防火墙技术发展及应用

1.新需求引发的技术走向

防火墙技术的发展离不开社会需求的变化，着眼未来，需要注意到以下几个新的需求。

（1）远程办公的增长

这次全国主要城市先后受到SARS病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的VPN（虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。

（2）内部网络“包厢化”

人们通常认为处在防火墙保护下的内网是可信的，只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。

由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”，对每个“包厢”实施独立的安全策略。

2.黑客攻击引发的技术走向

防火墙作为内网的贴身保镖，黑客攻击的特点也决定了防火墙的技术走向。

首先是80端口的关闭。从受攻击的协议和端口来看，排在第一位的就是HTTP（80端口）。

根据SANS的调查显示，提供HTTP服务的IIS和Apache是最易受到攻击，这说明80端口所引发的威胁最多。

因此，无论是未来的防火墙技术还是现在应用的防火墙产品，都应尽可能将80端口关闭。

（1）数据包的深度检测

IT业界权威机构Gartner认为代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为，包检测的技术方案需要增加签名检测（Signature Inspec-tion）等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。

（2）协同性

从黑客攻击事件分析，对外提供Web等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。早在2000年，北京天融信公司就已经认识到了协同的必要性和紧迫性，推出了TOPSEC协议，与IDS等其他安全设备联动，与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和IDS的联动和认证服务器进行联动。如支持国内十几家知名的IDS、安全管理系统、安全审计、其他认证系统等等组成完整的TOPSEC解决方案。2002年9月，北电、思科和Check Point一道宣布共同推出安全产品，也体现了厂商之间优势互补、互通有无的趋势。(www.xing528.com)

在常见的攻击手段里，有个很有名的攻击方式叫DOS攻击，也就是所谓的“拒绝服务攻击”。而在拒绝服务攻击里，又以SYN Flood攻击最为有名，俗称“洪水攻击”。SYN Flood利用TCP协议的设计上的缺陷，通过特定方式发送大量的TCP请求，从而导致受攻击的一方CPU超负荷或内存不足。

TCP协议的漏洞在于：TCP协议不同于UDP协议，UDP不是基于连接的，也就说每次使用UDP协议给客户发送数据的时候，各数据报并不经由相同的路线。而TCP协议是基于连接的，在每次发送数据以前，都会在服务器与客户端先虚拟出一条路线，称TCP连接，以后的各数据通信都经由该路线进行知道本TCP连接结束。TCP连接的建立需通过3次握手来完成：

第1次：客户端发送一个带有SYN标记的TCP报文到服务端。指明端口号以及TCP连接初始序号等信息。

第2次：服务端在接收到来自客户端的请求之后，返回一个带有SYN+ACK标记的报文，表示接受连接，并在TCP序号加1。

第3次：客户端接收到来自服务端的确认信息后，也返回一个带有ACK标记的报文，表示已经接收到来自服务器的确认信息。服务器在得到该数据报文后，一个TCP连接才算真正建立起来。

当客户端发送一个TCP连接请求给服务器，服务器也发出了相应的响应数据报文之后，由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器的确认数据报，这就制造了只有第一次和第二次握手的TCP半连接。由于服务器发出了带SYN+ACK标记的报文却并没有得到客户端返回相应的ACK报文，于是服务器就进入等待并进行SYN+ACK报文重发。当恶意的客户端构造出大量的这种TCP半连接发送到服务端时，服务端就会一直陷入等待的过程中，并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发，这就是SYN Flood攻击。

使用防火墙是防御SYN Flood攻击的最有效的方法之一。常见的硬件防火墙有网关型防火墙和路由型防火墙。到底为服务器或网络选用哪种类型的防火墙呢？

下面看看两种防火墙对SYN Flood攻击的防御原理：

网关型防火墙，主要是工作在TCP层之上。当客户端要与服务器建立TCP连接的3次握手过程中，它充当一个代理的角色。也就是说客户端要与服务器建立一个TCP连接，就得先和防火墙进行3次TCP握手。当客户端和防火墙3次握手成功之后，防火墙再同服务端进行3次握手。整个过程可以用下图表示：

[客户端]--------------->[防火墙]---------------->[服务器]

从整个过程可以看出，由于所有的报文都是通过防火墙转发，而且未同防火墙建立起TCP连接就无法同服务器建立连接，所以使用这种防火墙的服务器受保护好，安全性高。当外界对服务器进行SYN Flood攻击时，实际上遭受攻击的不是服务器而是防火墙。但是采用这种防火墙一个很大的缺点就是客户端和服务端建立一个TCP连接时，防火墙就要进行6次握手，可见防火墙的工作量是非常之大的。因此采用这种防火墙需要求该防火墙要有较大的处理能力以及内存。故这类网关型防火墙不适合于访问流量大的服务器或者网络。

路由型防火墙主要是工作IP层或者IP层之下，对于外来的数据报文，它只是起一个过滤的作用。当数据包合法时，它就直接将其转发给服务器。所以数据流动模型如下：

[客户端]----------------[防火墙]---------------->[服务器]

客户端同服务器的3次握手直接进行，并不需要通过防火墙来代理进行。这样可以看出，路由型防火墙效率要较网关型防火墙高，允许数据流量大。但是这种防火墙如果配置不当的话，会让攻击者绕过防火墙而直接攻击到服务器。而且允许数据量大还会更利于SYN Flood攻击。这种防火墙适合于大流量的服务器，但是需要设置妥当才能保证服务器的具有较高的安全性和稳定性。