论文部分内容阅读
摘 要: 主要介绍防火墙发展史,传统防火墙的特点和不足和未来防火墙需要具备的特点。
关键词:网络;安全;包过滤;状态防火墙;下一代防火墙
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)0110014-02
0 前言
防火墙作为网络安全防范的重要设备,几乎和路由器一起诞生。从最初的包过滤技术,到1992年USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
近年来一体化安全网关UTM迅速发展,UTM统一威胁管理,在防火墙基础上发展起来的,具备防火墙、IPS(入侵检测系统)、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能,因此主要用于对性能要求不高的中低端领域。在中低端领域,UTM已经出现了代替防火墙的趋势,因为在不开启附加功能的情况下,UTM本身就是一个防火墙,而附加功能又为用户的应用提供了更多选择。但是在高端应用领域,比如电信、金融等行业,由于UTM的性能限制导致这些领域仍然以专用的高性能防火墙、IPS为主流。这是目前国内防火墙应用的现状。
1 防火墙的现在
1.1 普遍功能
现有防火墙从功能上讲基本都包含包过滤技术、NAT(网络地址转换)技术、审计和报警功能、代理服务、流量控制、VPN(虚拟专用网)技术。
1.2 应用等于端口
在传统防火墙上应用等于端口号,比如80=WWW;21=FTP;DNS
=53,限制或禁止使用某项服务直接禁止某个端口号即可。自2010年以来,应用日趋WEB话,2010年上半年全球TCP流量80端口的WEB流量占到了45%,好的应用混合不安全的流量攻击转为信息窃取,应用和数据库存在大量的风险。
1.3 非黑即白的网络
防火墙将网络划分为三个区域,信任区域(TRURS)非信任区域(UNtrust)和停火区(DMZ)区域。一般来讲,不信任区域是不安全的,信任区域是安全的,供内部和外部访问的服务器存放在DMZ区域。区域之间通过不同的策略控制着互相访问。传统意义上一直以为信任区域是安全的,实际上堡垒最容易从内部攻破,内部的安全问题是值得关注的网络安全因素。从目前的网络应用来讲,很难在用信任与非信任来区分网络用户。
1.4 攻击对防火墙的威胁
1.4.1 针对包过滤防火墙的主要攻击
包过滤防火墙在网络层截获网络数据包,并根据访问控制规则表,来检测攻击行为,阻断非法网络数据包。主要根据数据包的源IP地址,目的IP地址,TCP/UDP源端口;TCP/UDP目的端口等参数来过滤所有的网络连接和网络服务。该类防火墙很容易受到如下攻击:
1)IP欺骗攻击。这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如:外部攻击者,将他的数据包源地址改为内部网络地址,防火墙看到是合法地址就放行了。
2)D.0.S拒绝服务攻击。简单的包过滤防火墙不能跟踪TCP的状态,很容易受到拒绝服务攻击,一旦防火墙受到D.0.S攻击,可能会忙于处理,占用大量CPU和内存,从而丧失自己的过滤功能。
3)分片攻击。这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序。但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的TCP信息判断是否允许通过,而其它后续的分片不作规则检测,直接让它们通过。这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁内部网络和主机的安全。
4)木马攻击。对于包过滤防火墙最有效的攻击就是木马,一旦在内部网络安装了木马,防火墙基本上是无能为力的。因为包过滤防火墙一般只过滤低端口(1-1024),而高端口不可能进行过滤(一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多木马都打开高端口监听外部命令,如冰河,subseven等。
1.4.2 针对状态检测包过滤防火墙的主要攻击
与包过滤防火墙相对应的是状态检测包过滤防火墙产品。状态检测技术是跟踪检测TCP连接从建立到终止整个过程的技术。采用状态检测技术的防火墙在网络发起连接时就判断网络连接的状态,如果符合规则,就在内存登记这个连接的状态信息(地址,port,命令等),后续的属于同一个连接的数据包,就不再需要检测而可直接通过。但一些精心构造的攻击数据包由于没有在防火墙的内存中登记相应的状态信息,所以被防火墙丢弃,这样攻击数据包就无法饶过防火墙。状态检测包过滤防火墙比包过滤防火墙具有更高安全级别,但是它同样容易受到各种攻击:
1)协议隧道攻击。协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。
2)利用FTPpasv绕过防火墙认证的攻击。FTPpasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall,在监视FTP服务器发送给客户端的数据包时,它在每个包中寻找”227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证。通过验证后,将允许建立到该地址的TCP连接。攻击者利用这个漏洞特性,可以设法连接受防火墙保护的服务器和服务。 3)反弹木马攻击。反弹木马是对付状态检测包过滤防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,这是多数防火墙的一个基本盲区,即防火墙不能有效区分内部发起的木马连接和合法连接之间的差异。
1.5 漏洞多来自于操作系统
早过去相当长一段时期,漏洞多数集中在操作系统和WEB发布软件,如微软IIS和apache tomcat等,攻击者利用操作系统的漏洞和WEB发布软件和其他数据库漏洞等进行攻击,获取服务器权限。但是近两年来利用系统漏洞对服务器的攻击的数量在明显下降。
2 目前网络攻击的一般方法
当前的企业网络安全形势,越来越复杂。当我们用各种方法保护数据中心的时候,发现直接对数据中心攻击的现象在减少。入侵者不再直接攻击安全基础设施,而是通过恶意软件攻击最终用户来获得访问数据中心的权限。
然而传统的安全措施很难察觉到针对性攻击,无法及时生成签名让IPS和反病毒软件阻止针对性攻击。客户虽然有许多设备保护数据中心和网络边界,但却不能保护新型攻击的目标用户。
现在专业的入侵者首先使用社交媒体锁定某个员工,让用户打开一个为其专门定制的文档,例如PDF。第二步,这些文档会利用Adobe PDF Reader、PowerPoint或浏览器等应用程序的漏洞,运行恶意代码。第三步恶意代码会通过互联网下载后门程序,在用户电脑上安装木马。接下来恶意程序会与外部的入侵者建立命令与控制链接,如此就进入第五步,入侵者就可以通过获得用户权限进入数据中心。
在应对这种针对性攻击上,传统安全设备显得力不从心。因为这种针对性攻击可能就是一个PDF文件,只进行了一次传输。
3 未来防火墙需要具备的特点
3.1 更精细的应用层安全
必须具有丰富的应用识别,才能确保安全策略更精细,更可视。
3.1.1 动态更新的应用识别技术。随着网络应用的快速增长,基于各种协议的网络应用日趋增加,新一代防火墙必须能够依据协议特点识别各种网络应用和网络动作,并且内置到防火墙内部且应用和动作的识别可以动态更新。
3.1.2 用户识别技术。可以根据用户类型、用户部门、用户权限、IP组等不同分类对网络用户进行分类,使每一类用户有不同的网络权限。同时应该与AD和RADIUS、单点登录、智能卡等结合完善接入用户的认证。
3.2 全面的内容级防护
全面的内容防护至少要包括漏洞扫描、WEB防护、内容过滤三个内容。漏洞扫描要能发现对操作系统、应用系统、网络协议、用户设备漏洞的防护,对利用漏洞进行的攻击进行阻断。WEB防护功能应包括网站攻击防护、应用隐藏、口令保护和权限控制。内容过滤功能应该能显现对关键字、URL集、病毒、木马、恶意控件/脚本的过滤。
3.3 高性能的应用层处理能力
如果使用传统的硬件架构方式对报文进行处理,不仅对硬件要求高,同时应用层报文处理会大量占用设备资源,很难突破千兆处理。必须对防火墙进行新架构设计,抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上也要放弃了UTM多引擎,多次解析的架构,需要采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,能够一次对报文实现从网络层到应用层的解析,达到万兆处理能力。
3.4 完整安全方案构思
通过本章的分析,设计网络安全、可视化应用管控、全面应用安全三个大项部署未来防火墙框架,见图1。
总之,未来防火墙应该是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。他不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。是一个涵盖L2---L7的完整的安全防范产品。
关键词:网络;安全;包过滤;状态防火墙;下一代防火墙
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)0110014-02
0 前言
防火墙作为网络安全防范的重要设备,几乎和路由器一起诞生。从最初的包过滤技术,到1992年USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
近年来一体化安全网关UTM迅速发展,UTM统一威胁管理,在防火墙基础上发展起来的,具备防火墙、IPS(入侵检测系统)、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能,因此主要用于对性能要求不高的中低端领域。在中低端领域,UTM已经出现了代替防火墙的趋势,因为在不开启附加功能的情况下,UTM本身就是一个防火墙,而附加功能又为用户的应用提供了更多选择。但是在高端应用领域,比如电信、金融等行业,由于UTM的性能限制导致这些领域仍然以专用的高性能防火墙、IPS为主流。这是目前国内防火墙应用的现状。
1 防火墙的现在
1.1 普遍功能
现有防火墙从功能上讲基本都包含包过滤技术、NAT(网络地址转换)技术、审计和报警功能、代理服务、流量控制、VPN(虚拟专用网)技术。
1.2 应用等于端口
在传统防火墙上应用等于端口号,比如80=WWW;21=FTP;DNS
=53,限制或禁止使用某项服务直接禁止某个端口号即可。自2010年以来,应用日趋WEB话,2010年上半年全球TCP流量80端口的WEB流量占到了45%,好的应用混合不安全的流量攻击转为信息窃取,应用和数据库存在大量的风险。
1.3 非黑即白的网络
防火墙将网络划分为三个区域,信任区域(TRURS)非信任区域(UNtrust)和停火区(DMZ)区域。一般来讲,不信任区域是不安全的,信任区域是安全的,供内部和外部访问的服务器存放在DMZ区域。区域之间通过不同的策略控制着互相访问。传统意义上一直以为信任区域是安全的,实际上堡垒最容易从内部攻破,内部的安全问题是值得关注的网络安全因素。从目前的网络应用来讲,很难在用信任与非信任来区分网络用户。
1.4 攻击对防火墙的威胁
1.4.1 针对包过滤防火墙的主要攻击
包过滤防火墙在网络层截获网络数据包,并根据访问控制规则表,来检测攻击行为,阻断非法网络数据包。主要根据数据包的源IP地址,目的IP地址,TCP/UDP源端口;TCP/UDP目的端口等参数来过滤所有的网络连接和网络服务。该类防火墙很容易受到如下攻击:
1)IP欺骗攻击。这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如:外部攻击者,将他的数据包源地址改为内部网络地址,防火墙看到是合法地址就放行了。
2)D.0.S拒绝服务攻击。简单的包过滤防火墙不能跟踪TCP的状态,很容易受到拒绝服务攻击,一旦防火墙受到D.0.S攻击,可能会忙于处理,占用大量CPU和内存,从而丧失自己的过滤功能。
3)分片攻击。这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序。但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的TCP信息判断是否允许通过,而其它后续的分片不作规则检测,直接让它们通过。这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁内部网络和主机的安全。
4)木马攻击。对于包过滤防火墙最有效的攻击就是木马,一旦在内部网络安装了木马,防火墙基本上是无能为力的。因为包过滤防火墙一般只过滤低端口(1-1024),而高端口不可能进行过滤(一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多木马都打开高端口监听外部命令,如冰河,subseven等。
1.4.2 针对状态检测包过滤防火墙的主要攻击
与包过滤防火墙相对应的是状态检测包过滤防火墙产品。状态检测技术是跟踪检测TCP连接从建立到终止整个过程的技术。采用状态检测技术的防火墙在网络发起连接时就判断网络连接的状态,如果符合规则,就在内存登记这个连接的状态信息(地址,port,命令等),后续的属于同一个连接的数据包,就不再需要检测而可直接通过。但一些精心构造的攻击数据包由于没有在防火墙的内存中登记相应的状态信息,所以被防火墙丢弃,这样攻击数据包就无法饶过防火墙。状态检测包过滤防火墙比包过滤防火墙具有更高安全级别,但是它同样容易受到各种攻击:
1)协议隧道攻击。协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。
2)利用FTPpasv绕过防火墙认证的攻击。FTPpasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall,在监视FTP服务器发送给客户端的数据包时,它在每个包中寻找”227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证。通过验证后,将允许建立到该地址的TCP连接。攻击者利用这个漏洞特性,可以设法连接受防火墙保护的服务器和服务。 3)反弹木马攻击。反弹木马是对付状态检测包过滤防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,这是多数防火墙的一个基本盲区,即防火墙不能有效区分内部发起的木马连接和合法连接之间的差异。
1.5 漏洞多来自于操作系统
早过去相当长一段时期,漏洞多数集中在操作系统和WEB发布软件,如微软IIS和apache tomcat等,攻击者利用操作系统的漏洞和WEB发布软件和其他数据库漏洞等进行攻击,获取服务器权限。但是近两年来利用系统漏洞对服务器的攻击的数量在明显下降。
2 目前网络攻击的一般方法
当前的企业网络安全形势,越来越复杂。当我们用各种方法保护数据中心的时候,发现直接对数据中心攻击的现象在减少。入侵者不再直接攻击安全基础设施,而是通过恶意软件攻击最终用户来获得访问数据中心的权限。
然而传统的安全措施很难察觉到针对性攻击,无法及时生成签名让IPS和反病毒软件阻止针对性攻击。客户虽然有许多设备保护数据中心和网络边界,但却不能保护新型攻击的目标用户。
现在专业的入侵者首先使用社交媒体锁定某个员工,让用户打开一个为其专门定制的文档,例如PDF。第二步,这些文档会利用Adobe PDF Reader、PowerPoint或浏览器等应用程序的漏洞,运行恶意代码。第三步恶意代码会通过互联网下载后门程序,在用户电脑上安装木马。接下来恶意程序会与外部的入侵者建立命令与控制链接,如此就进入第五步,入侵者就可以通过获得用户权限进入数据中心。
在应对这种针对性攻击上,传统安全设备显得力不从心。因为这种针对性攻击可能就是一个PDF文件,只进行了一次传输。
3 未来防火墙需要具备的特点
3.1 更精细的应用层安全
必须具有丰富的应用识别,才能确保安全策略更精细,更可视。
3.1.1 动态更新的应用识别技术。随着网络应用的快速增长,基于各种协议的网络应用日趋增加,新一代防火墙必须能够依据协议特点识别各种网络应用和网络动作,并且内置到防火墙内部且应用和动作的识别可以动态更新。
3.1.2 用户识别技术。可以根据用户类型、用户部门、用户权限、IP组等不同分类对网络用户进行分类,使每一类用户有不同的网络权限。同时应该与AD和RADIUS、单点登录、智能卡等结合完善接入用户的认证。
3.2 全面的内容级防护
全面的内容防护至少要包括漏洞扫描、WEB防护、内容过滤三个内容。漏洞扫描要能发现对操作系统、应用系统、网络协议、用户设备漏洞的防护,对利用漏洞进行的攻击进行阻断。WEB防护功能应包括网站攻击防护、应用隐藏、口令保护和权限控制。内容过滤功能应该能显现对关键字、URL集、病毒、木马、恶意控件/脚本的过滤。
3.3 高性能的应用层处理能力
如果使用传统的硬件架构方式对报文进行处理,不仅对硬件要求高,同时应用层报文处理会大量占用设备资源,很难突破千兆处理。必须对防火墙进行新架构设计,抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上也要放弃了UTM多引擎,多次解析的架构,需要采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,能够一次对报文实现从网络层到应用层的解析,达到万兆处理能力。
3.4 完整安全方案构思
通过本章的分析,设计网络安全、可视化应用管控、全面应用安全三个大项部署未来防火墙框架,见图1。
总之,未来防火墙应该是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。他不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。是一个涵盖L2---L7的完整的安全防范产品。