SYS SECURITY 系统安全 探讨防火墙技术发展趋势 ◆于颖 摘要:防火墙是重要的网络安全技术之一。本文从传统防火墙、防火墙概念的引 申、统一威胁管理技术、下一代防火墙技术等几个方面对防火墙技术的发展历程进行 了梳理,并分析了防火墙技术的发展趋势与要求。 关键词:网络安全;防火墙技术;应用安全;统一威胁管理;下一代防火墙 一、前言 近年来,随着计算机网络技术的飞速发展,互联网络 的规模迅速扩大,网络带宽不断,各种网络应用日益增多。 中国互联息中心(CNNIC)发布的《第29次中国互联 网络发展状况统计报告》…表明,截至2011年12月底,中同 网民规模达到5.1 3亿,全年新增网民5580万。互联网普及 率较2010g底提升4%,达到38.3%。网络应用分为即时通 信、搜索引擎、网络音乐、网络新闻、网络视频(按用户规 模排序)等约l8j2类,其中用户规模年增长率最快的前5类 应用分别为微博(296.0%)、团购(244.8%)、网上支付 (21.6%)、网上购物(20.8%)、网上银行(19.2%)。 在瓦联网规模和应用不断发展的同时,网络的安全问 题也日益凸现。国家互联网应急中心(CNCERT)发布的 《2011年中国互联网网络安全报告》 表明,除了蠕虫、木 马、僵尸网络等常见攻击越发猖獗之外,钓鱼网站、网站用 户信息泄露、应用软件漏洞、智能终端恶意程序等攻击开始 呈现增长态势。2011年,CNCERT共接收国内外报告网络安 全事件15366起,较2010年增加了47.3%;其中,国外报告的 网络安全事件数量为2100起,较20l0年下降了58.6%。 网络安全问题的解决、网络安全访问的保障需要依靠各 种网络安全技术,防火墙(Firewal1)就是其中重要的一项。 “防火墙”一词出自建筑行业,指的是房屋间阻止火灾蔓延 的隔离墙。用在网络安全领域,指的是在线部属于内部网络 和外部网络之间,根据策略对进出的流量进行管控、保障内 网安全的软件或硬件设备。防火墙一词本身是一个概念,强 调的是内网、之间的隔离性,实现时会采用具体的技 术。自从20世纪80年代第一个商用防火墙系统推出以来,随 着网络技术的不断发展、网络攻击的不断演变,防火墙的 实现技术也在不断的发展、创新。特别是当前IPv6、无线网 络、云计算等信息技术逐渐被广泛采用、新型的网络安全问 题不断出现的情况下,现有防火墙面临着性能、控制精度、 灵活性、可扩展性等方面的不足,从而弓1出了“下一代防火 墙”的概念口]。本文的后续部分介绍了传统防火墙的常用技 术,简述了防火墙概念的发展,针对目前的统一威胁管理技 术和下一代防火墙技术对防火墙的发展趋势及要求进行了分 析.. 76 信息系统T程I 20141 20 二、传统防火墙的常用技术 在20多年的发展过程中,随着各种实现技术的提出,防 火墙的功能也在不断扩展。传统防火墙的常用技术包括静态 包过滤技术、动态包过滤技术、代理技术、NAT技术、VPN 技术等H],简单介绍如下: 1.静态包过滤(SPF)技术是最早使用的防火墙技术, 主要基于数据包的五元组(源IP地址、源端口、目的IP地 址、目的端口、协议)等数据包头部信息构建访问控制列 表(ACL),进而对每个经由的数据包进行控制。静态包过 滤技术不处理数据包的有效载荷,也不考虑数据包之间的关 系,是简单、快速的粗粒度控制 2.动态包过滤(DPF)技术在静态包过滤技术的基础上 引入了状态包检测功能。通过构建一个动态连接状态表,对 每条连接的状态进行跟踪。对于一条连接而言,只有后续到 达的数据包满足该连接的状态才被放行。动态包过滤技术可 以有效地抵制sYN Flood Dos等攻击。 3.代理(Proxy)技术是采用应用层代理服务器切断内网 和之间的直接通信,由代理服务器分别与内网和通 信来保持一种内网和间的间接通信。这种内网、的 隔离机制带来了很大的安全性和灵活的控制能力。 4.网络地址转换(NAT)技术是通过对数据包的源(目 的)IP地址、源(目的)端口进行修改,将多个内网私有IP 地址同少数公共IP地址进行关联,从而既实现_『公共IP 地址复用,又确保了内部IP地址隐藏。 5.虚拟专用网络(VPN)技术是通过采用隧道、加密、 认证、QoS等技术,在公共的互联网上虚拟出一个专用网 络,使得企业既能够在公共互联网上安全地传输私有信息, 又节约了开支。 三、防火墙概念的发展 传统意义上的防火墙主要针对数据包的网络层和传输层 信息进行访问控制,或者是通过特定应用的代理技术来简单地 隔离内之间的直接通信,对数据包应用层载荷内容不做深 入检测。这种方法简单易行,在最初互联网环境不复杂的情况 下能够取得良好的效果。然而,随着Web应用越来越广泛、网 络应用种类越来越多、计算机网络犯罪行为越来越高科技化, 以传统防火墙为主的网络安全技术由于粗粒度、易规避等问题 SYS SECURITY 系统安全 已经不足以维护如此复杂的网络。细粒度的复杂网络流量控制 需求催生出一系列以2 ̄1J7层协议全面分析为基础的网络安全技 升,一些厂商的UTM技术也面临着几点问题,简述如下: 1.防火墙、VPN、防病毒网关、入侵防御等功能模块的 集成是通过简单的叠加而实现的,存在当个数据包重复解析 术[51,根据防范侧重点不同,常用的技术包括: 1.防病毒网关(AVG)通过对HTTP、SMTP、POP3、 IMAP、FTP等协议进行全文内容扫描,对网络流量中的病 毒、木马、蠕虫、垃圾邮件等多种有害信息进行隔离与查 杀,阻止其进入内网。 2.入侵防御系统(IPS)通过采用误用检测(应用层内 的情况。当多个功能开启时,各功能模块对系统资源的消耗 导致设备性能急剧下降。 2.简单的功能模块叠加,使得规则配置繁琐、管理复 杂,设备易用性差。 3.模块之间缺少关联以及联动性,误报率高,报警响应 容完全分析)、异常检测(各种连接属性分析)等技术,对 DoS/DDoS、非法连接、端口扫描等基于网络的入侵行为进 行识别和阻断,并且还提供URL分类与管理、网络应用识别 与管理等功能。 3.Web应用防火墙(WAF)主要对内网中的Web业务进 行保护,阻止Web应用程序漏洞扫描、SQL注入、XSS、钓 鱼网站等攻击,并且还提供Web请求信息、敏感信息防 泄露、网页防篡改等功能。 为了提高响应速度,上述设备往往采用在线(非旁路) 的方式部署在网络中,对网络流量进行实时检测。同时还会采 用静态包过滤、代理等技术,提高对网络入侵者的主动防御能 力。因此,传统防火墙的概念在上述设备中仍然得到体现。 四、统一威胁管理技术 为了抵御复杂的网络安全问题,网络安全领域细分出 了众多网络安全技术,例如上文提到的传统防火墙、防病毒 网关、人侵防御系统、Web应用防火墙,其他的技术还有人 侵检测、安全管理、网络审计、数据库审计等等。虽然有些 技术之间可能存在少量交集,但每种技术的侧重点不同,不 能相互替代。由于网络安全技术是随着网络技术的发展而阶 段性产生的,每种技术往往都单独对应一台设备。这样,当 企业在部署完整的网络安全架构时,往往需要采购多台设备 分别进行部署,带来的问题就是投资大、网络结构复杂、网 络传输效率低、管理困难、维护成本高,这对于中小型企业 (SMB)而言是很大的困扰。针对这一情况,从传统防火 墙/VPN市场分支出一类新型的设备,市场研究公司IDC在 2004年9月的市场分析报告 中将其命名为“统一威胁管理 (UTM)”设备。IDC认为UTM安全设备产品将多个安全功 能集成到一个盒子中,必须包括网络防火墙、网络入侵检测 和防御以及防病毒网关功能以区别其他的设备类型,但不需 要全部开启。产品中的各组件集成而不是隔离存在。UTM的 市场竞争力在于即插即用、便于管理、维护成本低。 根据IDC对UTM的描述,可以将其看作是集多种网络安 全功能为一体的防火墙设备。市场需求推动着UTM技术快速 发展,目前网络安全市场上已经有多家厂商的UTM产品可供 选择,由于技术积累的不同,各厂商的UTM实现技术有着很 大的区别。UTM的市场规模增长迅速,2009年我国UTM市 场的规模为1.2334L美金,同比增长50.2%[71。可以预见,作 为功能最完备的防火墙,UTM的应用在未来几年内仍会保 持稳步增长。但是,随着网络环境的复杂化、用户需求的提 复杂 五、下一代防火墙技术 下一代防火墙(NGFW)是市场研究公司Gartner在报 告_3 中给出的概念。Ganner认为当前的网络环境下,传统防 火墙的状态包检测以及有限的应用感知能力已经不能有效地 抵御攻击,并且防火墙和入侵检测设备的叠加式集成会导致 很高的操作成本,能够检测出特定应用攻击、并能对进出流 量执行应用级粒度的安全策略的NGFW正在显现。Gartner将 NGFW定义为一个线速的、集成的、对流量进行深度检测、 对攻击进行阻止的网络平台。Gartner在报告中强调了NGFW 的几个主要的特征,例如拥有传统的防火墙功能(SPF、 DPF、NAT、VPN等)、各功能模块之间的彻底集成、应用 感知及全协议堆栈可见、防火墙外信息协助策略制定、支持 升级路径来应对未来的威胁等。与UTM相比较,NGFW更 加强调了联动性、细粒度与可扩展性。目前市场上的NGFW 厂商还为数不多,NGFW产品的部署以大企业为主。Gartner 认为,glJ20 1 4年底,将有3 5%的Internet连接采用NGFW来保 护,60%新购买的防火墙是NGFW。 六、防火墙技术发展趋势 UTM和NGFW均属于多功能一体化防火墙设备,它们的 出现既满足了市场需求,也是网络安全技术经过多年发展、 网络安全厂商经过多年积累的必然结果,从IDC的UTM概念 和Gartner的NGFW概念来看,这一趋势不可阻挡。不管是 UTM还是NGFW,多功能一体化防火墙设备在设计实现过程 中都还要考虑以下几点: 1.提升设备性能。设备性能是评价一个产品竞争力的关 键因素之一。对于多功能一体化防火墙而言,由于其往往部 署在网络出口位置、执行复杂的管控操作,为了避免成为瓶 颈,一定要确保设备性能满足要求。对于功能丰富的多功能 一体化防火墙来说,基于多核平台的设计是较好的选择。 2.确保设备易用,便于维护。毕竟大多数的用户都不是 安全领域的专家,更多需要的是“一键部署、正确报警”。 为了满足这一点,需要对设备的功能模块进行很好的集成, 优化检测方法,降低误报率。 3.加强设备自身抗攻击性。防火墙自身的安全是网络安 全保障的前提,需要给设备提供抵抗各种攻击的能力,例如 抗DoS/DDoS攻击、抗ARP攻击、抗DNS攻击等。还要对被 攻击后的操作进行设计。 (下转83页) 信息系统工程l 2014 1.20 77 TECHNOLOGY 技术应用 学者的极大关注,不论是在理论研究,还是在实际应用中, for Data,Memories and Knowing[J].Journal of Intelligent Information 都取得了显著的成果。但由于其仍处于起步阶段,在运用定 System(Ills),2007(29):127—144. 『7]Detlor B.The influence of information ecology on e—commerce 量工具对信息生态系统进行分析上还有待进一步深入,尤其 initiatives[J】.Internet Research:Electronic Netwroking Applications and Pohcy,2001,11(41:286-295 是国内方面,在信息生态模型的构建上,注意力多集中在结 [8]Peter H,Jones.Information practices and cognitive artifacts in 构模型上,而忽略了系统中各要素之间数学关系的表达,在 scientiifc research[J1 Cogn Tech Work,2005(7):88-1O0 [91_E韬,沈静珠,等 信息生态系统的多_ ̄4g(Agent)交互模型Ⅱ】.计算 运用数学模型对系统进行仿真和推理方面与国外同行还存在 机应用科学,2004(1):1 19—122. 较大差距。 【1O】余小鹏,朱湘晖.Intemet ̄T-境下信息生态系统失衡研究Ⅱ1.图书情 报工作,2009(7):47-50 信息生态理论下一步研究方向主要集中在: [111Joseph Martin.COBIT:A Tool to Manage Information Ecology[J】. (1)信息生态理论相关定义的界定。为使信息生态理 CF,CISA,COIM,2003(3):5—15. 『121陈远,陈子夏,望俊成.企业信息化的终极目标:构建健康的信息 论能够得到更广泛的应用,学术界需要对相关概念进行统 生态系统Il1情报杂志,2007(6):108—110 [13]张新明,王振,张红岩.以人为本的信息生态系统构建研究[1ll情报 一,以方便信息生态理论的传播。 理论与实践,2007(4):531-533 (2)信息生态因子的研究。信息、信息人和信息环境 [14】施莉.企业决策行为的信息生态环境研究[I]科技进步与对 策.2005(6):145—147. 构成了信息生态系统的基本框架,而系统中存在的各类信息 [15]慕静,万志成.降低牛鞭效应的信息生态链管理模式及对幕研究 生态因子通过相互作用,无时无刻不在影响着系统的结构, 【l1l情报科学,2008(9):1314—1316. [16】张海涛,闰奕文,冷晓彦企业信息生态系统的逻辑模型与运行机 通过研究信息生态因子的发展变化顾虑对信息生态平衡的构 制『1】_情报理论与实践,2010(4):6—9 建有着深远意义。 [17]翟金金,张文德.信息生态环境下的企业竞争情报系统研究U】l情 报探索 2006(81:112-115. (3)信息生态系统与外部环境的互动。信息生态系统 [1 8]Danah boyd.Social Media Changing our Information Ecology[J] 是一个开放的动态系统,它与外界不断地进行着信息的交 ITI Bloggers,2008(22):112-DO 【19]Shim,Seonyoung,Lee,Byungtae Evolution of Portals and Stability 换,通过研究二者之间的互动关系,可以降低外界环境对信 ofInformation Ecology on the Web[A]Proceedings ofthe ACM Conference on Electronic Commerce,Proc ofthe 8th Int.Conf.on Electronic Conference 息生态系统的消极影响,提高对系统外资源的利用效率,使 2006——The New E——Commerce:Innovations for Conquering Current 二者达到动态平衡。 Barriers,Obstacle and Limitations to Conducing Successful Business on the Intemet,2006:584—588 (4)信息生态平衡对策研究。构建平衡的信息生态系 『201覃正,韩刚.电子府际信息共享:一个基于信息生态范式的分 统、达到信息资源的优化配置、完成人类社会的信息 析框架[I1_情报学报,2007,26(5):758—763. [[211董永梅,周秀会.天津滨海新区信息生态系统的构建U】情报理 是信息生态理论研究的主要目标,也是学科发展的动力源 论与实践.2010(1):1 13-1 16 【22】张向先,张旭,郑絮.电子商务信息生态系统的构建研究卟图书情 泉,是国内外学者孜孜不倦追求的最终结果。 嗣 报工作。2010(5):20—24 【23]Bern Shen Ecologies,out Keach,and the Evolution of Medical Li1eraries[71.Iounral ofthe Medical Liberary Association,2005,93(4):86—91. 参考文献 [241程现昆.教育信息生态模型的建构方法研究【I】.图书情报工 作,2008(2):104—107 [1]Rafael Capurro Towards an information Ecology.Contribution to the NORDINFO International seminar”Information and Quality”U].Royal [25】王显燕.面向图书馆牛鞭效应的信息生态链管理U].情报探 School ofLibrarianship,Copenhagen,1989(8):23—25 索,2010(7):33—35. [2]田春虎.信息生态问题初探U1.情报杂志,2005(2):90—92 [26]果青,张莉,宁婉浅议院校图书馆信息生态系- ̄,qJ1.军事经济 [3】李键菲.基于信息生态链的信息污染及主体防范策略….情报资料 研究。2009(7):68~70. 工作.2010(3):98—101. 【27]谢加封.广告信息生态失衡的原因分析Ⅱ】.沈阳工程学院学报(社 [4]李佳玉.信 g-生态链断裂问题研究 情报理论与实践,2010(6):15~ 会科学版),2008,4(1):36-38. 18. [28】李兰娟.从信息生态学角度思考医疗卫生信息共享Ⅲ.中国信息 [5】李美娣.信息生态系统的剖析U丁.情报杂志,1998(4):3~5. 界:e医疗,2OLO(3):18. 【6]Karen s.Bakert.Information Ecology:Open System Environment (作者单位:信息工程大学) | (上接77页) fM1 2012. [2]国家互联网应急中心.2011#-中国互联网网络安全报告[EB/OL]. 七、总结 http://www.cert.org.cn/publish/main/46/2012/201205230855333412154 7I/2012O523085533341215471.html≠≠a7. 互联网规模的扩大、网络应用的增加、网络带宽的提升 『31 Garmer.Defining the Next Generation Firewall[M1 Gartner RAS Core Research Note Goo171540,12 October 2009. 给网络安全技术的发展带来巨大的挑战。防火墙作为重要的 [4]胡健.浅谈网络安全与防火墙技术U Jl科技信息,2010(5):72—73 [5]徐向文.防火墙技术与网络安全 广东科技,2008(01):36—37. 网络安全技术之一,从最初的传统防火墙,到与其他网络安 [61崔云鹏.浅析下一代安全网关U】网络安全技术与应用,2008(12):4 全技术联动,再到UTM和NGFW,一直在不断地进化和发 6 『71Charles T.Kolodgy.Worldwide Threat Management Security 展。总的来说,高性能、易用易维护、自身抗攻击、支持功 Appliances 2004-2008 Forecast and 2003 Vendor Shares:The Rise of 能扩展的多功能一体化防火墙是发展趋势。 帅 theUniifed Threat Management Security Apphance[MI .f81任敏琪,李方庭,王宁远,等.2012—2016年中国UTM市场投资分析 及前景预测报告lEB/OL1.http://www.ocn.com cn/2012/1 160UTM.htm 参考文献 (作者单位:河南省信息中心) [1】中国互联息中心.第29 ̄Je,.中国互联网络发展状况统计报告 信息系统工程l 20141 20 83
