1．方案：硬件？還是軟件？
現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然要求系統(tǒng)有一個高效的處理能力。
防火墻從實現(xiàn)上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint公司的Firewall-I為代表，其實現(xiàn)是通過 dev_add_pack的辦法加載過濾函數(shù)（Linux，其他操作系統(tǒng)沒有作分析，估計類似），通過在操作系統(tǒng)底層做工作來實現(xiàn)防火墻的各種功能和優(yōu)化。國內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個人”防火墻，而且功能及其有限，故不在此討論范圍。
在國內(nèi)目前已通過公安部檢驗的防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一種是從硬件到軟件都單獨設(shè)計，典型如Netscreen防火墻不但軟件部分單獨設(shè)計，硬件部分也采用專門的ASIC集成電路。
另外一種就是基于PC架構(gòu)的使用經(jīng)過定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國內(nèi)絕大
多數(shù)防火墻都屬于這種類型。
雖然都號稱硬件防火墻，國內(nèi)廠家和國外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運(yùn)算硬件化，其所設(shè)計或選用的運(yùn)行平臺本身的性能可能并不高，但它將主要的運(yùn)算程序（查表運(yùn)算是防火墻的主要工作）做成芯片，以減少主機(jī)CPU的運(yùn)算壓力。國內(nèi)廠家的防火墻硬件平臺基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開發(fā)成本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已。現(xiàn)在國內(nèi)防火墻的一個典型結(jié)構(gòu)就是：工業(yè)主板+x86+128（256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增加一個日志服務(wù)器）+百兆網(wǎng)卡 這
樣一個工業(yè)PC結(jié)構(gòu)。
在軟件性能方面，國內(nèi)外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操作系統(tǒng)，自行設(shè)計防火墻。而國內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無一例外。各廠家的區(qū)別僅僅在于對Linux系統(tǒng)本身和防火墻部分（2.2內(nèi)核為ipchains，2.4以后內(nèi)核為netfilter）所作的改動量有多大。
事實上，Linux只是一個通用操作系統(tǒng)，它并沒有針對防火墻功能做什么優(yōu)化，而且其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是 Linux一直只是低端服務(wù)器的寵兒的重要原因，我自己認(rèn)為，在這一點上它還不如BSD系列，據(jù)說國外有用BSD做防火墻的，國內(nèi)尚未見到）。現(xiàn)在絕大部分廠家，甚至包括號稱國內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對性的裁減、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少量的系統(tǒng)補(bǔ)丁。而且我們在分析各廠家產(chǎn)品時可以注意這一點，如果哪個廠家對系統(tǒng)本身做了什么大的改動，它肯定會把這個視為一個重要的賣點，大吹特吹，遺憾的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應(yīng)用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細(xì)了解）。
目前國內(nèi)廠家也已經(jīng)認(rèn)識到這個問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。
在此我們僅針對以Linux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。
2．內(nèi)核和防火墻設(shè)計
現(xiàn)在有一種商業(yè)賣點，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過濾功能，因此也成為混合型防火墻）稱為第二代防火墻，有些廠家把增加了檢測通信信息、狀態(tài)檢測和應(yīng)用監(jiān)測的防火墻稱為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個稱為第四代防火墻）。所謂安全操作系統(tǒng)，其實大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡單改造的工作，主要有以下： 取消危險的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動（如加載一些llkm）；
限制命令執(zhí)行權(quán)限；
取消IP轉(zhuǎn)發(fā)功能；
檢查每個分組的接口；
采用隨機(jī)連接序號；
駐留分組過濾模塊；
取消動態(tài)路由功能；
采用多個安全內(nèi)核（這個只見有人提出，但未見到實例，對此不是很清楚）。
以上諸多工作，其實基本上都沒有對內(nèi)核源碼做太大改動，因此從個人角度來看算不上可以太夸大的地方。
對于防火墻部分，國內(nèi)大部分已經(jīng)升級到2.4內(nèi)核所支持的netfilter。netfilter已經(jīng)是一個功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測（通過connection track模塊實現(xiàn)）。而且netfilter是一個設(shè)計很合理的框架，可以在適當(dāng)?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)，如在NF_IP_FORWARD點上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實現(xiàn)的）。我們也可以登記自己的處理函數(shù)，在功能上作擴(kuò)展（如加入簡單的IDS功能等等）。這一點是國內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對國內(nèi)廠家來說似乎不太現(xiàn)實。
至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經(jīng)設(shè)計的很成功，不需要我們再去做太多工作）。
3．自我保護(hù)能力（安全性）
由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標(biāo)，因此它的自我包括能力在設(shè)計過程中應(yīng)該放在首要的位置。
A．管理上的安全性
防火墻需要一個管理界面，而管理過程如何設(shè)計的更安全，是一個很重要的問題。目前有兩種方案。
a．設(shè)置專門的服務(wù)端口
為了減少管理上的風(fēng)險和降低設(shè)計上的難度，有一些防火墻（如東方龍馬）在防火墻上專門添加了一個服務(wù)端口，這個端口只是用來和管理主機(jī)連接。除了專用的服務(wù)口外，防火墻不接受來自任何其它端口的直接訪問。這樣做的顯著特點就是降低了設(shè)計上的難度，由于管理通信是單獨的通道，無論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無法竊聽到該通信，安全性顯然很高，而且設(shè)計時也無需考慮通信過程加密的問題。
然而這樣做，我們需要單獨設(shè)置一臺管理主機(jī)，顯然太過浪費(fèi)，而且這樣管理起來的靈活性也不好。
b．通信過程加密
這樣無需一個專門的端口，內(nèi)網(wǎng)任意一臺主機(jī)都可以在適當(dāng)?shù)那闆r下成為管理主機(jī)，管理主
機(jī)和防火墻之間采用加密的方式通信。
目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。對加密這個領(lǐng)域了解不多，不做詳
細(xì)討論。
B．對來自外部（和內(nèi)部）攻擊的反應(yīng)能力
目前常見的來自外部的攻擊方式主要有：
a．DOS（DDOS）攻擊
（分布式）拒絕服務(wù)攻擊是目前一種很普遍的攻擊方式，在預(yù)防上也是非常困難的。目前防火墻對于這種攻擊似乎沒有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大小）。在Linux內(nèi)核中有一個防止Syn flooding攻擊的選項：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。另外對于ICMP攻擊，可以通過關(guān)閉ICMP 回應(yīng)來實現(xiàn)。
b．IP假冒（IP spoofing）
IP假冒是指一個非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對網(wǎng)絡(luò)的攻擊目的。
第一，防火墻設(shè)計上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外的IP地址分配，從而丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。實際實現(xiàn)起來非常簡單，只要在內(nèi)核中打開rp_filter功能即可。
第二，防火墻將內(nèi)網(wǎng)的實際地址隱蔽起來，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。IP假冒主要來自外部，對內(nèi)網(wǎng)無需考慮此問題（其實同時內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。
c．特洛伊木馬
防火墻本身預(yù)防木馬比較簡單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。
一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機(jī)也能防止木馬攻擊。事實上，內(nèi)網(wǎng)主機(jī)可能會透過防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)網(wǎng)主機(jī)的在預(yù)防木馬方面的安全性仍然需要主機(jī)自己解決（防火墻只能在內(nèi)網(wǎng)主機(jī)感染木馬以后起一定的防范作用）。
d．口令字攻擊
口令字攻擊既可能來自外部，也可能來自內(nèi)部，主要是來自內(nèi)部。（在管理主機(jī)與防火墻通過單獨接口通信的情況下，口令字攻擊是不存在的）
來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供給外部接口即可。
內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測網(wǎng)絡(luò)截獲管理主機(jī)給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對口令字的攻擊。
e．郵件詐騙
郵件詐騙是目前越來越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機(jī)仍可收發(fā)郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內(nèi)網(wǎng)主機(jī)本身采取措施防止郵件詐騙，另一個是在防火墻上做過濾。
f．對抗防火墻（anti-firewall）
目前一個網(wǎng)絡(luò)安全中一個研究的熱點就是對抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。一種是分析防火墻功能和探測防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。另外有一些其他的網(wǎng)絡(luò)安全性分析工具本身具有雙刃性，這類工具用于攻擊網(wǎng)絡(luò)，也可能會很有效的探測到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前對于這種探測（攻擊）手段，尚無有效的預(yù)防措施，因為防火墻本身是一個被動的東西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提高自身的安全性來對抗這些攻擊。
C．透明代理的采用
應(yīng)用代理防火墻一般是通過設(shè)置不同用戶的訪問權(quán)限來實現(xiàn)，這樣就需要有用戶認(rèn)證體系。以前的防火墻在訪問方式上主要是要求用戶登錄進(jìn)系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應(yīng)用）。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險和出錯概率，從而提高了防火墻的安全性。

共2頁: 1 [2] 下一頁