防火墙上台阶：安全网关多层过滤技术的走向.pdfVIP

《信息网络安全》2004 年第7 期 总第43 期 防火墙上台阶：安全网关多层过滤技术的走向 清华大学信息技术研究院 李军 防火墙走过了第一代和第二代，正在七嘴八舌、众说纷纭中坚定地逐步走向 第三代。然而，究竟什么是第三代防火墙的特征，第三代防火墙又将为我们带来 什么？更高的性能，更多的功能是永恒的主题自不用说。但什么样的硬件和算法 可以让我们获得在更高集成度下的更高吞吐率指标，什么样的安全应用适于有机 地内置于网关设备？这些都是需要回答的问题。 4 层以下的戏演完了吗？ 如果说国内关于防火墙发展的“胖”、“瘦”或“发胖”、“发威”之争还是在 增加功能和提高性能之间权衡的话，国外企业在这方面则争论很少、行动很多， 各自根据自己对市场需求、自身定位和技术优势的分析，不断增强产品在带宽和 服务上的竞争力。国内产品受技术手段局限，“瘦”的都不够快，“胖”了就更跑 不动了，国外则是从市场出发，在竞争中健身，靠健身来竞争。 事实上，业界虽然把“应用层防火墙”或“7 层防火墙”炒得很热，却并不 意味着OSI 协议架构4 层（含第4 层）以下已经没有新戏可唱了。NetScreen 创 始人之一、首席战略官邓锋在私下和公开场合多次表述了这样的理念，即路由器 作为网络智能中心（intelligent center）的时代正在成为过去，以防火墙为代 表的安全网关将取而代之。细心的市场分析家可以看到，NetScreen 作为全球硬 件安全网关龙头厂商，早在几年前就已染指路由，意在使路由成为安全网关中的 “大路货”功能，并用集成了路由功能的防火墙取代（美而言之“省略”）Cisco 路由器。最近NetScreen 被Juniper 用40 亿左右美金收购的举措，更证明了两 家公司真正的对手其实都是Cisco。 除了2 层的VLAN、3 层的路由和网包（packet,又译为分组）过滤、4 层的 状态检测（stateful inspection）之外，从智能网关的角度来看，还有很多其 它功能可以集成或完善。比如已经普遍与防火墙一同集成于安全网关的VPN，以 及越来越多集成于安全网关的入侵（intrusion）/攻击（attack）监测和防护、 QoS 和基于协议/服务的负载均衡等。 入侵和攻击常被归为一个大类。目前行之有效的主要还是针对洪泛 （flooding）类型DOS 的基于统计的攻击监测和防护，和基于已知攻击特征的模 式匹配的入侵监测和防护。虽然这些方法象现行的防病毒技术一样，难以抵御新 型攻击，但毕竟可以挡住多数攻击，如果反应快速往往还可以防止新型攻击大规 模爆发。攻击防范中的部分处理，特别是基于统计的部分和基于协议分析的部分， 就是在相应的3 层和4 层进行的。 一些访问控制需要处理的新的协议，以及某些基于IP地址及DNS 的高速URL 过滤，很自然地丰富了4 层及4 层以下处理的内容。一些相对较新的功能，如4 层路由或基于服务（4 层协议端口）的负载均衡，也给4 层及4 层以下处理的发 展开拓了空间。象DDOS 这类难题，在单一网关上是很难解决的，必须由包括网 关在内的外网分级分布式系统协调解决，但至少也需要安全网关具有相应的功能 来参与。同样，对付蠕虫等可能通过便携电脑或无线接入等绕过防火墙而泛滥的 问题，可以尝试由包括网关在内的内网网络与系统安全体系全面互动解决，当然 也需要安全网关具有相应的功能来参与。 7 层的新戏各有各的版本 虽然在防火墙早期发展过程中出现过“应用代理（application proxies） 防火墙”，但因为当初性能较差、覆盖较窄，一直没有成为主流。虽然个别产品 如Raptor 和Gauntlet 一直生存了下来，大体上也是旧瓶装新酒。防火墙技术总 体上还走过了从网包过滤到状态检测（实为会话过滤，session filtering）再 到今天的内容过滤（content filtering）的历程。如今的内容过滤虽然因为用 到了很多应用代理技术而时常被称为应用过滤（application filtering），但 已是建立在更高性能硬件平台和较为成熟的4 层及以下网包处理基础上的。 当然，内容过滤在概念上包含了涉及网包的TCP/IP 包头（header）之后的 信息（亦即4 层的负荷，payload）的各种处理。在这方面，一些厂家纷纷提出 了各自不同的概念。如Juniper－Net