防火墻已經被用戶普遍接受�,而且正在成為一種主要的網絡安全設備��。防火墻圈定一個保護的范圍,并假定防火墻是唯一的出口��,然后防火墻來決定是放行還是封鎖進出的包����。傳統的防火墻有一個重大的理論假設―如果防火墻拒絕某些數據包的通過����,則一定是安全的,因為這些包已經被丟棄��。但實際上防火墻并不保證準許通過的數據包是安全的��,防火墻無法判斷一個正常的數據包和一個惡意的數據包有什么不同��,而是要求管理員來保證該包是安全的��。管理員必須告訴防火墻準許通過什么��,防火墻則依據設置的規則來準許該包通過,這樣管理員就必須承擔策略錯誤的安全責任����。然而,傳統防火墻的這種假設對網絡安全是不恰當的����,安全效果也不好。把安全責任交給安全管理員��,實際上就沒有解決安全問題��。新一代的防火墻應該加強放行數據的安全性����,因為網絡安全的真實需求是既要保證安全,也必須保證應用的正常進行����。
本文介紹的智能防火墻是一種更聰明、更智能的防火墻產品����,它克服了傳統防火墻“一管就死,一放就亂”的狀況����,修正了上述防火墻的重大假設����。新的智能防火墻把“出口”的概念改變為“關口”的概念��,所有經過“關口”的數據包都必須接受防火墻的檢查����。與傳統防火墻采用的數據匹配檢查的技術不同,新的智能防火墻采用人工智能識別技術來決定訪問控制��。智能防火墻比傳統的防火墻更安全�,效率更高。
傳統防火墻面臨應用難題
目前的防火墻無論從技術上還是產品發展歷程上����,都經歷了五個發展階段����。第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(Packet filter)技術����。1989年�,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻�,即電路層防火墻,同時提出了第三代防火墻―應用層防火墻(代理防火墻)的初步結構��。1992年����,USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamic packet filter)技術的第四代防火墻,后來演變為目前所說的狀態監視(Stateful inspection)技術����。1994年,以色列CheckPoint公司開發出了第一個采用這種技術的商業化的產品����。1998年,NAI公司推出了一種自適應代理(Adaptive proxy)技術��,并在其產品Gauntlet Firewall for NT中得以實現�,給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻����。
前五代防火墻技術有一個共同的特點,就是采用逐一匹配方法����,計算量太大����。包過濾是對IP包進行匹配檢查����,狀態檢測包過濾除了對包進行匹配檢查外還要對狀態信息進行匹配檢查,應用代理對應用協議和應用數據進行匹配檢查�。因此,它們都有一個共同的缺陷―安全性越高��,檢查的越多����,效率越低。用一個定律來描述����,就是防火墻的安全性與效率成反比��。
沒有人懷疑防火墻在所有的安全設備采購中占據第一的位置����。但傳統的防火墻并沒有解決網絡主要的安全問題����。目前網絡安全的三大主要問題是:以拒絕訪問(DDOS)為主要目的的網絡攻擊��,以蠕蟲(Worm)為主要代表的病毒傳播����,以垃圾電子郵件(SPAM)為代表的內容控制。這三大安全問題覆蓋了網絡安全方面的絕大部分問題�。而這三大問題,傳統的防火墻是無能為力的�。原因有三,一是傳統防火墻計算能力的限制����。傳統的防火墻是以高強度的檢查為代價,檢查的強度越高��,計算的代價越大��。二是傳統防火墻的訪問控制機制是一個簡單的過濾機制��。它是一個簡單的條件過濾器����,不具有智能功能��,無法應對復雜的攻擊�。三是傳統的防火墻無法區分識別善意和惡意的行為�,該特征決定了傳統的防火墻無法解決惡意的攻擊行為。
智能防火墻應運而生
智能防火墻是相對傳統的防火墻而言的�,顧名思義,它更聰明����、更智能。80%的用戶非常接受智能防火墻的概念��,在他們的眼里�,不聰明就是不可靠、不安全��。找個不聰明的保鏢�,你覺得安全嗎?傳統防火墻存在的很多問題�,用戶往往難以理解。用戶經常會問����,為什么防火墻不能防止黑客的攻擊�?安全專家用記錄的數據來分析�,一眼就發現黑客的攻擊��,為什么防火墻不行��?原因就是傳統的防火墻是一個簡單機制����,只能機械地執行安全策略。
智能防火墻從技術特征上�,是利用統計、記憶����、概率和決策的智能方法來對數據進行識別,并達到訪問控制的目的����。新的數學方法,消除了匹配檢查所需要的海量計算����,高效發現網絡行為的特征值,直接進行訪問控制�。由于這些方法多是人工智能學科采用的方法,因此被稱為智能防火墻。
一個典型的例子可以說明智能防火墻對網絡安全是多么的重要�。傳統的防火墻對包的檢查,就像對人的相貌的識別��,采用圖像識別一樣�。把一個人的相貌轉換為圖像,對圖像的每一個像素進行記憶����,然后進行匹配檢查。通過檢查上千萬個像素之后��,告訴你這是誰�。人不是這樣來識別相貌的。人幾乎沒有計算就可以實時地識別你是誰�。這就是智能識別。智能防火墻無須海量計算就可以輕松找到網絡行為的特征值來識別網絡行為��,從而輕松的執行訪問控制��。
總之��,智能防火墻的出現正可謂應運而生����,必將把信息安全帶入新的境界����。
應用看臺
智能防火墻成功地解決了普遍存在的拒絕服務攻擊(DDOS)的問題��、病毒傳播問題和高級應用入侵問題��,代表著防火墻的主流發展方向�。新一代智能防火墻自身的安全性較傳統的防火墻有很大的提高��,在特權最小化����、系統最小化、內核安全��、系統加固����、系統優化和網絡性能最大化方面,與傳統防火墻相比有質的飛躍��。其主要應用領域如下:
防范惡意數據攻擊:智能防火墻能智能識別惡意數據流量��,并有效地阻斷惡意數據攻擊�,解決SYN Flooding�、Land Attack��、UDP Flooding��、Fraggle Attack�、Ping Flooding、Smurf�、Ping of Death、Unreachable Host等攻擊�,有效的切斷惡意病毒或木馬的流量攻擊。
防范黑客攻擊:智能防火墻能智能識別黑客的惡意掃描����,并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS��、SSS����、NMAP等掃描工具,可以防止被掃描����。并可有效地解決惡意代碼的惡意掃描攻擊。
防范MAC欺騙和IP欺騙:智能防火墻提供基于MAC的訪問控制機制�,可以防止MAC欺騙和IP欺騙�,支持MAC過濾�,支持IP過濾。將防火墻的訪問控制擴展到OSI的第二層��。
入侵防御:智能防火墻為了解決準許放行包的安全性����,對準許放行的數據進行入侵檢測�,并提供入侵防御保護,這樣就完成了深層數據包監控��,并能阻斷應用層攻擊����。
防范潛在風險:智能防火墻支持包擦洗技術,對IP��、TCP�、UDP、ICMP等協議的擦洗��,實現協議的正?;凉撛诘膮f議風險和攻擊�。這些方法對消除TCP/IP協議的缺陷和應用協議的漏洞所帶來的威脅����,效果顯著�。
綜上所述,與傳統防火墻相比��,智能防火墻在保護網絡和站點免受黑客的攻擊��、阻斷病毒的惡意傳播�、有效監控和管理內部局域網、保護必需的應用安全����、提供強大的身份認證授權和審計管理等方面,都有廣泛的應用價值�。
