摘要:毫無疑問這一部分會引起廠商和粉絲的爭議�����,但是作為學術(shù)討論來看�,作者堅持這個觀點它們多帶帶不能構(gòu)成防火墻。部署防火墻的目的�����,即隔離網(wǎng)段網(wǎng)域間的安全風險���。上文說道防火墻是程序��,可能會使一些未涉足過嵌入式設(shè)備的粉絲感到迷惑�����。
此文僅代表我個人對防火墻的理解�。不夸張的說�,基于認識的局限性����,本文很可能存在認識的誤區(qū)�����。很多產(chǎn)品可能標注為防火墻����,卻不能在本文找到對應(yīng)的分類,這往往因為包含包含了高度集成的功能�����,各個功能可以歸在防火墻的子類里���;也有些產(chǎn)品的名字里不含防火墻�,但是可能提供防火墻的一種功能����。
另,撰寫此文并未參考公安部對信息安全產(chǎn)品的分類�,也未參考國內(nèi)任何學術(shù)單位的文獻。暫且不說差異之處孰是孰非�,如有雷同純屬巧合����。
無論管理員和規(guī)劃人員是否主觀上有所察覺���,防火墻作為控制被保護網(wǎng)絡(luò)與其他網(wǎng)絡(luò)(internet或其他lan)的訪問控制組件�,它客觀上也提供著某種程度的認證���、授權(quán)的機制�����。防火墻規(guī)則中每一條Allow規(guī)則都是對不信任網(wǎng)絡(luò)中的網(wǎng)絡(luò)行為的一種授權(quán)����。隨著信息系統(tǒng)應(yīng)用的深入��,信息系統(tǒng)安全也越來越多的面臨連接問題之外的威脅����,例如SQL注入等����;防火墻也隨之進化���,產(chǎn)生了基于代理���、過濾器和其他機制的防護產(chǎn)品。
雖然正文部分會有討論���。但是此處可以籠統(tǒng)說�,位于網(wǎng)絡(luò)邊界的通訊控制設(shè)備--包含服務(wù)器主機��、標準機架式一體機等�,控制(包括調(diào)配)osi layer3 acl的、基于configuration而非knowledge base的��,都是一種防火墻�����。雖然configuration多數(shù)基于knowledge base往往僅在更新模式有所差別����,但是同時符合兩者并且主要控制osi layer3的產(chǎn)品卻非常罕見�。具體的說��,本文不認為下列產(chǎn)品是防火墻:
認證服務(wù)器--它基于程序的數(shù)據(jù)進行授權(quán)而不是基于網(wǎng)絡(luò)IP層工作�����。這其中包括了802.1x的認證設(shè)備和服務(wù)器����。
IDS和IPS--IPS基于IDS�,而且規(guī)則之外的第一次連接是成功的。IDS毫無疑問不能算防火墻�����,那么可以視為IDS擴展模塊的IPS本文也認為更不是防火墻���。
網(wǎng)絡(luò)殺毒服務(wù)器等--這些程序?qū)P數(shù)據(jù)包還原成文件和通訊流��,判斷是否存在病毒���、網(wǎng)絡(luò)攻擊等��,最終與客戶端聯(lián)動處理相關(guān)程序和通訊���。這可以以2009年以trendmicro的virus wall為代表。
標準代理����、反向代理服務(wù)器。它可能是Web Application Security Firewall (國內(nèi)所說的WAF����,哇福)一個重要部分,但它獨立工作很難說能起到防火墻的作用�。另外它不工作于OSI Layer3。
iptables /netfilter/squid 等等的配置和腳本����。確實經(jīng)過資深管理員的調(diào)整和組合��,相當多的開源工具可以達到企業(yè)級別硬件防火墻的作用�,甚至可以超過一系列硬件產(chǎn)品的功效���。首先這些腳本或配置文件��,自己不是程序��,尤其是iptables更是操作系統(tǒng)內(nèi)核的一部分��;其次它們嚴重依賴IT管理員的knowlege base的配置無法象產(chǎn)品那樣推廣應(yīng)用。把它說為管理員的技巧更恰當�。
對訪問網(wǎng)址進行過濾的功能部分���,如果多帶帶構(gòu)成程序或產(chǎn)品���,本文也認為它不是防火墻。毫無疑問這一部分會引起廠商和粉絲的爭議���,但是作為學術(shù)討論來看���,作者堅持這個觀點--它們多帶帶不能構(gòu)成防火墻���。例如個人/企業(yè)防火墻對已知的xss站點、釣魚網(wǎng)站進行屏蔽�����,這些組件不能多帶帶構(gòu)成防火墻�����。從程序上看���,它們與IP連接無直接關(guān)系�、是基于數(shù)據(jù)包或者程序控制的一部分�����?�?傮w說����,如果您認為垃圾郵件防火墻不能算網(wǎng)絡(luò)防火墻�,您也應(yīng)該能理解僅僅提供訪問網(wǎng)址過濾的防火墻不能叫做防火墻����。舉個極端的例子說明吧:您認為firefox的adblock是防火墻嗎,還是說這個adblock安裝在服務(wù)器端就可以叫做防火墻了�?
美國國防部所屬���,信息安全應(yīng)對策略局Defense Information Systems Agency (DISA�����,其官方網(wǎng)站貌似被墻了)有定義:
A firewall is a device that serves as a barrier between networks providing access control, traffic filtering, and other security features. Firewalls are commonly deployed between trusted and untrusted networks, for example between the Internet (untrusted) and an organization’s trusted private network. They [firewalls] can also be used internally to segment an organization’s network infrastructure, for example; deploying a firewall between the corporate financial information and the rest of the company network.
如果評論國內(nèi)的定義怕是又有一堆這個那個的人物出來非議���,我得罪不起他們��。拿DISA做靶子吧��!上文值得商榷的地方很多�。防火墻不一定是“device”,例如廣為接受的個人防火墻通常就是個程序�。知名的企業(yè)在同一企業(yè)內(nèi)部,也會部署防火墻的,例如財務(wù)部和業(yè)務(wù)部�,客戶端網(wǎng)段與服務(wù)器網(wǎng)段,城市之間的網(wǎng)段等等�����。隨著柵欄防御體系的破敗和防火墻成本的降低�����,在企業(yè)內(nèi)網(wǎng)中看見防火墻已經(jīng)是很常見的事情�。而隨著硬件處理能力的提高,高度整合的防火墻可能帶有其他功能�,使用其附加功能、利用防火墻的易維護性可能使得防火墻應(yīng)用在今后更加普及���。如同我現(xiàn)在用的煙盒帶有打火機一樣��,使用多功能的整合防火墻的網(wǎng)址過濾功能�、認證功能�����、日志功能����,可能比使用它的IP過濾功能更為常見����。但是反過來說���,我們不能說打火機就是煙盒吧��。
基于上面的討論��,我對防火墻進行下列定義:
防火墻是用于隔離不同網(wǎng)段���、網(wǎng)域,對其進行通訊過濾的程序�。所有的防火墻都按照策略工作,至少提供OSI Layer3的過濾功能�����。即使廠商常常為其提供其他安全功能�����,但是對OSI Layer3進行過濾是防火墻的本質(zhì)特性����。部署防火墻的目的,即隔離網(wǎng)段���、網(wǎng)域間的安全風險����。
上文說道防火墻是程序��,可能會使一些未涉足過嵌入式設(shè)備的粉絲感到迷惑��。目前市面上的硬件防火墻�,以ARM硬件平臺為主,運行操作系統(tǒng)并自動運行系列程序�;硬件防火墻仍然是程序控制通訊。也有人根據(jù)Web Application Security Firewall對此不解�,其實這類防火墻首先阻斷被控網(wǎng)內(nèi)到被控網(wǎng)外除特定端口以外的所有通訊,再對其收到的services request做相應(yīng)的分析及過濾��;所以它本身首先是阻斷型防火墻(這是它實現(xiàn)安全的首要因素)��,不過它的附加功能更為人們所歡迎罷了�����。
1.1常見應(yīng)用
前言之前對防火墻進行了歸類。下面進行分類討論���。
network firewall�,就是傳統(tǒng)意義上的企業(yè)防火墻�����,它所隔離的網(wǎng)段可不言而喻的映射為被控網(wǎng)段��、非可控網(wǎng)段等��。出于負載和可靠性的考慮�,單一功能的network firewall常常是嵌入式的標準機架式(偽)硬件。
Application firewall 也以嵌入式系統(tǒng)為主�,但也有服務(wù)器類型的,它隔離和控制的網(wǎng)域卻是某種“系統(tǒng)”���,例如apache群集���、甚至是另外的一系列Application Firewall等等。雖然分離式Application Firewall較為常見����,但是也有將服務(wù)系統(tǒng)與應(yīng)用程序防火墻安裝在一臺服務(wù)器上的情況(并不推薦)。
Personal Firewall 個人防火墻就不多說了�。
而較為糾集的是Network Firewall與Application Firewall的整合,即復合型防火墻�����。這種應(yīng)用受到多種制約--例如帶寬����、成本和網(wǎng)絡(luò)規(guī)模。隨著虛擬化的普及��,有將兩者運行在虛擬化平臺為(物理)網(wǎng)絡(luò)提供服務(wù)的���;但是osi layer3 常見的ddos使得深受其害的用戶不得不將兩者從硬件上分離����、有些用戶甚至防止不同攻擊的包過濾防火墻層級連接(控制burst rate的��,ddos包過濾SPI的�����,控制內(nèi)部互相ddos的�,WASF防這又防那的�,外加一系列監(jiān)控監(jiān)管平臺)���;為虛擬化平臺(例如云)提供復合型防火墻的方案更是五花八門�、多種多樣���,利用web application firewall當負載平衡的也非常之常見�,為web request添加cookie��、為tcp session 加cookie做四次握手之類的各種冷門控制手段驚人的都能在此看到��。
很多防火墻也有認證的支持功能����,例如SSO服務(wù)器支持����。SSO支持與VPN服務(wù)聯(lián)動��,可以提供完整的integrity控制方案而深受世界知名企業(yè)青睞�??上鴥?nèi)方面對完整性的應(yīng)用和理解遠遠落后,僅僅有個vpn功能的防火墻已經(jīng)對于他們來說算是高級貨。毫無疑問這是問責制即accountability在國內(nèi)沒有受到支持����,用戶將所有責任都推給網(wǎng)管的習慣造成的。無論有沒有server log�����,所有責任都歸IT�����、操作人員對保密無知和拒絕負責使得對于國內(nèi)來說SSO功能并不那么重要����。不要問我方案���,國內(nèi)沒見過�,我也受保密條款的道德制約����。
?2. 防火墻的細分
2.1 Network Firewall
2.1.1 Stateless http://en.wikipedia.org/wiki/StatelessX�23Xfirewall?
(看history部分)
2.1.2 Stateful? http://en.wikipedia.org/wiki/StatelessX�26Xfirewall
實際上,多種DDOS清洗器���、或者叫做DDOS過濾管道(pipeline)很大程度上依賴SPI技術(shù)(stateful)�,僅僅是安裝有大內(nèi)存和2-128個arm cpu就使得ddos清洗設(shè)備,賣到骨干網(wǎng)絡(luò)上就必須昂貴到幾十萬到幾百萬�����,實在是燒錢的絕好理由(天頂星人不要來噴水)���。在2001年的時候�,有業(yè)內(nèi)人士吐槽說給tcp多來次握手或(給ip數(shù)據(jù)包�,包括udp)加個認證的cookie就是市面上所有的抗ddos設(shè)備,是不是這么回事讀者看后心里就有數(shù)了���。
而2013年兩會期間IDF服務(wù)器受到流氓公司(們��?)的天文數(shù)量流量的ddos攻擊�,其攻擊類型就是syn和ack攻擊組成��。單主機控制iptables在幾十g的帶寬下�,效果不是十分明顯。因為ddos即使在主機上識別為攻擊�,作流量控制、并且drop��,但是網(wǎng)絡(luò)介入服務(wù)商的設(shè)備卻在承受高負載攻擊。如果配置為reset����,則ISP的設(shè)備就要承受雙重負載。
所以預防ddos可以說比較復雜����,ISP方面也需要有足夠經(jīng)驗去配置設(shè)備。
2.2 Application Security Firewall
ASF是比較新型的防火墻���,如前文所說,它第一條安全規(guī)則應(yīng)當是阻止內(nèi)部服務(wù)器通過ASF設(shè)備連接到互聯(lián)網(wǎng)�。其次,ASF基本都屬于中間件服務(wù)程序��,運行著經(jīng)過調(diào)試的代理服務(wù)程序��。例如網(wǎng)頁防護程序應(yīng)當運行著類似squid的程序�。
這種特征使得ASF可以詳細追蹤和分析service request,進行允許(拒絕)的acl控制��、紀錄���、即啟發(fā)式自動分析�,或進行類似負載平衡那樣的調(diào)度。相比network firwall來說���,ASF在OSI上工作在頂層�,即application layer��。所以network firewall又有l(wèi)ower layer firewall的名字����,而application firewall也有higher layer firewall的大號。
ASF很多特征與負載平衡程序相似��,根據(jù)對通訊解析之后根據(jù)request 實現(xiàn)規(guī)則的控制���、通訊的調(diào)度和干預�。不僅僅針對HTTP���,ASF也有對POP3 IMAP SMTP FTP的防護程序��。不過與大家想象的不同���,不僅詳細識別相關(guān)程序、對網(wǎng)站�、url�、ip等等進行控制�,ASF對于同一網(wǎng)域的出、入通訊都可以在ASF上控制��。已經(jīng)有那種控制企業(yè)內(nèi)網(wǎng)用戶上網(wǎng)的��、可以直接放置于網(wǎng)絡(luò)邊界自動識別通訊協(xié)議(而非端口)��,并且進行相關(guān)分析���、控制的ASF���。
中間件結(jié)構(gòu)的優(yōu)勢使得ASF可以達到傳統(tǒng)Network Firewall無法做到的功能���。例如��,對惡意url
(xss等)識別��,對應(yīng)用程序漏洞的識別���,在惡意入侵達到目標機之前就可被ASF識別和攔截。實際上通過ASF的通訊并沒有直接與目標主機進行連接���。
ASF有主機型防護程序���,或網(wǎng)段型防護程序�。主機型host-based ASF可能安裝于被保護終端的主機上--即使如此���,ASF也不是Personal Firewall�����,它們兩者的區(qū)別還是非常大的:ASF是根據(jù)協(xié)議進行識別和控制���,而PF主要是根據(jù)程序或socket進行控制。
ASF在國內(nèi)普遍叫做WAF�,主要就是國內(nèi)用戶使用ASF進行網(wǎng)站防護(Web -),換句話說國內(nèi)應(yīng)用和研發(fā)能力較低造成的����。美國稱之為AF,因為他們確實可以做到通過通訊對應(yīng)用程序和它們的弱點進行識別�。
已經(jīng)普遍應(yīng)用于保護服務(wù)器網(wǎng)段的ASF,目前有WAF�,database firewall,xml 防火墻等等���。市面上已經(jīng)可以找到處理SQL injections, database rootkits,? data loss的ASF產(chǎn)品��。
2.3 Multifunction Firewall
CPU速度超過過去很多����,剩下的運算能力干嘛用才好呢?
2.3.1 VPN Gateway
VPN不稀奇了�����。各大廠商為自己的vpn協(xié)議發(fā)表各自的客戶端軟件����。
2.3.2 Unified Threat Management
防火墻實現(xiàn)基本的控制功能以外,增加了各種非傳統(tǒng)意義防火墻的功能�����。例如����,Network Firewall按照商業(yè)數(shù)據(jù)庫對網(wǎng)站分類�����,對其進行阻攔等等。所謂UTM不一定是防火墻的標準功能或常見功能�����,因為耗費巨大運算資源���,功能往往也很有限��。
2.4 Personal Firewall
2.4.1 歷史
早期的個人防火墻如同Network Firewall一樣��,對網(wǎng)卡上的通訊進行統(tǒng)一的規(guī)則匹配����。支持NAT和DNS服務(wù)的個人防火墻曾幾何時風靡一世�����。之后隨SDK的開放和OS廠商的推廣��,PF防火墻實現(xiàn)了按程序和Socket雙重防護的功能�����。
隨之而來的是產(chǎn)品的整合。殺毒軟件���、反木馬軟件�、DLP數(shù)據(jù)泄露防護�、反釣魚網(wǎng)站保護和網(wǎng)址過濾、防activex惡意代碼��,沙盒子sandbox下載與運行保護����。一個殺毒軟件包攬本地安全是很早之前的故事。
PDA和智能手機帶來新的機遇?�,F(xiàn)在的主流軟件不僅可以在手機上進行快速的權(quán)限和代碼掃瞄���,更可以掃瞄短信����、email和IM中傳遞的網(wǎng)址���。
2.5 Others
虛擬化和云的應(yīng)用帶來新的觀點和手段�����。有很多產(chǎn)品可以在虛擬機內(nèi)對程序和主機進行認證��,再在hyper層進行進一步一體化控制���。trendmicro,edenwall(此站在發(fā)文時已經(jīng)被黑)�、checkpoint和CA 都在此方面有深入研究。其中checkpoint為amazone 提供安全服務(wù)��,而美國CA目前為美國海軍第xxx大隊的全球衛(wèi)星控制中心做安全防護和災難恢復的方案和防護�。
不過在應(yīng)用虛擬化安全方案之前就應(yīng)當注意,虛擬化體系本身就存在很多安全問題���。在2009年時中科院某院士對hyper層發(fā)表非官方的安全可信的首肯之后��,2010年就有259種hyper層帶來的安全漏洞的分析����。覆巢之下���,焉有完卵����。???
2.6 Thanks
首先感謝美國國防部所屬DISA,給我個理由批判傳統(tǒng)觀念��。
其次感謝那些在2013年DDOS IDF的人渣們����,給我寫這篇文章的初衷。
最后感謝從來沒承認過我們的�,更沒實際教育過我們的,卻控制中國互聯(lián)網(wǎng)言論的水軍�。
還有感謝把深度防御理論公開,控制思想GPL V1�����,搞的WAF滿天飛卻沒拿到絲毫專利權(quán)和著作權(quán)的自己��。
via idf.cn
