网盾防火墙与国内外主流防火墙
分析报告
一. 防火墙产品类型发展趋势
在防火墙十多年的发展中,防火墙厂家对防火墙的分类一直在变化,各个厂家对自己的防火墙产品有不同的标榜。但在我看来,防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。
(一. ) 包过滤防火墙
传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。
(二. ) 应用代理防火墙
应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦, 最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代理过渡以方便用户的使用。
(三. ) 混合型防火墙(Hybrid )
由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。
(四. ) 全状态检测防火墙(Full State Inspection)
这是由一个知名防火墙厂家Checkpoint 提出的一种新型防火墙,据Checkpoint 关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块(Inspection Model), 该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive 。
(五. ) 自适应代理防火墙
这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中,在每个连接通信的开始仍然需要在应用层接受检测,而后面的包可以经过安
全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包过滤模块来得知通信连接的情况,当一个连接到来时,动态包过滤将通知代理并提供源和目的的信息,然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连接指定相应的策略。
在自适应代理中,动态包过滤允许代理要求新连接的通知,接着代理就可以检查每个具体的连接信息,告诉动态包过滤接下去应该对该包作如何处理,如丢弃,转发还是将包提到应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。
虽然Network Associate的这套自适应代理技术具有一定的先进性,但据说并未完全被该公司所实现,因此该公司的技术文档中很难有关于自适应代理的详细的资料。
二. 国外防火墙实现技术分析
由于国外的网络安全要比我们国内发展得早,而且国外的软硬件技术水平也要比国内高出一节,因此国外的防火墙产品自然比国内的产品要更加成熟和先进。所以我这里将国外防火墙中所运用的先进技术提出来加以分析。这些技术主要分成以下三大类。
(一. ) 性能实现
随着网络速度的不断提升,防火墙的性能越来越成为国外厂家关注的问题,他们一般主要从硬件,操作系统和检测方法方面作改进。
1. 专用硬件
使用专用的硬件以NetScreen 防火墙最为典型,NetScreen 防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。在每个NetScreen 设备中,都有ASIC(Application Specific Integrated Circuit) 芯片,这些专用的ASIC 芯片主要用来起到加速防火墙策略检查,加密,认证,以及PKI 过程功能。例如,所有的规则都存储在一个特定的存储区里,当硬件引擎每次需要检查规则时,就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。
另一方面,为了使硬件和软件处理达到最佳配合,NetScreen 使用了高速的多总线体系结构,该体系结构中每个ASIC 芯片都配有一个RSIC 处理器,SDRAM 和以太网接口。因此NetScreen 特有的硬件体系结构的设计可以比使用公共的PC 硬件的防火墙产品达到更高的性能价格比。
2. 专用实时嵌入式操作系统
NetScreen 使用了专门的ASIC 硬件设计之后,在操作系统也采用了专用的嵌入式操作系统——ScreenOS 。在NetScreen 防火墙中每个RISC 处理器都运行ScreenOS 。ScreenOS 是一个强安全,低维护费用,专门为ASIC 线路设计的实时嵌入式操作系统。ScreeOS 的任务主要有三。首先,ScreenOS 支持从WebUI (Web 界面)和CLI (用户界面)获取配置,管理和监控任务。其次,ScreenOS 和高性能的TCP/IP引擎集成并与ASIC 芯片紧密合作完成包的检测和转发的功能。最后,由于ScreenOS 不象其他公用的操作系统平台受到连接表和处理数目的限制,因此一般地ScreenOS 每秒所能支持的TCP 并发连接数可达到19,600个。
下面解释一下NetScreen 专用ASIC 硬件和专用ScreenOS 操作系统如何配合做到对安全策略的处理方面达到高性能。NetScreen 对包的检测主要分如下几个步骤:首先,进来的包在网络层被拦截,ScreenOS 提供包的格式和框架的检查以辨认是否是畸形包。其次,如果包是合法的,ScreenOS 将检查该包是否属于存在的TCP 会话。再次,如果该包所属的TCP 会话的确存在,那么ScreenOS 将检查TCP 包的序列号和代码域来证明包真正属于给该对话。如果该包不是属于一个已存在的TCP 会话,那么ASIC 芯片则要检测该包是否符合安全策
略,如果不符合安全策略则丢包,否则建立新的连接通信。基本原理如下图。
图.NetSceen 防火墙对包的处理过程
3. 多CPU 和大容量RAM
除了使用专用的硬件和软件设计,大多数的硬件防火墙采用通用PC 系统和通用的操作系统如linux,Solaris,Windows 等。这些厂家为了提高整体硬件的性能一般增加参加并行处理的CPU 数目以及RAM 的容量。Cyberguard 防火墙就是一个典型的例子,该防火墙使用的CPU 数达到4个,而RAM 的容量为1G 。
4. 检测算法改进
前面都是从硬件和操作系统方面来提高防火墙的性能,另一个提高防火墙的方法则是从数据包的检测方法上来提高性能。以下由几种典型的包检测的改进方法。
首先,就是前面提到的全状态检测。checkpoint firewall-1的检测模块的工作都是在操作系统的内核完成,它可以检测所有七层通信协议,并且可以分析包的状态信息。因此既能保证包检测的性能,又能保证包检测的全面性。之所以Firewall-1检测模块能做到检测应用层是因为Firewall-1对IP 协议包的内部结构很清楚,因此检测模块可以从包的应用内容中提取数据并将其保存下来为后面的包提供必要的状态信息。Firewall-1检测模块的原理图如下。
Firewall-1检测模块工作原理图
其次,就是自适应代理。自从Network Associates 的防火墙使用了自适应代理体系结构,由于只在防火墙检测到可疑通信量时才启用代理,因此在启用NAT 后,Gaunlet 防火墙的性能比NetScreen 和Checkpoint 甚至更好。由于在NetWork Associates(http://www.nai.com)找不到更多的关于自适应代理的资料,因此对自适应代理基本原理的描述只局限于前面提到的一部分。
再次,是MAC 层状态检测。这是NetGuard 公司为其防火墙提出的这种检测方法,由于包的检测是处于MAC 层,因此能很明显的提高防火墙的性能,并且使得它对操作系统安全漏洞具有免疫功能。
最后,快速代理(cut-through proxy)这是由Cisco 公司对代理性能的一种改进,但是这种改进是否保证安全还需考证。Cisco 认为一个代理服务器必须对包进行七层协议的检查是很浪费时间的,而PIX 防火墙只是对每个通信连接的开始通过认证服务器进行必要的用户认证(如外部用户采用一次性口令),然后就可建立起直接的数据流,这样速度自然要快得多。Cisco 在检测安全时还使用了适应性安全算法(Adaptive Security Algorithm), 该算法接近于状态检测,它将防火墙所连接的网络进行安全分级,ASA 算法遵守下列规则:每个包必须经过状态检查;除了被安全策略拒绝,任何从安全区域向相对不安全区域发的包放行;除了被安全策略允许,任何从相对不安全区域向安全区域发的包拒绝;所有ICMP 包除了被指定允许否则都拒绝。从Cisco 提出的ASA 算法和cut-through proxy的方案可以看出Cisco 是有点想牺牲点安全来换取性能。
(二. ) 功能实现
防火墙的功能比较多种多样,国外各个厂家一方面都提供了一些防火墙基本功能和常见功能,另一方面也多多少少有自己的一些特色功能。由于防火墙的基本功能和常见的功能如NA T ,PAT ,内容过滤,负载平衡,高可靠性,透明模式等网盾防火墙已基本实现,所以这里将不再对其叙诉。我这里只对我们未实现过的一些功能加以简单的描述。
1. 多种身份认证体系和灵活的认证方法
由于现今各种操作系统支持多种认证方案,因此许多防火墙厂商为用户提供了多种的认证体系以便用户使用,例如,checkpoint 认证体系大概有六种:防火墙口令, RADIUS 或TACACS/TACACS+服务器,数字证书,S/Key,SecurID Tokens,Axent Pathways Defender,OS 口令。
为了使防火墙用户能灵活的控制认证对象,Checkpoint 还提供了三种不同的认证方法:用户认证,IP 地址认证,对话认证(基于每个对话对每个服务作认证)。
最后一个是许多公司提出的透明的用户ID 和地址认证服务体系。该种透明认证的实现是通过将Windows NT的域认证方案和它的防火墙合为一体。该透明的认证服务可以自动的捕捉Windows NT系统的登录信息和本机动态分配的地址,然后这些捕捉到的信息就可以直接作为防火墙认证的信息,这样就可以做到用户透明认证。
2. 防病毒检测
很多防火墙都增加了防病毒功能,他们一般是通过集成第三方的防病毒软件实现,例如,Checkpoint 通过它的CVP(Content Vectoring Protocol)服务器集成第三方的防病毒产品。如果防火墙的ftp 服务需要病毒检测,那么防火墙就会拦截FTP 所传送的文件送往CVP 服务器接受检测,然后防火墙在根据CVP 服务器的检查来处理该FTP 的连接。
3. 入侵检测
在防火墙中绑定入侵检测也是现在国外增强防火墙安全性的一种重要方法。由于防火墙对安全的手段一般趋于静态,而入侵检测则趋于动态,对安全的防范做到动静结合我想这是很多厂家的想法。但是做到入侵检测和防火墙真正紧密配合还是要花一定的功夫。例如,入侵检测是否可以根据检测到的情况直接对防火墙进行动态控制。
4. 多媒体服务支持
互联网的多媒体应用已经在企业和用户中很流行,但是多媒体应用由于要求打开许多端口也给网络安全带来相当的威胁。由于多媒体应用的一个重要特征就是数据量大而且要求速度快,因此对付防火墙的安全性检查的性能就需要一定的要求,Cisco 公司的产品PIX 对多媒体应用很重视,他自称可以做到性能和安全兼得。他们支持的多媒体应用包括:RealAudio,Streamworks,CU-SeeMe,Internet Phone,IRC,Vxtreme,VDO Live。
5. VPN
VPN 是指在公共通信通道中使用虚拟隧道的技术,由于这种应用的客户需求很大,因此几乎所有的防火墙厂家都将它与防火墙绑定。他们都将管理简易、高速吞吐量和强有力的安全特性作为衡量VPN 好坏的标准。
CommWeb 和Network Test Inc进行合作测试,最后发现有三个网关在能够提供安全性、可扩展性、使用简单和价格性能比的最佳组合。具有最高水平的设备是来自NetScreen Technologies Inc 的NetScreen-100,它没有安全问题,在我们测试的任何设备中具有最高的吞吐量,同时有一个比较公平的价格。来自Cisco Systems Inc的 Cisco 7100 VPN 路由器和其他测试设备比较,提供更加强大的安全性能,具有优秀的管理特点,同时支持更多的并发连接,尽管其价格是高了一些。Lucent Technologies的 VPN Firewall Brick 80在我们测试的高端设备中,提供非常好的管理性能,极佳的参数和最好的价格性能比。
由于VPN 运作也是较复杂的一部分,这里不再详诉。如果有必要,可以加以更深一步的调研。
(三. ) 管理
防火墙的功能和性能固然重要,但是系统管理员是通过防火墙的管理界面来与控制防火墙,因此提供一个系统,灵活,简单且直观的管理也是防火墙吸引客户的一个重要方面。因此国外的厂家在管理界面方面也下了一定的功夫,成为他们宣传中的一个亮点。
1. 基于客户机/服务器的管理方式
Check-point 的管理非常具有它的独特性,而且它的管理方式在业界享有盛誉,因此给我留下很深的印象。Check-point 总的管理模式是基于客户机/服务器方式的如下图。这种管理方式具有高性能,可扩展,集中管理等优点。在这种模式下,管理员可以通过单一的用户界面对公司中所有网络安全设备进行配置,管理和监控。这种管理模式有三个部分组成:用户界面(GUI ), 管理服务器,网络安全模块。其中管理服务器相当于安全数据库,它储存了
用户界面 管理服务器
路由,网关,VPN,Firewall-1, 入侵检测等服务器
图。 分布式客户/服务器管理模式
网络对象定义,用户定义,安全策略,所有网络安全设备的日志文件等信息。然后管理服务器负责这些安全策略下载到各网络安全设备。还有各个安全设备的升级问题也可以由管理服务器统一管理,你只要更新管理服务器上的版本,那么需要更新的安全设备就会觉察到这种改变接着从管理服务器上下载更新文件自动更新自己。
2. 简单的面向对象管理思想
Checkpoint 对安全策略的配置是基于面向对象思想。他们把网络资源(网段,路由器,网关,服务)看作一个对象,这些对象都有一套各自的属性如姓名,IP 地址或范围,NAT 等。然后定义好的对象就可以在规则策略表(rule base)中方便的使用。因此为整个网络通信所定义的规则策略表显得非常的简练,清楚。该规则表的原型可以在Firewall-1的demo 中看到。
3. 视觉化策略编辑
为了让管理员对整个网络的结构有一个直观的理解,Check-point 的界面让网管者可以检视图形化的整体网路安全部署架构同时管理安全政策。「视觉化策略编辑」会显示进入企业网路的连线,而任何安全政策的改变都会显示在「视觉化策略编辑」的图示中,以真实反应网路安全的状况同时确保较高等级的安全。
4. 多种管理方式
由于管理员控制设备的习惯各异,而且配置过程中实际情况不同,因此为管理员准备多种配置方式是很有必要的。基本的方式包括:
∙
∙
∙
∙ 自带 Web 服 务 器:方 便 地 通 过 流 行 的 浏 览 器 进 行 管 理 Windows 95/NT/2000 图形界面:可 关 闭 远 程 的 管 理 方 式, 只 用 本 地 的、 安 全 的 管 理 SNMP 管 理 方 式:通 过 网 络 管 理 软 件 管 理 命令行界面:支 持 批 处 理 方 式 及 通 过 调 制 解 调 器的备 用 渠 道 进
行 控 制
三. 网盾防火墙与国内外主流防火墙相比不足之外
(一. ) 性能方面
1.产品外形急待改进,国内外主流产品已全部采用1U 机器,而
网盾防火墙仍是2U 。
2. 产品硬件也需改进,由于网盾防火墙采用普通PC 机的硬件,
在运行速度和启动速度上都很慢,这点和国内外这款同档次防火相比差距很大。
3. 网盾防火墙的系统性能仍需提高,在我公司测试过程中,当
同时并发数变多时,系统速度明显变慢。
4. 代理和包过滤同时使用时,系统会明显变慢。
(二. ) 功能方面
1.网盾防火墙支持的用户认证方式比效少。
2.VPN 现在已算主流防火墙的一个功能,但网盾防火墙不支持
VPN 功能。
3. 网盾防火墙日志管理、分析和主流防火墙相比有一定的差距。
如实时日志查看比较困难,也不能生成清楚的日志报表。 4. 在基于Lotus Domino邮件系统做SMTP 代理时,有问题。
(三. ) 管理方面
1.网盾防火墙只提供单一的GUI 管理方式,如基于Web 形式和
串口方式的都不支持,这给管理带来很多不便。
2. 网盾GUI 管理端软件管理配置界面不直观也不美观,且运行
时对系统资源占用比较大。
网盾防火墙与国内外主流防火墙
分析报告
一. 防火墙产品类型发展趋势
在防火墙十多年的发展中,防火墙厂家对防火墙的分类一直在变化,各个厂家对自己的防火墙产品有不同的标榜。但在我看来,防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。
(一. ) 包过滤防火墙
传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。
(二. ) 应用代理防火墙
应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦, 最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代理过渡以方便用户的使用。
(三. ) 混合型防火墙(Hybrid )
由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。
(四. ) 全状态检测防火墙(Full State Inspection)
这是由一个知名防火墙厂家Checkpoint 提出的一种新型防火墙,据Checkpoint 关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块(Inspection Model), 该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive 。
(五. ) 自适应代理防火墙
这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中,在每个连接通信的开始仍然需要在应用层接受检测,而后面的包可以经过安
全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包过滤模块来得知通信连接的情况,当一个连接到来时,动态包过滤将通知代理并提供源和目的的信息,然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连接指定相应的策略。
在自适应代理中,动态包过滤允许代理要求新连接的通知,接着代理就可以检查每个具体的连接信息,告诉动态包过滤接下去应该对该包作如何处理,如丢弃,转发还是将包提到应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。
虽然Network Associate的这套自适应代理技术具有一定的先进性,但据说并未完全被该公司所实现,因此该公司的技术文档中很难有关于自适应代理的详细的资料。
二. 国外防火墙实现技术分析
由于国外的网络安全要比我们国内发展得早,而且国外的软硬件技术水平也要比国内高出一节,因此国外的防火墙产品自然比国内的产品要更加成熟和先进。所以我这里将国外防火墙中所运用的先进技术提出来加以分析。这些技术主要分成以下三大类。
(一. ) 性能实现
随着网络速度的不断提升,防火墙的性能越来越成为国外厂家关注的问题,他们一般主要从硬件,操作系统和检测方法方面作改进。
1. 专用硬件
使用专用的硬件以NetScreen 防火墙最为典型,NetScreen 防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。在每个NetScreen 设备中,都有ASIC(Application Specific Integrated Circuit) 芯片,这些专用的ASIC 芯片主要用来起到加速防火墙策略检查,加密,认证,以及PKI 过程功能。例如,所有的规则都存储在一个特定的存储区里,当硬件引擎每次需要检查规则时,就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。
另一方面,为了使硬件和软件处理达到最佳配合,NetScreen 使用了高速的多总线体系结构,该体系结构中每个ASIC 芯片都配有一个RSIC 处理器,SDRAM 和以太网接口。因此NetScreen 特有的硬件体系结构的设计可以比使用公共的PC 硬件的防火墙产品达到更高的性能价格比。
2. 专用实时嵌入式操作系统
NetScreen 使用了专门的ASIC 硬件设计之后,在操作系统也采用了专用的嵌入式操作系统——ScreenOS 。在NetScreen 防火墙中每个RISC 处理器都运行ScreenOS 。ScreenOS 是一个强安全,低维护费用,专门为ASIC 线路设计的实时嵌入式操作系统。ScreeOS 的任务主要有三。首先,ScreenOS 支持从WebUI (Web 界面)和CLI (用户界面)获取配置,管理和监控任务。其次,ScreenOS 和高性能的TCP/IP引擎集成并与ASIC 芯片紧密合作完成包的检测和转发的功能。最后,由于ScreenOS 不象其他公用的操作系统平台受到连接表和处理数目的限制,因此一般地ScreenOS 每秒所能支持的TCP 并发连接数可达到19,600个。
下面解释一下NetScreen 专用ASIC 硬件和专用ScreenOS 操作系统如何配合做到对安全策略的处理方面达到高性能。NetScreen 对包的检测主要分如下几个步骤:首先,进来的包在网络层被拦截,ScreenOS 提供包的格式和框架的检查以辨认是否是畸形包。其次,如果包是合法的,ScreenOS 将检查该包是否属于存在的TCP 会话。再次,如果该包所属的TCP 会话的确存在,那么ScreenOS 将检查TCP 包的序列号和代码域来证明包真正属于给该对话。如果该包不是属于一个已存在的TCP 会话,那么ASIC 芯片则要检测该包是否符合安全策
略,如果不符合安全策略则丢包,否则建立新的连接通信。基本原理如下图。
图.NetSceen 防火墙对包的处理过程
3. 多CPU 和大容量RAM
除了使用专用的硬件和软件设计,大多数的硬件防火墙采用通用PC 系统和通用的操作系统如linux,Solaris,Windows 等。这些厂家为了提高整体硬件的性能一般增加参加并行处理的CPU 数目以及RAM 的容量。Cyberguard 防火墙就是一个典型的例子,该防火墙使用的CPU 数达到4个,而RAM 的容量为1G 。
4. 检测算法改进
前面都是从硬件和操作系统方面来提高防火墙的性能,另一个提高防火墙的方法则是从数据包的检测方法上来提高性能。以下由几种典型的包检测的改进方法。
首先,就是前面提到的全状态检测。checkpoint firewall-1的检测模块的工作都是在操作系统的内核完成,它可以检测所有七层通信协议,并且可以分析包的状态信息。因此既能保证包检测的性能,又能保证包检测的全面性。之所以Firewall-1检测模块能做到检测应用层是因为Firewall-1对IP 协议包的内部结构很清楚,因此检测模块可以从包的应用内容中提取数据并将其保存下来为后面的包提供必要的状态信息。Firewall-1检测模块的原理图如下。
Firewall-1检测模块工作原理图
其次,就是自适应代理。自从Network Associates 的防火墙使用了自适应代理体系结构,由于只在防火墙检测到可疑通信量时才启用代理,因此在启用NAT 后,Gaunlet 防火墙的性能比NetScreen 和Checkpoint 甚至更好。由于在NetWork Associates(http://www.nai.com)找不到更多的关于自适应代理的资料,因此对自适应代理基本原理的描述只局限于前面提到的一部分。
再次,是MAC 层状态检测。这是NetGuard 公司为其防火墙提出的这种检测方法,由于包的检测是处于MAC 层,因此能很明显的提高防火墙的性能,并且使得它对操作系统安全漏洞具有免疫功能。
最后,快速代理(cut-through proxy)这是由Cisco 公司对代理性能的一种改进,但是这种改进是否保证安全还需考证。Cisco 认为一个代理服务器必须对包进行七层协议的检查是很浪费时间的,而PIX 防火墙只是对每个通信连接的开始通过认证服务器进行必要的用户认证(如外部用户采用一次性口令),然后就可建立起直接的数据流,这样速度自然要快得多。Cisco 在检测安全时还使用了适应性安全算法(Adaptive Security Algorithm), 该算法接近于状态检测,它将防火墙所连接的网络进行安全分级,ASA 算法遵守下列规则:每个包必须经过状态检查;除了被安全策略拒绝,任何从安全区域向相对不安全区域发的包放行;除了被安全策略允许,任何从相对不安全区域向安全区域发的包拒绝;所有ICMP 包除了被指定允许否则都拒绝。从Cisco 提出的ASA 算法和cut-through proxy的方案可以看出Cisco 是有点想牺牲点安全来换取性能。
(二. ) 功能实现
防火墙的功能比较多种多样,国外各个厂家一方面都提供了一些防火墙基本功能和常见功能,另一方面也多多少少有自己的一些特色功能。由于防火墙的基本功能和常见的功能如NA T ,PAT ,内容过滤,负载平衡,高可靠性,透明模式等网盾防火墙已基本实现,所以这里将不再对其叙诉。我这里只对我们未实现过的一些功能加以简单的描述。
1. 多种身份认证体系和灵活的认证方法
由于现今各种操作系统支持多种认证方案,因此许多防火墙厂商为用户提供了多种的认证体系以便用户使用,例如,checkpoint 认证体系大概有六种:防火墙口令, RADIUS 或TACACS/TACACS+服务器,数字证书,S/Key,SecurID Tokens,Axent Pathways Defender,OS 口令。
为了使防火墙用户能灵活的控制认证对象,Checkpoint 还提供了三种不同的认证方法:用户认证,IP 地址认证,对话认证(基于每个对话对每个服务作认证)。
最后一个是许多公司提出的透明的用户ID 和地址认证服务体系。该种透明认证的实现是通过将Windows NT的域认证方案和它的防火墙合为一体。该透明的认证服务可以自动的捕捉Windows NT系统的登录信息和本机动态分配的地址,然后这些捕捉到的信息就可以直接作为防火墙认证的信息,这样就可以做到用户透明认证。
2. 防病毒检测
很多防火墙都增加了防病毒功能,他们一般是通过集成第三方的防病毒软件实现,例如,Checkpoint 通过它的CVP(Content Vectoring Protocol)服务器集成第三方的防病毒产品。如果防火墙的ftp 服务需要病毒检测,那么防火墙就会拦截FTP 所传送的文件送往CVP 服务器接受检测,然后防火墙在根据CVP 服务器的检查来处理该FTP 的连接。
3. 入侵检测
在防火墙中绑定入侵检测也是现在国外增强防火墙安全性的一种重要方法。由于防火墙对安全的手段一般趋于静态,而入侵检测则趋于动态,对安全的防范做到动静结合我想这是很多厂家的想法。但是做到入侵检测和防火墙真正紧密配合还是要花一定的功夫。例如,入侵检测是否可以根据检测到的情况直接对防火墙进行动态控制。
4. 多媒体服务支持
互联网的多媒体应用已经在企业和用户中很流行,但是多媒体应用由于要求打开许多端口也给网络安全带来相当的威胁。由于多媒体应用的一个重要特征就是数据量大而且要求速度快,因此对付防火墙的安全性检查的性能就需要一定的要求,Cisco 公司的产品PIX 对多媒体应用很重视,他自称可以做到性能和安全兼得。他们支持的多媒体应用包括:RealAudio,Streamworks,CU-SeeMe,Internet Phone,IRC,Vxtreme,VDO Live。
5. VPN
VPN 是指在公共通信通道中使用虚拟隧道的技术,由于这种应用的客户需求很大,因此几乎所有的防火墙厂家都将它与防火墙绑定。他们都将管理简易、高速吞吐量和强有力的安全特性作为衡量VPN 好坏的标准。
CommWeb 和Network Test Inc进行合作测试,最后发现有三个网关在能够提供安全性、可扩展性、使用简单和价格性能比的最佳组合。具有最高水平的设备是来自NetScreen Technologies Inc 的NetScreen-100,它没有安全问题,在我们测试的任何设备中具有最高的吞吐量,同时有一个比较公平的价格。来自Cisco Systems Inc的 Cisco 7100 VPN 路由器和其他测试设备比较,提供更加强大的安全性能,具有优秀的管理特点,同时支持更多的并发连接,尽管其价格是高了一些。Lucent Technologies的 VPN Firewall Brick 80在我们测试的高端设备中,提供非常好的管理性能,极佳的参数和最好的价格性能比。
由于VPN 运作也是较复杂的一部分,这里不再详诉。如果有必要,可以加以更深一步的调研。
(三. ) 管理
防火墙的功能和性能固然重要,但是系统管理员是通过防火墙的管理界面来与控制防火墙,因此提供一个系统,灵活,简单且直观的管理也是防火墙吸引客户的一个重要方面。因此国外的厂家在管理界面方面也下了一定的功夫,成为他们宣传中的一个亮点。
1. 基于客户机/服务器的管理方式
Check-point 的管理非常具有它的独特性,而且它的管理方式在业界享有盛誉,因此给我留下很深的印象。Check-point 总的管理模式是基于客户机/服务器方式的如下图。这种管理方式具有高性能,可扩展,集中管理等优点。在这种模式下,管理员可以通过单一的用户界面对公司中所有网络安全设备进行配置,管理和监控。这种管理模式有三个部分组成:用户界面(GUI ), 管理服务器,网络安全模块。其中管理服务器相当于安全数据库,它储存了
用户界面 管理服务器
路由,网关,VPN,Firewall-1, 入侵检测等服务器
图。 分布式客户/服务器管理模式
网络对象定义,用户定义,安全策略,所有网络安全设备的日志文件等信息。然后管理服务器负责这些安全策略下载到各网络安全设备。还有各个安全设备的升级问题也可以由管理服务器统一管理,你只要更新管理服务器上的版本,那么需要更新的安全设备就会觉察到这种改变接着从管理服务器上下载更新文件自动更新自己。
2. 简单的面向对象管理思想
Checkpoint 对安全策略的配置是基于面向对象思想。他们把网络资源(网段,路由器,网关,服务)看作一个对象,这些对象都有一套各自的属性如姓名,IP 地址或范围,NAT 等。然后定义好的对象就可以在规则策略表(rule base)中方便的使用。因此为整个网络通信所定义的规则策略表显得非常的简练,清楚。该规则表的原型可以在Firewall-1的demo 中看到。
3. 视觉化策略编辑
为了让管理员对整个网络的结构有一个直观的理解,Check-point 的界面让网管者可以检视图形化的整体网路安全部署架构同时管理安全政策。「视觉化策略编辑」会显示进入企业网路的连线,而任何安全政策的改变都会显示在「视觉化策略编辑」的图示中,以真实反应网路安全的状况同时确保较高等级的安全。
4. 多种管理方式
由于管理员控制设备的习惯各异,而且配置过程中实际情况不同,因此为管理员准备多种配置方式是很有必要的。基本的方式包括:
∙
∙
∙
∙ 自带 Web 服 务 器:方 便 地 通 过 流 行 的 浏 览 器 进 行 管 理 Windows 95/NT/2000 图形界面:可 关 闭 远 程 的 管 理 方 式, 只 用 本 地 的、 安 全 的 管 理 SNMP 管 理 方 式:通 过 网 络 管 理 软 件 管 理 命令行界面:支 持 批 处 理 方 式 及 通 过 调 制 解 调 器的备 用 渠 道 进
行 控 制
三. 网盾防火墙与国内外主流防火墙相比不足之外
(一. ) 性能方面
1.产品外形急待改进,国内外主流产品已全部采用1U 机器,而
网盾防火墙仍是2U 。
2. 产品硬件也需改进,由于网盾防火墙采用普通PC 机的硬件,
在运行速度和启动速度上都很慢,这点和国内外这款同档次防火相比差距很大。
3. 网盾防火墙的系统性能仍需提高,在我公司测试过程中,当
同时并发数变多时,系统速度明显变慢。
4. 代理和包过滤同时使用时,系统会明显变慢。
(二. ) 功能方面
1.网盾防火墙支持的用户认证方式比效少。
2.VPN 现在已算主流防火墙的一个功能,但网盾防火墙不支持
VPN 功能。
3. 网盾防火墙日志管理、分析和主流防火墙相比有一定的差距。
如实时日志查看比较困难,也不能生成清楚的日志报表。 4. 在基于Lotus Domino邮件系统做SMTP 代理时,有问题。
(三. ) 管理方面
1.网盾防火墙只提供单一的GUI 管理方式,如基于Web 形式和
串口方式的都不支持,这给管理带来很多不便。
2. 网盾GUI 管理端软件管理配置界面不直观也不美观,且运行
时对系统资源占用比较大。