新闻中心
NEWS CENTER
原创丨不到长城非好汉-走进防火墙的前世今生
天高云淡,望断南飞雁。不到长城非好汉,屈指行程二万。长城,我国古代一种军事防御工事,以高大城墙为主体,城、障、亭、标相结合,用于抵御游牧民族入侵的防御体系。在计算机网络上,也有这样一座安全防御长城——防火墙,守卫着我们网络安全的第一道防线。
什么是防火墙?
防火墙,顾名思义,用于防止火灾蔓延的墙。起源于建筑领域,用来阻止楼层间火势的蔓延。现多指计算机领域一种重要的网络安全防护设备。通常采用软硬体结合的形态,放置于计算机网络内、外子网之间,通过包过滤、状态检测等计算机通信技术控制网络访问的尺度,只有防火墙策略允许的会话才能通过网络,不被允许的会话会被拒绝通过网络。
防火墙具有基本的路由和数据转发功能,是不同子网或不同安全域之间网络数据流的唯一出入口,能根据用户的需求接入不同架构的网络环境,自由设定允许、禁止、审计、入侵检测、病毒防御等策略,是计算机网络安全领域的基础安全设施。
图-立思辰工控防火墙
防火墙的发展史
防火墙的发展也经历了低级到高级、简单到复杂的演化阶段,最早的防火墙可以追溯到上世纪80年代,与网络设备路由器几乎同一时期出现,距今已有三十多年的时间。到今天防火墙已经发展成为了一款能够全面应对应用层深层威胁的集成式、高性能、智能化的综合网络安全防护网关。近些年,根据细分应用更是演化出Web应用防火墙(WAF)、云防火墙、数据库防火墙、工控防火墙等各种应用级防火墙。
图-防火墙产品发展史
1、第一阶段:路由器集成包过滤阶段
1989年世界上第一款防火墙诞生,这款防火墙是与路由设备一体的,采用包过滤技术,利用路由器本身对报文分组解析,实现简单的访问控制功能。同年,贝尔实验室推出了电路层防火墙,电路层防火墙只依赖于TCP连接,并不进行任何附加的包处理或过滤。
2、第二阶段:用户化的工具套阶段
这一阶段的防火墙从路由器独立出来形成了专用防火墙设备,并出现了用户化的防火墙工具套。与第一代防火墙相比,将过滤功能从路由器中独立出来,加上了审计和告警功能,可以提供定制化、模块化的软件包,安全性提高,成本降低,弥补了第一代防火墙的不足。
3、第三阶段:状态检测技术和软件化防火墙
1994年,IT安全行业先驱CheckPoint公司发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定处理动作,相较于包过滤防火墙,状态检测防火墙不需要为每个应用程序都进行代理,处理速度大大加快,安全性也提高了。
状态检测防火墙的出现,除访问控制功能外,也开始引入一些其他技术,如VPN,入侵检测、防病毒等,WAF等专用防火墙的雏形也在这一阶段出现。
同时防火墙的形态也开始发生变化,基于通用操作系统的防火墙技术出现,防火墙既可以硬件形态出现,也可以纯软件方式实现,既能防御网络的攻击,又可做终端主机的卫兵。
4、第四阶段:DPI技术的应用和专用操作系统的出现
2004年,安全业界提出了UTM统一威胁管理理论,将访问控制、入侵检测、防病毒、上网行为管理、应用程序控制、邮件过滤等融合到一台设备上。随着UTM产品的不断更新,新的问题开始浮现,首先应用层信息的检测出现局限,DPI(Deep Packet Inspection深度包检测)技术被引入防火墙,随后WAF、云防火墙、数据库防火墙、工控防火墙等应用级防火墙产品开始如雨后春笋般涌出。
2008年,美国安全厂商Polo Alto Networks发布了下一代防火墙(Next Generation Firewall),借助全新的高性能单路径异构并行处理引擎解决了多个功能同时运行性能下降问题,同时深入检测网络流量中的用户、应用和内容,为用户提供有效的应用层一体化安全防护。
解决了信息处理、性能瓶颈,安全问题也成为了防火墙一个不容忽视的弱势,为了有效保证防火墙系统自身的安全,硬件防火墙产品开始普遍采用专用操作系统,去掉不必要的系统组件,对内核进行安全加固,强化防火墙自身的安全防护。
防火墙的分类
从构成形态上
1. 硬件防火墙:最常见的防火墙形态,基于PC架构,软硬一体化产品,主要用于网络级安全防护。
2. 软件防火墙:运行于独立的计算机上,需要计算机操作系统的支持,纯软件化产品,用于计算机主机的安全防护。
3. 芯片防火墙:专有的ASIC芯片、多总线结构具有更快处理速度,更高处理能力,非x86架构,专用操作系统,具有更高的安全性。
从技术原理上
1. 包过滤防火墙:工作在网络层,过滤数据包头中的IP、端口、协议等,最基础防火墙技术。
应用代理防火墙:工作在第7层应用层,通过编写应用代理程序,实现对应用层数据的检测和分析。
2. 电路级防火墙:工作在第4层传输层,只依赖于TCP连接,不进行任何包处理或过滤。
3. 状态检测防火墙:工作在2-4层,控制方式与包过滤防火墙相同,处理的对象不是单个数据包,而是整个连接,通过规则表(管理员事先设定好的)和连接状态表,综合判断是否允许数据包通过。
4. 完全内容检测防火墙:工作在2-7层,既有包过滤功能、也有应用代理的功能。除了分析数据包头信息、状态信息,还对应用层协议进行还原和内容分析,有效防范混合型安全威胁。
从部署应用上
1. 网络防火墙:通常部署在网络边界,用于子网之间访问控制的网络设备。
2. 主机防火墙:针对于单个主机进行防护,以软件形式部署在主机操作系统上。
3. 混合防火墙:将分布式技术与传统防火墙相结合,通常由内、外两部分构成,可自动根据具体情况完成内外主机直接通信,智能更新信息的过滤规则,自动配置过滤策略等的智能化防火墙系统。
防火墙关键技术
包过滤技术:基于协议特定的标准,在设备端口能够区分包和限制包的能力叫包过滤(Packet Filtering)。技术原理是逐一审查包头信息,并根据匹配和规则决定包的前行或被舍弃,以达到拒绝发送可疑的包的目的。
状态检测技术:一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息。
网络地址转换技术:一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。
代理技术:通过一种代理(Proxy)参与到一个TCP连接的全过程,基于应用层信息处理问题,不再基于数据包。
DPI技术:基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文内容进行检测分析,可以根据事先定义的策略对检测流量进行过滤控制,能完成所在链路的业务精细化识别。
工控防火墙特点
1、专为工控网络设计
工控防火墙专为工业控制网络设计,主要应用于SCADA、DCS、PLC 等工业控制系统。
相较于传统防火墙具备更强的环境适应性、可靠性、稳定性和实时性。
硬件选择上满足工业级宽温、防尘、抗电磁、抗震、无风扇、全封闭设计等要求,支持M12等工业标准接口,具有BYPASS、冗余电源、工控协议识别等功能。
2、工业协议识别与深度解析
支持对OPC、S7、modbus、IEC-104、DNP3等通用工控协议的深度解析,支持对私有工业协议的自定义扩展,可以实现功能码级别实时解析和指令级精准防控。
图-立思辰工控防火墙工控协议防护
3、基线建模技术的引入
采用智能机器学习算法,基于工控协议通信记录,智能学习通信关系、功能码、指令阈值等参数,对正常通信行为建立白名单基线,对超越基线行为进行告警或拦截,可以实现对工控指令攻击、误操作的安全检测和防护。
图-立思辰工控防火墙基线建模
计算机网络技术在不断发展,面临的安全威胁也在不断变异,防火墙安全防范技术也随之不断的演化和进步。始于防,忠于守,相信防火墙这座安全长城能为我们防好计算机网络的各种威胁,守护住国家网络空间的安全与繁荣。
相关新闻
版权所有 © 2021 杭州中电安科现代科技有限公司