產生背景
防火牆已經被用戶普遍接受,而且正在成為一種主要的網路安全設備。防火牆圈定一個保護的範圍,並假定防火牆是唯一的出口,然後防火牆來決定是放行還是封 鎖進出的包。傳統的防火牆有一個重大的理論假設―如果防火牆拒絕某些數據包的通過,則一定是安全的,因為這些包已經被丟棄。但實際上防火牆並不保證準許通過的數據包是安全的,防火牆無法判斷一個正常的數據包和一個惡意的數據包有什麼不同,而是要求管理員來保證該包是安全的。管理員必須告訴防火牆準許通過什麼,防火牆則依據設定的規則來準許該包通過,這樣管理員就必須承擔策略錯誤的安全責任。然而,傳統防火牆的這種假設對網路安全是不恰當的,安全效果也不好。把安全責任交給安全管理員,實際上就沒有解決安全問題。新一代的防火牆應該加強放行數據的安全性,因為網路安全的真實需求是既要保證安全,也必須保證套用的正常進行。
智慧型防火牆是一種更聰明、更智慧型的防火牆產品,它克服了傳統防火牆“一管就死,一放就亂”的狀況,修正了上述防火牆的重大假設。新的智慧型防火牆把“出口”的概念改變為“關口”的概念,所有經過“關口”的數據包都必須接受防火牆的檢查。與傳統防火牆採用的數據匹配檢查的技術不同,新的智慧型防火牆採用人工智慧識別技術來決定訪問控制。智慧型防火牆比傳統的防火牆更安全,效率更高。
傳統防火牆面臨套用難題
目前的防火牆無論從技術上還是產品發展歷程上,都經歷了五個發展階段。第一代防火牆技術幾乎與路由器同時出現,採用了包過濾(Packet Filter)技術。1989年,貝爾實驗室的Dave PRESOTTO和Howard Trickey推出了第二代防火牆,即電路層防火牆,同時提出了第三代防火牆―套用層防火牆(代理防火牆)的初步結構。1992年,USC信息科學院的BobBraden開發出了基於動態包過濾(Dynamic packet filter)技術的第四代防火牆,後來演變為目前所說的狀態監視(Stateful inspection)技術。1994年,以色列CheckPoint公司開發出了第一個採用這種技術的商業化的產品。1998年,NAI公司推出了一種自適應代理(Adaptive proxy)技術,並在其產品gauntlet Firewall for NT中得以實現,給代理類型的防火牆賦予了全新的意義,可以稱之為第五代防火牆。
前五代防火牆技術有一個共同的特點,就是採用逐一匹配方法,計算量太大。包過濾是對IP包進行匹配檢查,狀態檢測包過濾除了對包進行匹配檢查外還要對狀態信息進行匹配檢查,套用代理對套用協定和套用數據進行匹配檢查。因此,它們都有一個共同的缺陷―安全性越高,檢查的越多,效率越低。用一個定律來描述,就是防火牆的安全性與效率成反比。
沒有人懷疑防火牆在所有的安全設備採購中占據第一的位置。但傳統的防火牆並沒有解決網路主要的安全問題。目前網路安全的三大主要問題是:以拒絕訪問(DDOS)為主要目的的網路攻擊,以蠕蟲(Worm)為主要代表的病毒傳播,以垃圾電子郵件(SPAM)為代表的內容控制。這三大安全問題覆蓋了網路安全方面的絕大部分問題。而這三大問題,傳統的防火牆是無能為力的。原因有三,一是傳統防火牆計算能力的限制。傳統的防火牆是以高強度的檢查為代價,檢查的強度越高,計算的代價越大。二是傳統防火牆的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器,不具有智慧型功能,無法應對複雜的攻擊。三是傳統的防火牆無法區分識別善意和惡意的行為,該特徵決定了傳統的防火牆無法解決惡意的攻擊行為。
智慧型防火牆應運而生
智慧型防火牆是相對傳統的防火牆而言的,顧名思義,它更聰明、更智慧型。80%的用戶非常接受智慧型防火牆的概念,在他們的眼裡,不聰明就是不可靠、不安全。找個不聰明的保鏢,你覺得安全嗎?傳統防火牆存在的很多問題,用戶往往難以理解。用戶經常會問,為什麼防火牆不能防止黑客的攻擊?安全專家用記錄的數據來分析,一眼就發現黑客的攻擊,為什麼防火牆不行?原因就是傳統的防火牆是一個簡單機制,只能機械地執行安全策略。
智慧型防火牆從技術特徵上,是利用統計、記憶、機率和決策的智慧型方法來對數據進行識別,並達到訪問控制的目的。新的數學方法,消除了匹配檢查所需要的海量計算,高效發現網路行為的特徵值,直接進行訪問控制。由於這些方法多是人工智慧學科採用的方法,因此被稱為智慧型防火牆。
一個典型的例子可以說明智慧型防火牆對網路安全是多么的重要。傳統的防火牆對包的檢查,就像對人的相貌的識別,採用圖像識別一樣。把一個人的相貌轉換為圖像,對圖像的每一個像素進行記憶,然後進行匹配檢查。通過檢查上千萬個像素之後,告訴你這是誰。人不是這樣來識別相貌的。人幾乎沒有計算就可以實時地識別你是誰。這就是智慧型識別。智慧型防火牆無須海量計算就可以輕鬆找到網路行為的特徵值來識別網路行為,從而輕鬆的執行訪問控制。
總之,智慧型防火牆的出現正可謂應運而生,必將把信息安全帶入新的境界。
套用看台
智慧型防火牆成功地解決了普遍存在的拒絕服務攻擊(DDOS)的問題、病毒傳播問題和高級套用入侵問題,代表著防火牆的主流發展方向。新一代智慧型防火牆自身的安全性較傳統的防火牆有很大的提高,在特權最小化、系統最小化、核心安全、系統加固、系統最佳化和網路性能最大化方面,與傳統防火牆相比有質的飛躍。其主要套用領域如下:
防範惡意數據攻擊:智慧型防火牆能智慧型識別惡意數據流量,並有效地阻斷惡意數據攻擊,解決SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻擊,有效的切斷惡意病毒或木馬的流量攻擊。
防範黑客攻擊:智慧型防火牆能智慧型識別黑客的惡意掃描,並有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS、SSS、NMAP等掃描工具,可以防止被掃描。並可有效地解決惡意代碼的惡意掃描攻擊。
防範MAC欺騙和IP欺騙:智慧型防火牆提供基於MAC的訪問控制機制,可以防止MAC欺騙和IP欺騙,支持MAC過濾,支持IP過濾。將防火牆的訪問控制擴展到OSI的第二層。
入侵防禦:智慧型防火牆為了解決準許放行包的安全性,對準許放行的數據進行入侵檢測,並提供入侵防禦保護,這樣就完成了深層數據包監控,並能阻斷套用層攻擊。
防範潛在風險:智慧型防火牆支持包擦洗技術,對IP、TCP、UDP、ICMP等協定的擦洗,實現協定的正常化,消除潛在的協定風險和攻擊。這些方法對消除TCP/IP協定的缺陷和套用協定的漏洞所帶來的威脅,效果顯著。
綜上所述,與傳統防火牆相比,智慧型防火牆在保護網路和站點免受黑客的攻擊、阻斷病毒的惡意傳播、有效監控和管理內部區域網路、保護必需的套用安全、提供強大的身份認證授權和審計管理等方面,都有廣泛的套用價值。