防火牆產品的技術現狀及發展趨勢

souphp3l發表於2016-06-20

  防火牆是網路安全的第一道屏障,所佔市場最大,安全技術也比較成熟。硬體防火牆產品的架構主要分為三類:以X86 為代表的通用處理器架構、 AISC (專用積體電路)架構以及新近的 NP ( Net Processor )架構。

  防火牆的功能

  從防火牆的功能來說,主要包含以下幾個方面:訪問控制,如應用 ACL 進行訪問控制、 NAT; VPN ;路由、認證和加密、日誌記錄、管理、攻擊防範等。

  為了滿足多樣化的組網需求,降低使用者對其它專用裝置的需求,減少使用者建網成本,防火牆上也常常把其它網路技術結合進來,例如支援 DHCP server 、 DHCP replay 、動態路由,支援撥號、 PPPOE 等特性;支援廣域網口;支援透明模式 ( 橋模式 ) ;支援內容過濾 ( 如 URL 過濾 ) 、防病毒和 IDS 等功能。

  狀態檢測技術

  狀態檢測技術要監視每個連線發起到結束的全過程,對於部分協議,如 FTP 、 H.323 等協議,是有狀態的協議,防火牆必須對這些協議進行分析,以便知道什麼時候,從哪個方向允許特定的連線進入和關閉。

  狀態防火牆可以對特定的協議進行解碼,因此安全性也比較好。有的防火牆可以對 FTP 、 SMTP 等有害命令進行檢測和過濾,但因為在應用層解碼分析,處理速度比較慢,為此,有的防火牆採用自適應方式,因此處理速度很快。

  狀態防火牆還有一個特色是,當檢測到 SYN FLOOD 攻擊時,會啟動代理。此時,如果是偽造源 IP 的會話,因為不能完成三層握手,攻擊報文就無法到達伺服器,但正常訪問的報文仍然可達。

  技術發展趨勢

  未來防火牆的發展趨勢是朝高速、多功能化、更安全的方向發展。

  從國內外歷次測試的結果都可以看出,目前防火牆一個很大的侷限性是速度不夠。應用 ASIC 、 FPGA 和網路處理器是實現高速防火牆的主要方法,其中以採用網路處理器最優,因為網路處理器採用微碼程式設計,可以根據需要隨時升級,甚至可以支援 IPV6 ,而採用其它方法就不那麼靈活。( 素材 )

  實現高速防火牆,演算法也是一個關鍵,因為網路處理器中整合了很多硬體協處理單元,因此比較容易實現高速。

  對於採用純 CPU 的防火牆,就必須有演算法支撐,例如 ACL 演算法。目前有的應用環境,動輒應用數百乃至數萬條規則,沒有演算法支撐,對於狀態防火牆,建立會話的速度會十分緩慢。

  受現有技術的限制,目前還沒有有效的對應用層進行高速檢測的方法,也沒有哪款晶片能做到這一點。因此,防火牆不適宜於整合內容過濾、防病毒和 IDS 功能 ( 傳輸層以下的 IDS 除外,這些檢測對 CPU 消耗小 ) 。對於IDS ,目前最常用的方式還是把網路上的流量映象到 IDS 裝置中處理,這樣可以避免流量較大時造成網路堵塞。此外,應用層漏洞很多,攻擊特徵庫需要頻繁升級,對於處在網路出口關鍵位置的防火牆,如此頻繁地升級也是不現實的。

  多功能也是防火牆的發展方向之一,鑑於目前路由器和防火牆價格都比較高,組網環境也越來越複雜,一般使用者總希望防火牆可以支援更多的功能,滿足組網和節省投資的需要。例如,防火牆支援廣域網口,並不影響安全性,但在某些情況下卻可以為使用者節省一臺路由器;支援部分路由器協議,如路由、撥號等,可以更好地滿足組網需要;支援 IPSEC VPN ,可以利用因特網組建安全的專用通道,既安全又節省了專線投資。

  未來防火牆的操作系統會更安全。隨著演算法和晶片技術的發展,防火牆會更多地參與應用層分析,為應用提供更安全的保障。

相關文章