建筑立体防护的新手段——联动防火墙

network

建筑立体防护的新手段——联动防火墙


建筑立体防护的新手段
——联动防火墙
廉育功

    随着人们安全意识的日益提高，防火墙、防病毒、入侵检测、加密机等安全产品开始被大量部署在网络中。由于缺少统一、联动的技术，现有安全产品往往各自为政，没能形成一个统一的整体。为了解决这一问题，防火墙联动技术正渐渐成为网络安全领域的一个新兴课题，引起众多专家和安全厂商的关注。


    防火墙联动的提出

    防火墙是目前应用范围最广、最易被客户接受的网络安全产品之一。作为不同网段之间的逻辑隔离设备，防火墙将内部可信区域与外部危险区域有效隔离，将网络的安全策略制定和信息流动集中管理控制，为网络边界提供保护，是抵御入侵的有效手段之一。

    防火墙具有局限性。首先，防火墙提供的是静态防御，它的规则都必须事先设置，对于实时的攻击或异常的行为不能做出实时反应。其次，防火墙规则是一种粗颗粒的检查，对一些协议细节无法做到完全解析。而且，防火墙无法自动调整策略设置以阻断正在进行的攻击，也无法防范基于协议的攻击。此外，防火墙防外不防内，对于内部用户的非法行为或已经渗透的攻击无法检查和响应。

    为了克服防火墙在实际应用中存在的局限，防火墙厂商率先提出了联动思想。防火墙联动即通过组合的方式，将其他安全技术与防火墙技术进行整合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，以适应网络安全整体化、立体化的要求。


    防火墙联动的概念

    防火墙联动主要是由防火墙厂商提供开放标准接口协议，其他厂商根据接口协议开发相应的通讯模块，实现彼此间的联动。Check Point最早推出了联动联盟OPSEC，通过提供开放接口标准，与其他厂商进行紧密合作，实现防火墙与内容、Web资源、入侵检测、认证等多个层次的联动。2000年，国内防火墙厂商天融信提出了TOPSEC联盟，以天融信网络卫士（NGFW）系列防火墙产品为核心，实现安全产品之间的互通与联动。安氏公司的LinkTrust CyberWall防火墙可以和安氏入侵检测体系RealSecure以及防病毒网关InterScan实现互动。此外，CA公司的eTrust系列安全产品、赛门铁客系列安全产品也可以在不同类型安全产品之间实现联动。目前，应用范围较为广泛的防火墙联动方式主要有以下几种。

    与防病毒实现联动

    病毒对网络系统造成了巨大的破坏和威胁，构建可靠的网络防毒体系是网络安全的必要保障。防火墙处于内外网络信息流的必经之地，在网关一级就对病毒进行查杀，成为网络防病毒系统的重要一环。Netscreen、Check Point等防火墙都可以与病毒防治软件进行联动，通过提供API定义异步接口，将数据包转发到装载了网关病毒防护软件的服务器上进行检查。

    与入侵检测实现联动

    防火墙与入侵检测系统联动是联动体系中重要的一环，这是因为这两种技术具有较强的互补性。目前，实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合，即把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来源于抓包，而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证，还需要经过入侵检测，判断是否具有攻击性，以达到真正的实时阻断，这实际上是把两个产品合成一体。由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度、合成后的性能等方面都会受到很大影响。这种方式仍处于理论研究阶段。第二种方式是通过开放接口来实现联动，即防火墙或者入侵检测系统开放一个接口供对方调用，按照一定的协议进行通信、警报和传输。目前开放协议的常见形式有：安全厂家提供IDS的开放接口，供各个防火墙厂商使用，以实现互动。这种方式比较灵活，不影响防火墙和入侵检测系统的性能。

    防火墙与入侵检测系统联动，可以对网络进行动静结合的保护，对网络行为进行细颗粒的检查，并对网络内外两个部分都进行可靠管理。

    与日志处理间实现联动

    防火墙与日志处理之间的联动，目前国内厂商做的不多。比较有代表性的是Check Point的防火墙，它提供两个API：LEA（Log Export API）和ELA（Event Logging API），允许第三方访问日志数据。报表和事件分析采用LEA API，而安全与事件整合采用ELA API。防火墙产品利用这个接口与其他日志服务器合作，将大量的日志处理工作由专门的服务设备完成，提高了专业化程度。