智能防火墙技术的关键技术和功能应用(1)
本文提出了智能防火墙,这种类型的防火墙更聪明更智能,克服了传统的防火墙的“一管就死,一放就乱”的状况,修正上述防火墙的重大假设为“拒绝保证安全,放行的也要保证安全”。新的智能防火墙把“出口”的概念改变为“关口”的概念,所有经过“关口”的数据包都必须接受防火墙的检查。与传统防火墙采用的数据匹配检查的技术不同,新的智能防火墙采用人工智能识别技术来决定访问控制。智能防火墙比传统的防火墙,更安全,效率更高。 防火墙已经被用户普遍接受,而且正在成为一个主要的网络安全设备。防火墙圈定一个保护的范围,并假定防火墙是唯一的出口,然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设,如果防火墙拒绝某些数据包的通过,则一定是安全的,因为该些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的,防火墙无法判断一个正常的服务的数据包和一个恶意的数据包有什么不同,因此要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么,既然管理员说必须通过,那么防火墙依据你设置的规则来准许该包通过,这样管理员则必须承担策略错误的安全责任。然而,传统防火墙的这种假设对网络安全是不恰当的,安全效果也不好。把安全责任交给安全管理员,实际上就没有解决安全问题。新一代的防火墙应该加强放行数据的安全性,因为网络安全的真实需求是,既要保证安全,也必须保证应用的正常进行。 一、传统的防火墙技术简介 目前的防火墙无论从技术上还是产品发展历程上,都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。 第三代的防火墙准确来说,是美国国防部认为第一代和第二代的防火墙的安全性不够,希望能对应用进行检查,于是出资研制出有名的TIS防火墙套件。第四代防火墙是1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义。高级应用代理(Advanced Application Proxy)的研究,克服速度和安全性之间的矛盾,可以称之为第五代防火墙。 前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。因此,它们都有一个共同的缺陷,安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。 二、传统防火墙遗留的主要安全问题 没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是,以拒绝访问(DDOS)为主要目的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题,非智能防火墙都无能为力。 根据2003年美国联邦调查局(FBI)和计算机犯罪调查机构(CSI)联合发布的报告,超过50%的被调查者承认遭受拒绝访问攻击,80%的被调查者遭受病毒的攻击。垃圾电子邮件更猖狂,IDC估计到2006年,全球每天发送的垃圾信息将超过200亿条。
