浅析防火墙历史与现状.doc

杀毒软件和防火墙技术 研究及现状分析 姓名： 指导老师： 一、防火墙技术和杀毒软件的发展历史1、防火墙技术的发展历史对于防火墙的发展历史，基于功能划分，可分为如下阶段：20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packet filter）技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。到1989年，贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品；到了1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。基于实现方式划分，可分为如下四个阶段： 第一代防火墙：基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 第二代防火墙：用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。 第三代防火墙：建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。 第四代防火墙：具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。2、杀毒软件的发展历史说起反病毒引擎，在全球计算机病毒史上，曾经出现过两个比较著名的人物。一是俄罗斯的Eugene Kaspersky。1989年，Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年，他在俄罗斯大型计算机公司KAMI的信息技术中心，带领一批助手研发出了AVP反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是创始人之一。2000年11月，AVP更名为Kaspersky Anti-Virus。Eugene Kaspersky是计算机反病毒研究员协会(CARO)的成员，该协会的成员都是国际顶级的反病毒专家。AVP的反病毒引擎和病毒库，一直以其严谨的结构、彻底的查杀能力为业界称道。另一位是Doctor Soloman。他创建的Doctor Soloman公司曾经是欧洲最大的反病毒企业，后来被McAfee兼并，成为最为庞大的安全托拉斯NAI的一部分。初期，McAfee与欧洲的一些杀毒软件公司经常兴起口舌之争，但是自身杀毒引擎并不出色，于是McAfee停用自己的杀毒引擎，转而使用收购来Doctor Soloman产品的引擎。AVP虽然是技术的巅峰之作，但由于长时间懒于开发市场，很长时间里用户并不多，导致部分的开发人员流失。俄罗斯的另一家反病毒产品Dr.Web，与AVP有很深的渊源，而Symantec NAV的主力开发人员里面，也可见Eugene旧部的身影，还有人跳槽去了McAfee，但这始终也改变不了AVP是全球顶级反病毒引擎的事实。但由于历史的渊源，Eugene Kaspersky最终还是决定淡化AVP(AntiVirus Tookit Pro)这个名字，而代之以KAV(Kaspersky Anti-Virus)。我国的免杀技术的起步可以说是非常晚了。1989年，第一款杀毒软美国的Mcafee（迈克菲杀毒软件）诞生，标志着反病毒与反病毒查杀时代的到来；1997年：国内出现了第一个可以自动变异的千面人病毒（Polymorphic/Mutation Virus），此病毒每复制一次，就会以不同的病毒代码传染到别的地方去，每个中毒文件中所包含的病毒代码都不一样，有着自动变异的功能。千面人病毒的自动变异特点就是病毒针对杀毒软件的免杀方法之一，但是与现在俗称的免杀手法的定义有一定的出入，我们现在俗称的免杀技术是在原有的木马基础上，或者是拥有木马源码基础上通过修改原有代码，而使他达到躲避杀毒软件查杀的效果。2002年7月31日：国内第一个真正意义上的变种病毒“中国黑客II”出现，它除了实现了“中国黑客”第一代所未实现的功能外还具有新的特征，可见这个变种也是中国黑客”第一代病毒编写者自己制造的，在原有的基础上对其病毒进行改进，从而达到躲避杀毒软件查杀的效果，其实也就是我们现在所说的免杀技术了。2004年：在中国黑客圈子内部，免杀技术是由IT工程师之家团队在这一年首先公开提出，但是当时还没有免杀专用的工具，所以一般制作免杀的都使用WinHEX等反汇编工具逐字节查找更改。2005年1月：大名鼎鼎的免杀工具CCL的软件作者tankaiha在杂志上发表了一篇文章，藉此推广了他制作的免杀工具CCL，用于制作免杀时定位杀毒软件特征码，从此中国黑客界才有了自己第一个专门用于免杀的工具。后期该程序员Tanknight在CCL的基础上改进，制作出了MYCCL这款免杀定位特征码工具，一直沿用至今。2005年2月-7月：通过各方面有意或无意的宣传，各种远程控制软件的面世，黑洞、灰鸽子远程控制等软件的流传，使用者的增加，中国黑客爱好者们开始逐渐重视免杀，在类似于华夏论坛、黑客动画吧等早期的黑客站点的木马专栏下，开始有越来越多的人讨论免杀技术，这也为以后木马免杀技术的火爆埋下根基。2005年08月：第一个可查的关于免杀的动画由IT工程师之家团队完成，为大量黑客爱好者提供了一个有效的参考，成功地通过教程视频对免杀技术进行了第一次科普。2005年09月：国内各种木马盛行，而木马的免杀的重要性突出，这时国内免杀技术开始真正的火起来，同时涌现了大批黑客技术论坛，中国黑客技术平民化时代的到来。2005年至今，木马免杀方面主要集中在远程控制软件上，中国黑客圈子内流传的远程控制软件不下50款，常用的不下10款，适合着各个免杀技术层面的人使用，而如今的免杀技术已经和2005年时的免杀技术已经天壤之别了，现在的杀毒软件从各个方位来堵住木马，而木马免杀技术的演变也能利用杀毒软件的BUG达到自己的免杀目的。最后我们可以从以上收集到的信息可知，国内在1997年出现了第一个可以自动变异的千面人病毒，虽然自动变异也可以看为是病毒针对杀毒软件的一种免杀方法，但是由于与现在免杀手法的定义有出入，所以如果将国内免杀技术起源定位1997年会显得比较牵强。一直等到2002年7月31日，国内第一个真正意义上的变种病毒“中国黑客II”才迟迟出现，因此我们暂且可以将国内免杀技术的起源定位在2002年7月。二、当前防火墙技术和杀毒软件面临的主要问题1、防火墙技术面临的主要问题众所周知防火墙在网络工程中的广泛使用已经成了不可争议的事实。然而在学术界却没有引起过多的关注，在Internet团体中也是一个有争议的话题。防火墙技术起源于90年代初，仅仅指一种流量过滤设备。完成基于网络地址或服务的访问控制功能。防火墙就如同城堡和护城河，它能够有效地阻止外部用户对内部网络的非法访问，保护内部网络的敏感数据不被窃取。防火墙系统通过访问规则决定哪些内部服务可以被外界访问、外界的哪些人可以访问内部的哪些可以访问的服务以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来往的因特网的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须免于渗透。防火墙系统一旦被攻击者突破或迂回，就不能提供任何保护了。一个好的防火墙系统应具有三方面的特性：(1)所有在内部网络和外部网络之间传输的数据必须通过防火墙：(2)只有被授权的合法数据可以通过防火墙；(3)防火墙本身不受各种攻击的影响。防火墙自身的性能局限使防火墙日益成为网络的瓶颈，移动和分布计算使防火墙技术面临着新的挑战。1.1.网络性能的局限从最初10M网络到现在的百兆和千兆，网络技术已经发生了翻天覆地的变化。网络带宽和延迟得到了极大的改善，网络传输将不再成为Intemet瓶颈。相反，在大规模、高速网络环境中。防火墙自身的性能已经越来越成为系统性能的局限。防火墙的性能瓶颈首先来自于它的操作系统。对防火墙软件系统来说，最重要的莫过于操作系统了。国外厂商的产品大都自己设计专用系统，所以往往具有很小的尺寸和很高的效率。而国内厂家的防火墙很少使用专用操作系统，大多数是基于对Linux的修改，区别仅在于改动量的多少。事实上，仅对Linux内部进行改动，并不可能太多提高系统性能。Linux系统本身是一个通用的操作系统其中与防火墙相关的关键部分仅占很小的比例；其它与防火墙无关的部分消耗了大部分的系统资源。例如其设备支持和文件系统对防火墙来说完全不必如此复杂和庞大。因此防火墙操作系统的改善将大幅度提高系统的性能。幸好现在一些厂家已经注意到了这一点，把精力从单纯增加防火墙的功能转移到了提高操作系统的性能上来，而回报也是惊人的。影响防火墙性能的另一个因素来自于防火墙庞杂的功能。从原理上说，防火墙主要分包过滤型、流过滤型、应用代理型看起来种类繁多，但是基本原理是一样的，那就是在操作系统内核对网络数据流进行检查和过滤。对每个数据包的排查和过滤需要消耗相当大的处理时间，在大数据量的情况下会造成明显的延迟。除此之外，为了迎合用户的需要，大多数防火墙还具备了许多额外的功能，比如应用层内容过滤、入侵检测、周期性的系统探测等等。如此众多的功能，必然造成极大的系统开销。然而由于硬件成本的限制，决定了防火墙不可能采用非常昂贵的硬件平台。因此这些类似鸡肋的功能是防火墙性能的另一个杀手。1.2.移动和分布式计算带来的问题随着无线联网技术的发展人们可以随时随地地接入网络。无论是出差在外还是下班回家，都可以方便地接入公司网络进行数据访问和计算。在带来方便的同时，移动计算给网络安全也带来了新的麻烦。如何处理这些随时变化的网络结构并保证安全的访问，是防火墙面临的新问题。在这种情况下，VPN技术应运而生。利用VPN，公司职员可以在任何地方通过加密隧道访问公司内部网络，不受防火墙的限制。但是，尽管VPN能够保证数据传输的安全可靠，它却不能保证通信双方自身的安全。VPN不能保护个人的笔记本电脑、移动PC、PDA，也不能保护公司员工的家庭电脑。这些电脑的终端仍然会受到安全的威胁。而且一旦它们被攻击者控制，将会带来更大的危险。黑客通过这些被控制的终端，可以轻而易举地进入公司的内部网络，为所欲为。而且黑客并不是网络安全的唯一敌人。事实上，有许多网络安全隐患存在于公司网络内部。据统计，60以上的网络安全问题来自内部网络。例如，防火墙通常给用户施加了许多额外的规则，其中许多是用户所不希望的。于是他们就通过一些变通的方式绕过这些规则通常的手段是在内部通过modem拨号上网，使用无线网络上网或者通过隧道绕过防火墙。这些形形色色的方式为网络安全带来了隐患，也很容易为攻击者所利用。防火墙虽然能对外部网络的攻击进行有效的防护，但对来自内部的攻击却无能为力。在这里，防火墙的作用再一次被架空。经验告诉我们，过分依赖防火墙，是另一种危险的做法。另一个挑战来自于分布式计算。分布式计算是近年来兴起的一种新的网络计算模式，它允许通过网络共享每个节点的分散的资源。为了进行资源共享，必然要求远程计算机对本机具有访问的权限这就为用户提供了另外一种绕过防火墙的方法。防火墙内部如果有运行P2P软件的端节点，那么就可能从内部建立一条虚拟的通道，使得数据传输可以正常进行。如果这些P2P软件包含后门或漏洞，这就为内部网络造成了安全隐患。因此新的网络计算环境为防火墙带来了新的要求，那就是如何为每个分布的计算机节点提供安全保护。这是现有的防火墙所不能解决的问题。2、杀毒软件面临的主要问题 现在互联网上最强的黑势力是难以尽数的盗号工作室，比较出名的有赤兔马、老A、乐意马、铁血等等，这些都是木马可执行文件上带有品牌的，还有更多神秘低调的木马团伙，它们变种之快让人们难以想像，杀毒软件终于日益力不从心：2.1.样本采集问题为了尽快抓到木马样本，不少杀软开始尝试云安全的思路，一方面是让用户自动举报行为可疑的软件，另一方面是在用户访问到挂马网页时从网马中捕获。前者的问题在于木马作者在编写时通常早有对策，至于后者，就需要杀毒软件对挂马网页足够灵敏，而且用户量足够大。2.2.样本分析问题木马的疲劳战术是杀毒厂商最为头疼的问题，杀毒引擎要工作，就要把新木马的特征码人工分析截取出来，还得严格测试保证不出现严重误杀。对一家大型杀软厂商来说，每天分析成百上千个新样本是没问题的，但如果每天有数十万个甚至上百万个新样本，没有哪家厂商能够有这样的人力。2.3.特征库升级问题即便木马的特征码都能被提取入库，升级特征库也不容易。一方面是时效性，比如很多杀毒软件租用CDN服务器来发布特征库的更新，最快也得3个小时用户才能开始升级，更何况之前还需要分析编码，按照现在木马的变种速度，等到升级完特征库，比较有组织有实力的木马早就自动重新免杀了，这也是人们一直抱怨杀毒软件滞后查杀的重要原因。2.4.系统资源占用问题特征库无限制增大对用户的影响也非常明显，首先杀毒软件只要开着，特征库就需要写入内存，定期升级特征库也要耗费不小的流量;杀毒引擎的特征码匹配式查杀、而且是全库匹配造成扫描速度很慢，很多用户因此只在电脑发生问题时才进行扫描，留下不小的安全隐患。2.5.知识产权问题现在国内很多杀毒软件或多或少的盗用了国际上著名杀毒软件的技术，面临着产权纠纷的事件。三、防火墙技术和杀毒软件今后的发展趋势1、防火墙技术今后的发展趋势可以预见，未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。 1.1.高速 从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS (拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。 应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。 实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。 上面提到，为什么防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)呢？说到底还是因为受现有技术的限制。目前，还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。 这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，存储量很大，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。 1.2. 多功能化 多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复