1993年,中國(guó)第一條64K專(zhuān)線接通了國(guó)際互聯(lián)網(wǎng),彈指10年間,網(wǎng)絡(luò)時(shí)代給我們的工作、生活帶來(lái)了巨大的變化。這10年,網(wǎng)絡(luò)以幾何級(jí)數(shù)式的膨脹增長(zhǎng),網(wǎng)絡(luò)傳輸?shù)男畔⒘靠涨霸黾樱瑐鹘y(tǒng)數(shù)據(jù)加上語(yǔ)音、視頻、多媒體等大量的信息流,對(duì)于網(wǎng)絡(luò)的帶寬不斷地提出了新的需求。另一方面,網(wǎng)絡(luò)安全越來(lái)越成為一個(gè)不容忽視的課題。據(jù)于2002年調(diào)查顯示,在過(guò)去的5年中,每天都有因受到黑客攻擊而造成嚴(yán)重?fù)p失的事件。安全產(chǎn)品和網(wǎng)絡(luò)攻擊如同矛和盾的較量,每一天都在演繹著網(wǎng)絡(luò)安全新的傳說(shuō)。從1996年底到2002年初,國(guó)內(nèi)安全市場(chǎng)經(jīng)歷了“軍閥混戰(zhàn)”的時(shí)期,安全廠商經(jīng)受了一次大的洗禮。自2002年下半年至今,國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)中,安全廠商優(yōu)勝劣汰,形成了以幾家大專(zhuān)業(yè)廠商為主導(dǎo)的局面。現(xiàn)在,就網(wǎng)絡(luò)安全產(chǎn)品中的防火墻產(chǎn)品,在新時(shí)期,防火墻選型需要注意的幾個(gè)問(wèn)題作以說(shuō)明。
防火墻:一道安全屏障
防火墻是一種控制隔離技術(shù),采用綜合的網(wǎng)絡(luò)技術(shù)設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,用以分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)系統(tǒng),防止發(fā)生不可預(yù)測(cè)、潛在的破壞性侵入。防火墻設(shè)備像在兩個(gè)網(wǎng)絡(luò)之間設(shè)置了一道關(guān)卡,能根據(jù)用戶(hù)的安全策略控制出入網(wǎng)絡(luò)的信息流,防止非法信息流入被保護(hù)的網(wǎng)絡(luò)內(nèi),且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。所以,在選用防火墻的時(shí)候,一定要從性能指標(biāo)、安全性、復(fù)雜環(huán)境適應(yīng)性、安全審計(jì)、配置管理方便性等方面去考慮。
性能指標(biāo)要滿(mǎn)足網(wǎng)絡(luò)應(yīng)用和發(fā)展要求
網(wǎng)絡(luò)發(fā)展到如今,網(wǎng)絡(luò)的流量呈現(xiàn)了迅速增長(zhǎng)的趨勢(shì),那么所選擇的防火墻能否滿(mǎn)足網(wǎng)絡(luò)的大數(shù)據(jù)流量要求呢?防火墻的性能指標(biāo),體現(xiàn)了防火墻能否勝任指定環(huán)境的處理能力需求,是否具備較好的可用性。通常遵從RFC2544、RFC1242和RFC2647標(biāo)準(zhǔn),主要包括吞吐量、丟包率、延遲、背靠背包、最大并發(fā)連接數(shù)、每秒新建立連接數(shù)六項(xiàng)指標(biāo)。
吞吐量是防火墻在各種幀長(zhǎng)的滿(mǎn)負(fù)載(100M或1000M)雙向(Bidirectional Traffic)UDP數(shù)據(jù)包情況下的穩(wěn)定性表現(xiàn),是其它指標(biāo)的基礎(chǔ)。它反映的是防火墻的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。其中, 64字節(jié)幀長(zhǎng)小包的處理能力,對(duì)于反映防火墻數(shù)據(jù)包的轉(zhuǎn)發(fā)能力尤其重要,現(xiàn)已引起國(guó)內(nèi)外廠商和用戶(hù)的關(guān)注。在這方面,有些國(guó)內(nèi)企業(yè),如東方龍馬的龍馬衛(wèi)士防火墻64字節(jié)幀長(zhǎng)的雙向處理能力超過(guò)了60%。防火墻丟包率這項(xiàng)測(cè)試,是用來(lái)確定防火墻在不同傳輸速率下丟失數(shù)據(jù)包的百分?jǐn)?shù),目的在于測(cè)試防火墻在超負(fù)載情況下的性能。延遲這項(xiàng)測(cè)試通常是指測(cè)試從測(cè)試數(shù)據(jù)幀的最后一個(gè)比特進(jìn)入被測(cè)設(shè)備端口開(kāi)始,至測(cè)試數(shù)據(jù)包的第一個(gè)比特從被測(cè)設(shè)備另一端口離開(kāi)的時(shí)間間隔。背靠背包是指以最小幀間隔發(fā)送最多數(shù)據(jù)包而不引起丟包時(shí)的數(shù)據(jù)包數(shù)量。最后兩項(xiàng)分別測(cè)試防火墻的每秒所能建立起的TCP/HTTP連接數(shù)及防火墻所能保持的最大TCP/HTTP連接數(shù)。了解這些之后,我們會(huì)明白,采用具有優(yōu)異性能的防火墻,是我們保護(hù)投資的一種有效方式。
復(fù)雜環(huán)境適應(yīng)性
防火墻工作模式常見(jiàn)有三種:路由模式、透明模式和混合模式。所謂混合模式是指將一臺(tái)防火墻當(dāng)作兩臺(tái)來(lái)用,這樣的防火墻存在著路由和透明兩種工作模式。防火墻只支持前兩種工作模式已經(jīng)不能適應(yīng)復(fù)雜網(wǎng)絡(luò)的安全需求,往往這時(shí)候的解決方案就是用兩臺(tái)防火墻來(lái)完成,一臺(tái)工作在路由模式,另一臺(tái)工作在透明模式。但是這樣會(huì)使用戶(hù)成倍地增加防火墻的投入費(fèi)用,同時(shí)增加管理成本。
在防火墻基本功能和安全性滿(mǎn)足要求的時(shí)候,我們還要考慮對(duì)于復(fù)雜網(wǎng)絡(luò)的適應(yīng)性。國(guó)內(nèi)有相當(dāng)多數(shù)的網(wǎng)絡(luò)沒(méi)有考慮安全性的問(wèn)題,網(wǎng)絡(luò)先運(yùn)行,一段時(shí)間之后,才考慮增加安全設(shè)備。所以存在很多這樣的現(xiàn)象:先建網(wǎng)絡(luò),后增加防火墻。這勢(shì)必給防火墻提出了一個(gè)要求—讓防火墻去適應(yīng)各種各樣的網(wǎng)絡(luò)環(huán)境。舉一個(gè)例子,在用戶(hù)已經(jīng)運(yùn)行的網(wǎng)絡(luò)中,對(duì)外開(kāi)放的服務(wù)器采用C/S結(jié)構(gòu),將與之通信的外網(wǎng)IP地址做到應(yīng)用程序中,這個(gè)時(shí)候,我們要求防火墻支持透明模式。進(jìn)一步的一個(gè)例子,這臺(tái)服務(wù)器處于DMZ(非軍事化)區(qū)域,同時(shí),單位局域網(wǎng)用戶(hù)又有上網(wǎng)需求,同時(shí)隱藏IP。這時(shí),內(nèi)網(wǎng)和外網(wǎng)采用路由模式,而DMZ區(qū)服務(wù)器和外網(wǎng)采用透明模式。整個(gè)防火墻工作是既有路由,又有透明的混合工作模式。這本來(lái)需要兩個(gè)防火墻完成的工作,由一臺(tái)防火墻很好地滿(mǎn)足了需求。
另一方面,對(duì)于一個(gè)大的網(wǎng)絡(luò),防火墻能否通過(guò)簡(jiǎn)單的配置,實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的安全需求。對(duì)于用戶(hù)、IP、服務(wù)都可以定義相應(yīng)的組,簡(jiǎn)化安全規(guī)則數(shù)目。
AAA&日志
隨著網(wǎng)絡(luò)安全的發(fā)展,用戶(hù)對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)的不斷深入,AAA(認(rèn)證、授權(quán)、記賬)已經(jīng)不可避免地融入防火墻。現(xiàn)在用戶(hù)對(duì)AAA的要求越來(lái)越高,已經(jīng)遠(yuǎn)遠(yuǎn)地超越了簡(jiǎn)單的用戶(hù)名/口令認(rèn)證的階段,逐步走向全面、標(biāo)準(zhǔn)的AAA。從目前校園網(wǎng)和某些科研機(jī)構(gòu)的應(yīng)用來(lái)看,防火墻必須在框架設(shè)計(jì)階段就考慮到AAA才能滿(mǎn)足用戶(hù)的需求,而且必須提供相應(yīng)的工具,使防火墻的AAA系統(tǒng)與用戶(hù)原有的認(rèn)證系統(tǒng)平滑過(guò)渡。
日志作為防火墻重要的一環(huán)已經(jīng)是毋庸置疑的了,但是如何有效地使用和管理防火墻日志,是許多國(guó)內(nèi)廠商沒(méi)有解決的問(wèn)題。經(jīng)過(guò)這幾年的發(fā)展,人們逐漸意識(shí)到產(chǎn)品標(biāo)準(zhǔn)化、國(guó)際化是大勢(shì)所趨。目前,多數(shù)國(guó)內(nèi)防火墻廠商使用Oracle、SQL Server等商業(yè)數(shù)據(jù)庫(kù)進(jìn)行日志管理,出現(xiàn)了兩頭不靠的尷尬局面。一方面對(duì)于中小型用戶(hù),商業(yè)數(shù)據(jù)庫(kù)提高了總體成本和管理難度,有牛刀殺雞之嫌;另一方面對(duì)于真正的大型企業(yè)用戶(hù),一般防火墻廠商提供的日志分析管理軟件,又達(dá)不到企業(yè)級(jí)應(yīng)用的要求。目前,現(xiàn)實(shí)的做法是向第三方工業(yè)標(biāo)準(zhǔn)靠齊,比如Webtrends的WELF,提供給用戶(hù)簡(jiǎn)單快捷、行之有效的解決問(wèn)題辦法,并且使大型企業(yè)用戶(hù)可以使用專(zhuān)業(yè)的第三方防火墻日志分析軟件。現(xiàn)在,國(guó)外許多廠商,例如netscreen、checkpoint都宣布對(duì)這個(gè)格式支持,國(guó)內(nèi)有些廠商也已經(jīng)實(shí)現(xiàn)對(duì)這個(gè)格式的支持,如龍馬衛(wèi)士防火墻的日志就是完全采用WELF格式實(shí)現(xiàn)的。
配置管理的方便性
網(wǎng)絡(luò)的發(fā)展方向是網(wǎng)絡(luò)會(huì)越來(lái)越大。作為防火墻產(chǎn)品,是否支持集中管理,管理信息是否是加密傳輸,是否支持多種管理方式,例如命令行、圖形化界面等,是擺在防火墻開(kāi)發(fā)商面前的新課題。
安全是個(gè)永遠(yuǎn)的話題。安全技術(shù)在不斷發(fā)展進(jìn)步,需要我們提高警惕,增加防范能力。
作者:網(wǎng)絡(luò)安全技術(shù)專(zhuān)家 管中偉
|