最新智能防火墻簡介

最新智能防火墻簡介

　　防火墻已經(jīng)被用戶普遍接受，而且正在成為一種主要的網(wǎng)絡(luò)安全設(shè)備。防火墻圈定一個保護的范圍，并假定防火墻是唯一的出口，然后防火墻來決定是放行還是封 鎖進出的包。傳統(tǒng)的防火墻有一個重大的理論假設(shè)—如果防火墻拒絕某些數(shù)據(jù)包的通過，則一定是安全的，因為這些包已經(jīng)被丟棄。但實際上防火墻并不保證準(zhǔn)許通過的數(shù)據(jù)包是安全的，防火墻無法判斷一個正常的數(shù)據(jù)包和一個惡意的數(shù)據(jù)包有什么不同，而是要求管理員來保證該包是安全的。管理員必須告訴防火墻準(zhǔn)許通過什么，防火墻則依據(jù)設(shè)置的規(guī)則來準(zhǔn)許該包通過，這樣管理員就必須承擔(dān)策略錯誤的安全責(zé)任。然而，傳統(tǒng)防火墻的這種假設(shè)對網(wǎng)絡(luò)安全是不恰當(dāng)?shù)?，安全效果也不好。把安全?zé)任交給安全管理員，實際上就沒有解決安全問題。新一代的防火墻應(yīng)該加強放行數(shù)據(jù)的安全性，因為網(wǎng)絡(luò)安全的真實需求是既要保證安全，也必須保證應(yīng)用的正常進行。

　　本文介紹的智能防火墻是一種更聰明、更智能的防火墻產(chǎn)品，它克服了傳統(tǒng)防火墻“一管就死，一放就亂”的狀況，修正了上述防火墻的重大假設(shè)。新的智能防火墻把“出口”的概念改變?yōu)?ldquo;關(guān)口”的概念，所有經(jīng)過“關(guān)口”的數(shù)據(jù)包都必須接受防火墻的檢查。與傳統(tǒng)防火墻采用的數(shù)據(jù)匹配檢查的技術(shù)不同，新的智能防火墻采用人工智能識別技術(shù)來決定訪問控制。智能防火墻比傳統(tǒng)的防火墻更安全，效率更高。

　　傳統(tǒng)防火墻面臨應(yīng)用難題

　　目前的防火墻無論從技術(shù)上還是產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā)展階段。第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻—應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。1998年，NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

　　前五代防火墻技術(shù)有一個共同的特點，就是采用逐一匹配方法，計算量太大。包過濾是對IP包進行匹配檢查，狀態(tài)檢測包過濾除了對包進行匹配檢查外還要對狀態(tài)信息進行匹配檢查，應(yīng)用代理對應(yīng)用協(xié)議和應(yīng)用數(shù)據(jù)進行匹配檢查。因此，它們都有一個共同的缺陷—安全性越高，檢查的越多，效率越低。用一個定律來描述，就是防火墻的安全性與效率成反比。

　　沒有人懷疑防火墻在所有的安全設(shè)備采購中占據(jù)第一的位置。但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡(luò)主要的安全問題。目前網(wǎng)絡(luò)安全的三大主要問題是：以拒絕訪問(DDOS)為主要目的的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主要代表的病毒傳播，以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問題覆蓋了網(wǎng)絡(luò)安全方面的絕大部分問題。而這三大問題，傳統(tǒng)的防火墻是無能為力的。原因有三，一是傳統(tǒng)防火墻計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。二是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器，不具有智能功能，無法應(yīng)對復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為，該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。

　　智能防火墻應(yīng)運而生

　　智能防火墻是相對傳統(tǒng)的防火墻而言的，顧名思義，它更聰明、更智能。80%的用戶非常接受智能防火墻的概念，在他們的眼里，不聰明就是不可靠、不安全。找個不聰明的保鏢，你覺得安全嗎?傳統(tǒng)防火墻存在的很多問題，用戶往往難以理解。用戶經(jīng)常會問，為什么防火墻不能防止黑客的攻擊?安全專家用記錄的數(shù)據(jù)來分析，一眼就發(fā)現(xiàn)黑客的攻擊，為什么防火墻不行?原因就是傳統(tǒng)的防火墻是一個簡單機制，只能機械地執(zhí)行安全策略。

　　智能防火墻從技術(shù)特征上，是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達(dá)到訪問控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此被稱為智能防火墻。

　　一個典型的例子可以說明智能防火墻對網(wǎng)絡(luò)安全是多么的重要。傳統(tǒng)的防火墻對包的檢查，就像對人的相貌的識別，采用圖像識別一樣。把一個人的相貌轉(zhuǎn)換為圖像，對圖像的每一個像素進行記憶，然后進行匹配檢查。通過檢查上千萬個像素之后，告訴你這是誰。人不是這樣來識別相貌的。人幾乎沒有計算就可以實時地識別你是誰。這就是智能識別。智能防火墻無須海量計算就可以輕松找到網(wǎng)絡(luò)行為的特征值來識別網(wǎng)絡(luò)行為，從而輕松的執(zhí)行訪問控制。

　　總之，智能防火墻的出現(xiàn)正可謂應(yīng)運而生，必將把信息安全帶入新的境界。

　　應(yīng)用看臺

　　智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊(DDOS)的問題、病毒傳播問題和高級應(yīng)用入侵問題，代表著防火墻的主流發(fā)展方向。新一代智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高，在特權(quán)最小化、系統(tǒng)最小化、內(nèi)核安全、系統(tǒng)加固、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面，與傳統(tǒng)防火墻相比有質(zhì)的飛躍。其主要應(yīng)用領(lǐng)域如下：

　　防范惡意數(shù)據(jù)攻擊：智能防火墻能智能識別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊，解決SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻擊，有效的切斷惡意病毒或木馬的流量攻擊。

　　防范黑客攻擊：智能防火墻能智能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS、SSS、NMAP等掃描工具，可以防止被掃描。并可有效地解決惡意代碼的惡意掃描攻擊。

　　防范MAC欺騙和IP欺騙：智能防火墻提供基于MAC的訪問控制機制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火墻的訪問控制擴展到OSI的第二層。

　　入侵防御：智能防火墻為了解決準(zhǔn)許放行包的安全性，對準(zhǔn)許放行的數(shù)據(jù)進行入侵檢測，并提供入侵防御保護，這樣就完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應(yīng)用層攻擊。

　　防范潛在風(fēng)險：智能防火墻支持包擦洗技術(shù)，對IP、TCP、UDP、ICMP等協(xié)議的擦洗，實現(xiàn)協(xié)議的正?；凉撛诘膮f(xié)議風(fēng)險和攻擊。這些方法對消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅，效果顯著。

　　綜上所述，與傳統(tǒng)防火墻相比，智能防火墻在保護網(wǎng)絡(luò)和站點免受黑客的攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、保護必需的應(yīng)用安全、提供強大的身份認(rèn)證授權(quán)和審計管理等方面，都有廣泛的應(yīng)用價值。