、负载均衡、VPN等集成到一起。NetScreen的优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全保护。NetScreen Firewall支持的标准包括ARP、TCP/IP、UDP、ICMP，DHCP、HTTP、RADIUS、 IPSEC、MD5、DSS、SHA-1、DES-MAC、 DES/TripleDES、ISAKMP和X.509 v3 等。与CP Firewall-1相比，NetScreen Firewall在执行效率和带宽处理上似乎更胜一筹。
----NetScreen防火墙产品可真正实现线速传输，可同时支持最大62094个并行FTP连接。NetScreen Firewall系列中的NetScreen-10 和NetScreen-100 已分别通过了ICSA (国际计算机安全协会)的防火墙认证和中华人民共和国公安部计算机网络安全产品检测中心的检测，并获得了在中国的销售许可证。