防火墻已經(jīng)被用戶普遍接受����,而且正在成為一種主要的網(wǎng)絡(luò)安全設(shè)備���。防火墻圈定一個(gè)保護(hù)的范圍���,并假定防火墻是唯一的出口�,然后防火墻來決定是放行還是封鎖進(jìn)出的包。傳統(tǒng)的防火墻有一個(gè)重大的理論假設(shè)―如果防火墻拒絕某些數(shù)據(jù)包的通過��,則一定是安全的�����,因?yàn)檫@些包已經(jīng)被丟棄。但實(shí)際上防火墻并不保證準(zhǔn)許通過的數(shù)據(jù)包是安全的,防火墻無法判斷一個(gè)正常的數(shù)據(jù)包和一個(gè)惡意的數(shù)據(jù)包有什么不同�����,而是要求管理員來保證該包是安全的����。管理員必須告訴防火墻準(zhǔn)許通過什么�����,防火墻則依據(jù)設(shè)置的規(guī)則來準(zhǔn)許該包通過��,這樣管理員就必須承擔(dān)策略錯(cuò)誤的安全責(zé)任����。然而����,傳統(tǒng)防火墻的這種假設(shè)對(duì)網(wǎng)絡(luò)安全是不恰當(dāng)?shù)?����,安全效果也不好。把安全?zé)任交給安全管理員�����,實(shí)際上就沒有解決安全問題�����。新一代的防火墻應(yīng)該加強(qiáng)放行數(shù)據(jù)的安全性�����,因?yàn)榫W(wǎng)絡(luò)安全的真實(shí)需求是既要保證安全,也必須保證應(yīng)用的正常進(jìn)行�����。
本文介紹的智能防火墻是一種更聰明、更智能的防火墻產(chǎn)品����,它克服了傳統(tǒng)防火墻“一管就死�,一放就亂”的狀況�����,修正了上述防火墻的重大假設(shè)。新的智能防火墻把“出口”的概念改變?yōu)椤瓣P(guān)口”的概念���,所有經(jīng)過“關(guān)口”的數(shù)據(jù)包都必須接受防火墻的檢查。與傳統(tǒng)防火墻采用的數(shù)據(jù)匹配檢查的技術(shù)不同��,新的智能防火墻采用人工智能識(shí)別技術(shù)來決定訪問控制。智能防火墻比傳統(tǒng)的防火墻更安全�����,效率更高。
傳統(tǒng)防火墻面臨應(yīng)用難題
目前的防火墻無論從技術(shù)上還是產(chǎn)品發(fā)展歷程上��,都經(jīng)歷了五個(gè)發(fā)展階段����。第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn),采用了包過濾(Packet filter)技術(shù)�����。1989年���,貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻�,即電路層防火墻����,同時(shí)提出了第三代防火墻―應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。1992年�,USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻���,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)����。1994年����,以色列CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品����。1998年���,NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)����,并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)��,給代理類型的防火墻賦予了全新的意義����,可以稱之為第五代防火墻����。
前五代防火墻技術(shù)有一個(gè)共同的特點(diǎn)���,就是采用逐一匹配方法,計(jì)算量太大�。包過濾是對(duì)IP包進(jìn)行匹配檢查����,狀態(tài)檢測包過濾除了對(duì)包進(jìn)行匹配檢查外還要對(duì)狀態(tài)信息進(jìn)行匹配檢查,應(yīng)用代理對(duì)應(yīng)用協(xié)議和應(yīng)用數(shù)據(jù)進(jìn)行匹配檢查�����。因此,它們都有一個(gè)共同的缺陷―安全性越高����,檢查的越多�����,效率越低。用一個(gè)定律來描述�����,就是防火墻的安全性與效率成反比�。
沒有人懷疑防火墻在所有的安全設(shè)備采購中占據(jù)第一的位置�。但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡(luò)主要的安全問題。目前網(wǎng)絡(luò)安全的三大主要問題是:以拒絕訪問(DDOS)為主要目的的網(wǎng)絡(luò)攻擊���,以蠕蟲(Worm)為主要代表的病毒傳播,以垃圾電子郵件(SPAM)為代表的內(nèi)容控制���。這三大安全問題覆蓋了網(wǎng)絡(luò)安全方面的絕大部分問題�。而這三大問題����,傳統(tǒng)的防火墻是無能為力的���。原因有三��,一是傳統(tǒng)防火墻計(jì)算能力的限制�����。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià),檢查的強(qiáng)度越高���,計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪問控制機(jī)制是一個(gè)簡單的過濾機(jī)制�����。它是一個(gè)簡單的條件過濾器,不具有智能功能�,無法應(yīng)對(duì)復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識(shí)別善意和惡意的行為�,該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為��。
智能防火墻應(yīng)運(yùn)而生
智能防火墻是相對(duì)傳統(tǒng)的防火墻而言的����,顧名思義�,它更聰明、更智能����。80%的用戶非常接受智能防火墻的概念�,在他們的眼里���,不聰明就是不可靠�����、不安全。找個(gè)不聰明的保鏢����,你覺得安全嗎���?傳統(tǒng)防火墻存在的很多問題,用戶往往難以理解����。用戶經(jīng)常會(huì)問,為什么防火墻不能防止黑客的攻擊����?安全專家用記錄的數(shù)據(jù)來分析���,一眼就發(fā)現(xiàn)黑客的攻擊����,為什么防火墻不行�����?原因就是傳統(tǒng)的防火墻是一個(gè)簡單機(jī)制�,只能機(jī)械地執(zhí)行安全策略���。
智能防火墻從技術(shù)特征上��,是利用統(tǒng)計(jì)�����、記憶����、概率和決策的智能方法來對(duì)數(shù)據(jù)進(jìn)行識(shí)別����,并達(dá)到訪問控制的目的。新的數(shù)學(xué)方法�����,消除了匹配檢查所需要的海量計(jì)算,高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值�����,直接進(jìn)行訪問控制����。由于這些方法多是人工智能學(xué)科采用的方法,因此被稱為智能防火墻�����。
一個(gè)典型的例子可以說明智能防火墻對(duì)網(wǎng)絡(luò)安全是多么的重要���。傳統(tǒng)的防火墻對(duì)包的檢查�����,就像對(duì)人的相貌的識(shí)別�,采用圖像識(shí)別一樣�����。把一個(gè)人的相貌轉(zhuǎn)換為圖像����,對(duì)圖像的每一個(gè)像素進(jìn)行記憶����,然后進(jìn)行匹配檢查。通過檢查上千萬個(gè)像素之后,告訴你這是誰���。人不是這樣來識(shí)別相貌的�。人幾乎沒有計(jì)算就可以實(shí)時(shí)地識(shí)別你是誰����。這就是智能識(shí)別。智能防火墻無須海量計(jì)算就可以輕松找到網(wǎng)絡(luò)行為的特征值來識(shí)別網(wǎng)絡(luò)行為�����,從而輕松的執(zhí)行訪問控制���。
總之,智能防火墻的出現(xiàn)正可謂應(yīng)運(yùn)而生��,必將把信息安全帶入新的境界��。
應(yīng)用看臺(tái)
智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊(DDOS)的問題���、病毒傳播問題和高級(jí)應(yīng)用入侵問題,代表著防火墻的主流發(fā)展方向��。新一代智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高��,在特權(quán)最小化����、系統(tǒng)最小化、內(nèi)核安全���、系統(tǒng)加固�����、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面�����,與傳統(tǒng)防火墻相比有質(zhì)的飛躍�。其主要應(yīng)用領(lǐng)域如下:
防范惡意數(shù)據(jù)攻擊:智能防火墻能智能識(shí)別惡意數(shù)據(jù)流量�,并有效地阻斷惡意數(shù)據(jù)攻擊��,解決SYN Flooding���、Land Attack、UDP Flooding、Fraggle Attack���、Ping Flooding����、Smurf���、Ping of Death��、Unreachable Host等攻擊���,有效的切斷惡意病毒或木馬的流量攻擊。
防范黑客攻擊:智能防火墻能智能識(shí)別黑客的惡意掃描��,并有效地阻斷或欺騙惡意掃描者�。對(duì)目前已知的掃描工具如ISS、SSS�����、NMAP等掃描工具���,可以防止被掃描。并可有效地解決惡意代碼的惡意掃描攻擊��。
防范MAC欺騙和IP欺騙:智能防火墻提供基于MAC的訪問控制機(jī)制�,可以防止MAC欺騙和IP欺騙,支持MAC過濾��,支持IP過濾����。將防火墻的訪問控制擴(kuò)展到OSI的第二層。
入侵防御:智能防火墻為了解決準(zhǔn)許放行包的安全性���,對(duì)準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測�����,并提供入侵防御保護(hù),這樣就完成了深層數(shù)據(jù)包監(jiān)控�,并能阻斷應(yīng)用層攻擊。
防范潛在風(fēng)險(xiǎn):智能防火墻支持包擦洗技術(shù)���,對(duì)IP�、TCP��、UDP、ICMP等協(xié)議的擦洗��,實(shí)現(xiàn)協(xié)議的正?���;?��,消除潛在的協(xié)議風(fēng)險(xiǎn)和攻擊��。這些方法對(duì)消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅,效果顯著��。
綜上所述���,與傳統(tǒng)防火墻相比,智能防火墻在保護(hù)網(wǎng)絡(luò)和站點(diǎn)免受黑客的攻擊�����、阻斷病毒的惡意傳播��、有效監(jiān)控和管理內(nèi)部局域網(wǎng)��、保護(hù)必需的應(yīng)用安全���、提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理等方面,都有廣泛的應(yīng)用價(jià)值�����。
