欢迎到
随着网络的发展和普及,特别是互联网使用的飞速发展和普及,网络安全越来越受到各级用户的普遍关注。人们在享受信息化带来的众多优点的同时,也面临着日益突出的信息安全疑问。比如:网络环境中国家秘密和商业秘密的保卫,特别是政府上网后对机密敏感信息的保卫,网上各种行为者的身份确认与权责利的确认,高度网络化的各种业务(商务、政务、教务等)信息系统运行的正常和不被破坏,网络银行、电子商务、各类资金管理系统中的支付与结算的准确真实和金融机构数据保卫与管理系统的不被欺诈,都将成为企业形象、商业利益、国家安全和社会稳定的焦点。
一、分布式防火墙的产生
因为传统的防火墙配置在网络边界,在内部企业网和外部互联网之间构成一个屏障,执行 网络存取控制,所以称为边界防火墙(Perimeter Firewall)。随着计算机安全技能的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是"分布式防火墙",英文名为"Distributed Firewalls"。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的,也有一些国际著名网络设备开发商(如3COM、CISCO等)开发生产了集成分布式防火墙技能的硬件分布式防火墙,做成嵌入式防火墙PCI卡或PCMCIA卡的形式,但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技能集成在硬件上,所以通常称之为"嵌入式防火墙",其实其核心技能就是"分布式防火墙"技能。关于这些分布式防火墙产品在下一篇文章里将有介绍。
我们都知道,传统意义上的边界防火墙用于限定被保卫企业内部网络与外部网络(通常是互联网)之间相互执行 信息存取、传递操作,它所处的位置在内部网络与外部网络之间。实际上,所有以前出现的各种不同类型的防火墙,从基本的包过滤在使用层代理以至自适应代理,都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。这样的假设是整个防火墙开发和工作机制,但随着最近几年各种网络技能的发展和各种新的攻击情况不断出现,人们越来越希望须要重新来探讨一下传统边界式防火墙存在的种种疑问,以寻求新的处理方案,而本文所介绍的"分布式防火墙"技能就是目前认为最有效的处理方案。
分布式防火墙是一种主机驻留式的安全系统,用以保卫企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙通常是内核模式使用,它位于操作系统OSI栈的底部,直接面对网卡,它们对所有的信息流执行 过滤与限定,无论是来自Internet,还是来自内部网络。
分布式防火墙把Internet和内部网络均视为"不友好的"。它们对个人计算机执行 保卫的形式如同边界防火墙对整个网络执行 保卫一样。对于Web服务器来说,分布式防火墙执行 配置后能够阻止一些非必要的协议,如HTTP 和 HTTPS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。 分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞,如DoS(拒绝服务)、使用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能执行 专门的保卫。系统管理员能够将访问权限只赋予服务器上的使用所运用的必要的端口及协议。如HTTP, HTTPS, port 80, port 443等。
为了进一步了解这一新的防火墙技能的优越性,我们先来了解一下传统边界式防火墙的固有不足之处。
二、传统边界式防火墙的固有欠缺
在介绍这种传统边界式防火墙的欠缺之前不得不申明的一点就是,它的欠缺并不是一开始人们就意识到,而是随着网络技能的不断发展、新网络技能的不断涌现和使用,以及新的网络安全因素的出现而体现的。这一点与任何其它产品的使用流程一样,虽然在目前来说它存在以下欠缺,但或许随着网络使用和进一步发展,将来还可能有人提出更多的欠缺之处,哪怕是本文所要介绍的最新分布式防火墙技能。就目前来说边界式防火墙主要存在以下不足之处:
(1)网络使用受到结构性限定
随着像VPN这样网络技能的使用和普及,企业网边界逐步成为一个逻辑的边界,物理的边界日趋模糊,传统边界防火墙在此类网络环境的使用受到了结构性限定。因为传统的边界式防火墙依赖于物理上的拓扑结构,它从物理上将网络划分为内部网络和外部网络,这一点影响了防火墙在虚拟专用网(VPN)上的使用,因为今天的企业电子商务要求员工、远程办公人员、设备供应商、临时雇员以及商业合作伙伴都能够自由访问企业网络,而主要的客户数据与财务记录往往也存储在这些网络上。根据VPN的概念,它对内部网络和外部网络的划分是基于逻辑上的,而逻辑上同处内部网络的主机可能在物理上分处内部和外部两面个网络。
基于以上原由,所以这种传统防火墙不能在有在两个内部网络之间通信需求的VPN网络中运用,否则VPN通信将被中断。虽然目前有一种SSL VPN技能可以绕过企业边界的防火墙进入内部网络VPN通信,但是使用更广泛的传统IPSec VPN通信中还是不能运用,除非是专门的VPN防火墙。目前有许多网络设备开发、生产商都能提供VPN防火墙,如Cisco、3Com和我国的华为(Quidway)公司等。
(2)内部安全隐患仍在
传统的边缘防火墙只对企业网络的周边提供保卫。这些边缘防火墙会在从外部网络进入企业内部局域网的流量执行 过滤和审查,但是,他们并不能确保企业内部网络内部用户之间的安全访问。这就好比给一座办公楼的大门加上一把锁,但办公楼内的每个房间却四门大开一样,一旦有人通过了办公楼的大门,便可以随意出入办公楼内任何一个房间。改良这种安全性隐患的最基本办法便是为楼内每个房间都配置一把钥匙和一把锁。边界式防火墙的作用就相当于整个企业网络大门的那把锁,但它并没有为每个客户端配备相应的安全"大锁",与上述所举只给办公楼大门配锁,而每个房间的大门却敞开所带来的安全性隐患的道理是一样的。
另据统计,80%的攻击和越权访问来自与内部,边界防火墙在对付网络内部威胁时束手无策。因为传统的边界式防火墙配置一般都基于IP地址,因而一些内部主机和服务器的IP地址的变化将导致配置文件中的准则改动,也就是说这些准则的设定受到网络拓朴的制约。随着IP安全协议(如IPSec、SSH、SSL等)的逐渐实现,如果分处内部网络和外部网络的两台主机采用IP安全协议执行端到端的通信(其实以上所介绍的SSL VPN就是这样一种端到端通信的使用),防火墙将因为没有相应的密钥而不能看到IP包的内容,因而也就不能对其执行 过滤。由于防火墙假设内部网络的用户可信任,所以一旦有内部主机被侵入,通常可以容易扩展该次攻击。对于这些疑问,传统意义上的防火墙是很难处理的。
(3)效率较低和故障率高
由于边界式防火墙把检查机制集中在网络边界处的单点上,产成了网络的瓶颈和单点故障隐患。从性能的角度来说,防火墙极易成为网络流量的瓶颈。从网络可达性的角度来说,由于其带宽的限定,防火墙并不能保证所有请求都能及时响应,所以在可达性方面防火墙也是整个网络中的一个脆弱点。边界防火墙难以平衡网络效率与安全性设定之间的矛盾,不能为网络中的每台服务器订制准则,它只能运用一个折衷的准则来近似满足所有被保卫的服务器的须要,因此或者损失效率,或者损失安全性。
以上介绍了传统防火墙的多个主要不足之处,当然边界式防火墙作为一种网络安全机制,不可否认它具有许多优点,其中最主要的是它能够提供外部的安全策略控制。目前也仍在整个网络安全中广泛使用,起到不可替代的作用。本文不能不能定防火墙技能本身,而是想介绍一种全新的防火墙概念--分布式防火墙,它不仅能够保留传统边界式防火墙的所以优点,而且又能克服前面所说的那些缺点,在目前来说它是最为完备的一种防火墙技能。
三、分布式防火墙的主要特点
针对传统边界防火墙的缺欠,"分布式防火墙"(Distributed Firewalls)的概念被专家学者提出来。因为它要负责对网络边界、各子网和网络内部各节点之间的安全防护,所以"分布式防火墙"是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙体系结构包含如下部分: ·网络防火墙(Network Firewall):这一部分有的公司采用的是纯软件形式,而有的可以提供相应的硬件支持。它是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界式防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加彻底,更加可靠。不过在功能与传统的边界式防火墙类似。
·主机防火墙(Host Firewall):同样也有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机执行 防护。这也是传统边界式防火墙所不具有的,也算是对传统边界式防火墙在安全体系方面的一个完备。它是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护,还可使用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了使用层的安全防护,比起网络层更加彻底。
·中心管理(Central Managerment):这是一个服务器软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可执行 智能管理,提高了防火墙的安全防护灵活性,具备可管理性。
综合起来这种新的防火墙技能具有以下多个主要特点:
(1)主机驻留
这种分布式防火墙的最主要特点就是采用主机驻留形式,所以称之为"主机防火墙",它的主要特征是驻留在被保卫的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体使用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
(2)嵌入操作系统内核
这主要是针对目前的纯软件式分布式防火墙来说的,操作系统自身存在许多安全漏洞目前是众所周知的,运行在其上的使用软件无一不受到威胁。分布式主机防火墙也运行在该主机上,所以其运行机制是主机防火墙的关键技能之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包执行 检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技能外,与操作系统厂商的技能合作也是必要的条件,因为这须要一些操作系统不公开内部技能接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
(3)类似于个人防火墙
个人防火墙我们知道它是一种软件防火墙产品,它是在分布式防火墙之前业已出现的一类防火墙产品,它是用来保卫单一主机系统的。分布式针对桌面使用的主机防火墙与个人防火墙有相似之处,如它们都对应个人系统,但其差别又是本质性的。首先它们管理形式迥然不同,个人防火墙的安全策略由系统运用者自己配置,目标是防外部攻击,而针对桌面使用的主机防火墙的安全策略由整个系统的管理员统一安排和配置,除了对该桌面机起到保卫作用外,也可以对该桌面机的对外访问加以控制,并且这种安全机制是桌面机的运用者不可见和不可改动的。其次,不同于个人防火墙面向个人用户,针对桌面使用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级使用方案,形成一个安全策略中心统一管理,安全检查机制分散布置的分布式防火墙体系结构。
(4)适用于服务器托管
互联网和电子商务的发展促进了互联网数据中心(DC)的快速崛起,其主要业务之一就是服务器托管服务。对服务器托管用户而言,该服务器逻辑上是其企业网的一部分,只不过物理上不在企业内部,对于这种使用,边界防火墙处理方案就显得比较牵强附会,而针对服务器的主机防火墙处理方案则是其一个典型使用。对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件,并根据该服务器的使用配置安全策略即可,并可以运用 中心管理软件对该服务器执行 远程监控,不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI卡式的,通常兼顾网卡作用,所以可以直接插在服务器机箱里面,也就无需单独的空间托管费了,对于企业来说更加实惠。
四、分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一代防火墙技能的潮流,它可以在网络的任何交界和节点处配置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:
(1)增强的系统安全性:添加了针对主机的入侵检测和防护功能,增强了对来自内部攻击防备,可以实施全方位的安全策略。
在传统边界式防火墙使用中,企业内部网络非常容易受到有目的的攻击,一旦已经接入了企业局域网的某台计算机,并获得这台计算机的控制权,他们便可以运用 这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的分布式防火墙运用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业防止发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共帐号登录网络的用户不能进入那些限定访问的计算机系统。针对边界式防火墙对内部网络安全性防备的不足,另外,由于分布式防火墙运用了IP安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保卫。所以分布式防火墙有能力防止 各种类型的被动和主动攻击。特别在当我们运用 IP安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。
(2)提高了系统性能:消除了结构性瓶颈疑问,提高了系统性能。
传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提供了一些相应的处理方案,从网络性能角度来说,自适应防火墙是一种在性能和安全之间寻求平衡的方案;从网络可靠性角度来说,采用多个防火墙冗余也是一种可行的方案,但是它们不仅引入了很多复杂性,而且并没有从根本上处理该疑问。分布式防火墙则从根本上去除了单一的接入点,而使这一疑问迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同须要,对防火墙执行 最佳配置,配置时能够充分考虑到这些主机上运行的使用,如此便可在保证网络安全的前提下大大提高网络运转效率。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限定的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会象边界式防火墙一样随着网络规模的增大而不堪重负。
(4)实施主机策略:对网络中的各节点可以起到更安全的防护。
现在防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特征来执行 过滤控制。虽然代理型防火墙能够处理该疑问,但它须要对每一种协议单独地编写代码,其局限性也显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从正当的数据包中区分出来的,因而也就不能实施过滤。事实上,攻击者很容易伪装成正当包发动攻击,攻击包除了内容以外的部分可以完全与正当包一样。分布式防火墙由主机来实施策略控制,毫无疑问主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地处理这一疑问。
(5)使用更为广泛,支持VPN通信
其实分布式防火墙最主要的优势在于,它能够保卫物理拓朴上不属于内部网络,但位于逻辑上的"内部"网络的那些主机,这种需求随着VPN的发展越来越多。对这个疑问的传统处理要领是将远程"内部"主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程"内部"主机和防火墙之间采用"隧道"技能保证安全性,这种要领使原本可以直接通信的双方必须绕经防火墙,不仅效率低而且添加了防火墙过滤准则配置的难度。与之相反,分布式防火墙的建立本身就是基本逻辑网络的概念,因此对它而言,远程"内部"主机与物理上的内部主机没有任何区别,它从根本上防止 了这种情况的发生。
