浅析传统防火墙的防护不足与发展趋势:防火墙的发展趋势

　　摘要：随着全球网络化进程的不断加深，互联网安全成为了网络发展的瓶颈。针对于此，该文主要介绍传统的网络安全设备——防火墙，在目前网络安全防护当中的缺陷与不足，并针对网络防护的发展局势，介绍下一代防火墙这种新技术的体系结构特征,突出它在功能和性能上的优势。
　　关键词：网络安全；防火墙；下一代防火墙；IPS；DPI
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)18-4348-02
　　近年来，随着计算机互联网技术的飞速发展，计算机处理业务已由单机处理功能发展到面向内部局域网、全球互联网的全球范围内的信息共享和业务处理功能。网络信息已经成为社会发展的重要组成部分，同时渗透到各个行业当中，涉及政府、军事、金融、教育等诸多领域。其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行业务、股票证券、能源数据、科研数据等重要信息。有很多是敏感信息，甚至是国家机密。由于因特网组成形式多样性、终端分布广和网络的开放性、互联性等特征，致使这些网络信息容易受到来自全球各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。要保护这些信息就需要有一套完善的网络安全保护机制。在这种需求之下，防火墙在传统路由器的基础上，独立发展起来成为一款专业的安全防护产品。
　　 1防火墙
　　1.1什么是防火墙
　　防火墙（Firewall）简单的讲就是一个软件和硬件组成的一款安全设备。它的目的就是将内部网络和Internet网络进行一个逻辑的隔离，以保障内部网络数据的私有性和安全性。它通过对数据包五元组以及状态信息等信息检测，从根本上控制了非法数据流的流入或者流出，通过对内网和外网的监管和限制，有效地保障内外网的网络安全，从根本上制止了不可预测的破坏和入侵行为。
　　1.2防火墙技术
　　防火墙技术当中最主要的技术有两种，一种是包过滤技术，一种是状态监测技术。本部分会主要分析一下包过滤技术和状态技术的实现原理。
　　什么是包过滤技术呢？其实包过滤技术的实现原理合适比较简单的。在IP网络中进行数据通讯，必须确定的是五元组（源IP地址、目的IP地址，源端口、目的端口以及协议），而包过滤技术也正是建立在五元组的基础上，主要针对于TCP/IP协议栈的三层和四层。我们可以设定一系列的包过滤规则，当一个数据包进来的时候，包过滤机制首先回去检查它的IP报头中的五元组信息，一旦匹配了某个包过滤策略，那么就会执行相应的动作（通过、丢弃或者记录日志）。包过滤对用户来说是透明的，而且它是目前为止一种简单有效的安全控制手段。由于包过滤技术主要是针对TCP/IP协议的三、四层，因此针对一些更高层面的入侵或者攻击行为就显的有些力不从心了。
　　状态检测技术主要针对的是TCP协议，因为TCP在通信的过程中是需要三次握手建立连接的。当防火墙收到一个初始化的SYN请求报文，防火墙会依照规则策略对此报文进行检查，如果没有匹配规则，则发送一个RST置位的报文。当该报文匹配了规则，本次回话的记录就会存在于状态检测表里面，当下次接收到一个数据包的时候，就回去查找是否有相应的回话，而不是直接查找规则，因此使得防火墙的处理性能大大提高。
　　 2防火墙的不足之处
　　在企业网的部署当中，防火墙一般都会作为网络的出口设备，抵御来自外部的攻击。但是，随着互联网技术的飞速发展，黑客的攻击技术也达到了前所未有的高度。他们可以通过攻击一些开放端口，或者伪装攻击报文等技术，轻而易举的绕过传统防火墙的检测。据不完全统计，目前大多数的网络攻击事件都是针对应用层的，如常见的DDoS僵尸网络攻击，这些攻击报文和正常的访问流量没有什么区别。由此我们可以得出，传统防火墙已经没法应对当下强度大、危害深的网络攻击。其不足主要表现在以下五个方面：
　　1）面向服务的架构及Web2.0的广泛应用，大量应用建立在HTTP等基础协议之上，而基于端口及IP的处理机制传统防火墙，无法有效识别和管理这些应用，更无法检查应用中附带的威胁代码。
　　2）传统防火墙，无法检测出加密流量。比如防火墙无法迅速截获SSL数据流并对其解密，无法阻止应用程序的攻击，有些防火墙，根本就不提供数据解密的功能。不仅如此，对于程序加密的数据流，防火墙也无法识别
　　3）越来越多的新型安全威胁如社交网络蠕虫、僵尸网络等传播渠道变得越来越隐蔽，安全威胁也越来越智能化，传统防火墙无法有效发现和阻止这些威胁。
　　4）在网络中，传统防火墙主要是基于三层包过滤和四层状态监测等防护技术，无对应用进行有效地监控和管理，如P2P软件、视频、炒股、游戏等软件。因此，诸多应用成了网络安全当中难以监控的区域。
　　5）随着网络带宽的迅速增长，主流网络带宽已经从千兆时代进入到万兆甚至十万兆时代，传统防火墙无法提供足够的性能和扩展性来应对这种变化。
　　 3下一代防火墙
　　面对如此多的网络安全的防护死角，防火墙必须改进，才能更主动的阻止新的威胁（如僵尸网络和定位攻击）。随着攻击变得越来越复杂，必须更新防火墙和入侵防御系统（IPS）来保护业务系统。
　　3.1什么是下一代防火墙
　　下一代防火墙（NGDW）应运而生，它是执行传输流深度检测和阻止攻击的线速集成平台。那么到底什么是下一代防火墙呢？也许目前很难给出下一代防火墙一个完整的定义，但是我们可以通过对传统防火墙的缺陷与不足的理解，和我们对下一代防火墙在一些功能点上的突破的综合考虑，可以简单的理解下一代防火墙就是一个集传统防火墙、入侵防护系统和深度包检测技术为一体的高性能网络安全设备，它主要具备以下功能：
　　1）线速的处理能力：下一代防火墙应不影响网络正常运行的情况下进行嵌入式配置。换言之，下一代防火墙需要具备线速的网络处理性能，从而可以实现无缝的部署于现有的用户网络中。
　　2）传统防火墙的功能：要替代传统的防火墙产品，下一代防火墙就应当具备传统状态监测防火墙所应当具备的全部功能，其中包括包过滤，NAT，状态监测，VPN等功能。
　　3）高度融合的IPS能力：所谓高度融合IPS能力，并不是简单的将IPS功能模块加入到下一代防火墙产品中去，而是要通过一体化引擎，一体化安全策略框架等技术实现IPS策略与传统安全策略的融合，从而最大化的保证系统运行效率。
　　4）应用可视和身份鉴别能力：下一代防火墙要具备极强的应用可视能力，用户身份鉴别能力，以及将应用识别及身份鉴别与安全策略整合的能力，这样才真正做到辨别“谁在什么地方访问了什么应用。
　　3.2入侵防御系统
　　入侵防御系统（IPS，Intrusion Prevention System）是在防火墙和入侵检测系统（IDS，Intrusion Detection Systems）的基础上发展起来的。入侵防御系统区别与入侵检测系统最大之处就是，如果一旦有数据流匹配了入侵防御系统的规则，就认定该数据流有入侵企图，它会立即产生告警信息，同时执行动态的阻断以及防护等策略，它不会让攻击报文流进企业内网，而不仅仅是产生告警信息。在以前，入侵检测系统导致的结果往往是网络管理员明知道自己的网络遭受到入侵或者攻击，却无能力。虽然，IPS的出现，为网络的安全防护带来希望，但是其发展仍存在缺陷，主要有三点：
　　1）误报率偏大。IPS继承了IDS采用规则匹配的技术，来对威胁进行识别。但是传统的IDS也存在着一些缺陷，比如经常会产生一些误报，但是随着从IDS到IPS的发展当中，这个致命的问题依旧没有被完全解决。而且误报对于IPS来说更加的可怕，它会把正常用户的访问流量拒绝掉，从而成为IPS最大的缺陷。
　　2）应用效果不明显。IPS之所以能都识别威胁，有效地防范攻击，主要是依据特征库，它需要及时的搜集攻击特征，并为IPS升级特征库。但由于特征收集的难度大，从而导致了特征库版本低，对于新型攻击往往没有效果。再者，目前频发的DDoS攻击事件中，黑客攻击时所发送的数据报文和正常报文没有差别，IPS没法准备识别这种攻击意图，从而成为其发展的另一大瓶颈。
　　3）性能消耗严重。IPS一般都是串联在网络当中，基本上所有的数据报文都要穿越IPS，如果防护的应用变多，IPS设备的CPU和内存的使用率会急速上升。可也导致了IPS空有一身本领却受限于自身性能，成为IPS发展的又一大缺陷。
　　3.3深度包检测
　　传统防火墙对于数据包的检测主要是通过五元组和状态检测，随着网络的不断发展，该检测已无法满足人们对于能够识别的要求。深度包检测（DPI，Deep Packet Inspection）技术很好的解决了这个问题，深度包检测可以针对网络数据流提供精准识别，从而完成对应用的控制，因此保障网络资源的安全性和可用性。
　　深度包检测技术对数据包头或有效载荷所封装的内容进行分析，从而引导、过滤和记录基于IP的应用程序和Web服务通信流量，其工作并不受协议种类和应用程序类型的限制。深度包检测技术能够深入分析IP、TCP和UDP通信流量的内容，当数据流经过管理设备时，将其重新组合，从而得到整个应用程序的内容，然后按照定义的策略进行阻断或者放行的操作。
　　深度包检测引擎以基于指纹匹配、启发式技术、异常检测和统计学分析等技术的规则集，决定如何处理数据包。例如，检测引擎将数据包载荷中的数据与预先定义的攻击指纹进行对比，以判定数据传输中是否含有恶意攻击行为，同时引擎利用已有的统计学数据执行模式匹配，辅助这种判断的执行。利用深度包检测技术可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及木马、蠕虫病毒等。
　　 4下一代防火墙的发展趋势
　　随着云计算技术的发展以及它与虚拟化技术已经由理论研究逐步走向实践，云计算和虚拟化技术会得到更广泛的应用，网络也将面临前所未有的复杂性挑战。对于下一代防火墙将会面临更多新的安全需求，主要体现在：
　　1）安全技术如何与虚拟化技术融合。
　　数据中心逐渐向虚拟化的发展，必然要求下一代防火墙需要具备虚拟化防护的能力，比如如何让防火墙能够与服务器虚拟层沟通，进而能够针对每一台虚拟机器的流量做扫描与阻挡等。
　　2)新型攻击的出现给防御带来了挑战。
　　面对不断出现的新的攻击方式及漏洞情况，下一代防火墙需要持续且快速得更新其攻击特征库及不断改进对攻击的防范能力。
　　3)基于云安全模式的Web信誉评级将会成为新的需求热点。随着云计算应用的发展普及，下一代防火墙需要对互联网资源（域名、IP地址、URL等）进行威胁分析和信誉评级，将含有恶意代码的网站列入Web信誉库，以阻止对挂马网站的访问请求，实现对终端用户的安全访问保护。
　　4）大量数据中心的新建及扩容将会带来巨大的成本压力。在数据中心当中，用下一代防火墙替换传统防火墙，势必带来了巨大的成本。因此，下一代防火墙需要更加弹性的软硬件架构来降低用户的采购及升级换代成本。
　　 5结束语
　　当下，面对传统防火墙的不足，IT行业在寻求新的解决之道，来应对日渐复杂、攻击变化多端、病毒木马横行的互联网环境。下一代防火墙的出现是大势所趋，它可以解决传统防火墙所不能解决的问题。但与此同时，也会面对一些瓶颈。比如，下一代防火墙是单台设备的一站式部署，将会替代传统防火墙、流量控制设备、IPS等分布式部署的方式，这样将会面对“效率和性能”的问题。很多防火墙厂商在设计防火墙的时候，既要满足用户对安全功能的需求，也要满足高性能的要求，一时无法找到这种平衡关系，从而出现了“性能与效率”之争。因此，从传统防火墙到下一代防火墙的转换，还要有很多的路要走。总是，我深信下一代防火墙的推出顺应了大势所趋，必然会在未来大显身手，为用户提供更好的网络安全体验。
　　参考文献：
　　[1]袁占亭,冯涛,杨鹏.分布式入侵检测系统和防火墙技术结合的研究与实现[J].兰州理工大学学报,2005(1).
　　[2]吕娟.防火墙技术的研究[J].电脑知识与技术,2009(24).
　　[3]刘喆,王蔚然.分布式防火墙的网络安全系统研究[J].电子科技大学学报,2005(3).