常见防火墙的类型主要有三种:包过滤、电路层网关、应用层网关,每种都有各自的优缺点。
包过滤是第一代防火墙技术,它按照安全规则,检查所有进来的数据包,而这些安全规则大都是基于低层协议的,如IP、TCP。如果一个数据包满足以上所有规则,过滤路由器把数据向上层提交,或转发此数据包,否则就丢弃此包。
包过滤的优缺点
优点:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。
缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。
代理是一种较新型的防火墙技术,这种防火墙有时也被称为应用层网关,这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的。
电路层网关是建立应用层网关的一个更加灵活和一般的方法。虽然它们可能包含支持某些特定TCP/IP应用程序的代码,但通常要受到限制。如果支持应用程序,那也很可能是TCP/IP应用程序。在电路层网关中,可能要安装特殊的客户机软件,用户可能需要一个可变用户接口来相互作用或改变他们的工作习惯。
代理技术的优缺点
优点:代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出的流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。
缺点:代理速度较路由器慢;代理对用户不透明;对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性。
新型防火墙技术
我们的目标是设计并实现一种新型防火墙。这种防火墙既有包过滤的功能,又能在应用层进行代理。较前面分析的防火墙来说,具有先进的过滤和代理体系,能从数据链路层到应用层进行全方位安全处理。TCP/IP协议和代理的直接相互配合,使本系统的防欺骗能力和运行的健壮性都大大提高。
设计目标
我们设计新型防火墙的目标是综合包过滤和代理技术,克服二者在安全方面的缺陷;能从数据链路层一直到应用层施加全方位的控制;实现TCP/IP协议的微内核,从而在TCP/IP协议层能进行各项安全控制;基于上述微内核,使速度超过传统的包过滤防火墙;提供透明代理模式,减轻客户端的配置工作;支持数据加密、解密(DES和RSA),提供对虚拟网VPN的强大支持;内部信息完全隐藏;产生一个新的防火墙理论。
TCP/IP协议处理
TCP/IP协议处理是本系统的难点和重点之一,非常复杂与庞大。实现TCP/IP的第一步必须能正确地理解定义、实现TCP/IP各协议的数据包格式。
数据链路层是TCP/IP协议的最低层,它的常规功能是对上层数据(IP或ARP)进行物理帧的封装与拆封,当然还包括硬件寻址、管理等功能。在本系统中,数据链路层除了实现上述功能外,还增加了监听网上数据、记录硬件地址和直接读写网卡的功能。
从一般的概念来说,ARP和ICMP都属于IP层,实际上,ICMP在IP层之上,利用IP层收、发数据包,而ARP/RARP则在IP层之下,它们本身并不使用IP层,而是直接在数据链路层上进行收发。
IP层的处理较复杂,且可做许多安全方面的工作。若在极端的情况下,我们可以修改IP报头,增加安全机制(如认证)。考虑到系统的性能及兼容性,我们没有选择这种方法,而是利用了包过滤技术和ICMP、ARP提供的功能,提供安全机制。当然,随着安全方面技术的发展,也许第一种方法会是一种好的选择,但前提是路由器的支持。目前,大部分路由器只能处理常规的IP包(即IPV4),对于新出台的IPV6(它提供了更多的选项,我们可在选项中增加安全机制),路由器还远未支持。
我们在ARP协议上所做的工作主要想达到以下几个目的:防止ARP欺骗(即MAC地址欺骗);有条件地禁止ARP工作;查询主机硬件地址;提供ARP服务;检测ARP报文。
利用上述几项功能,我们能确保内部ARP欺骗的无效,查出欺骗的主机并记录,尤其能防止ARP层的拒绝服务。我们通过主机级被动检测、主机级主动检测、服务器级检测、网络级检测、查询主机硬件地址、有条件地禁止ARP等机制实现以上功能。
ICMP是为了允许路由器向主机报告投递出错的原因和一些控制而设计的。但事实上,任何一台主机都可以向任何其他机器发送ICMP报文,如Ping。
ICMP在本系统中的作用主要是:隐藏子网内主机信息和施加一些控制。ICMP虽然有一定的作用,如差错报告,但也有更大的安全隐患。一般来讲,对外部,ICMP应禁止(很多过滤路由器有此项功能)。
我们主要是采用了三种策略隐藏子网内主机信息:
◆对内部主机的ICMP包,虽然转发,但改写了ICMP包中的源IP地址,使外部不能看到内部的IP地址。
◆外部ICMP请求包一律抛弃。
◆对内部有请求时,才动态地接收外部主机的响应, 且一些ICMP危胁安全的响应也抛弃,如改变路由的ICMP包。
另外,我们可以借助ICMP来获得一些参数和一些控制,如时钟同步、地址掩码,并可利用ICMP目的地不可达报文“优雅”地通知不受欢迎的主机。
IP是通信子网的最高层,它的主要任务是寻址和转发。IP层最大的安全问题是IP欺骗,且很多上层的安全隐患源于IP欺骗,如DNS欺骗。IP层常用的安全措施是根据源地址、目的地址进行过滤,这一点已在很多路由器中得到应用。在本系统的IP层主要完成以下几个功能:IP地址过滤;IP地址与MAC绑定,防止IP欺骗;为上层提供一种通道。
TCP/UDP存在数据包伪装、SYN Flood攻击等安全隐患。为避免上述情况,必须要增加一定的验证措施,我们利用TCP的特征,设计了一种较有效的过滤手段,对TCP报文的有效性进行确认。
我们的产品不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYN Flood、ICMP、ARP等攻击手段方面有显著优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使新型防火墙的安全性提升到又一高度。