基于弹性闭合原理的章鱼式防火墙体系设计

1、基于弹性闭合原理的章鱼式防火墙体系设计    摘要：为解决传统防火墙的安全问题，对网络防火墙无关性及弹性闭合原理进行研究总结，对防火墙无关性威胁因素进行分析，提出基于弹性闭合结构的章鱼式防火墙体系结构。该防火墙体系架构能对传统防火墙不能全部顾及的防火墙无关性威胁因素提供防护，可以独立的部署在网络的不同部位来分别解决不同的安全问题，通过多个硬件模块的有机协同，从而达到更全面的防护效果。 关键词：弹性闭合原理；章鱼式防火墙；安全防护；攻击模型 中图分类号：TP393.2 文献标识码：A 文章编号：1009-3044（2013）05-1014-03 网络威胁的

2、多元化决定了防火墙在网络防护中的地位只处于局部点或面一级的防护上，单纯依赖防火墙无法构成周密的防护体系。一个复杂网络系统中必须充分考虑其他防火墙无关性因素的威胁。每年大量的网络入侵事例中，没有防火墙保护的被入侵对象是极其罕见的。部署了防火墙后仍然让入侵攻击得逞，除了防火墙本身的性能和配置合理性问题外，一些与防火墙无关的威胁因素是导致入侵攻击得逞的重要原因1。因此，对防火墙无关性因素进行分析研究，能够为安全防护策略的制定提供方向性指导，并将不可预知的风险因素转化为一定的可预见性因素，从而提供策略性指导，进而对防火墙的性能改进和规则制定提供参考意见。 1 弹性闭合结构概述 以安全防护对象为中心，将

3、网络安全威胁的各个方面构成一种环状闭合结构被称为“弹性闭合结构”。随着时间和其他各种条件的变化，这些安全威胁在闭合的环状结构中的比例、影响程度是动态可变的；必须根据这种闭合的环状结构制定相应的安全防护对策并部署安全措施，且根据时间及其它条件的变化而进行弹性适应。因此，网络安全防护不是单纯平面的层次化，而是一个弹性的闭合结构，层次化必须建立在弹性闭合结构基础之上。 传统的防护思想已经渐渐不能适应新的安全问题，为了解决网络安全防护和安全管理方面的不周密问题，提出了弹性闭合结构思想。该思想指出了安全问题中用户个体和群体的安全应用能力在整体安全框架中的重要性，解决了层次化方法下无法实现的周密化和灵活性

4、两大难题。以闭合结构取代传统的层次化结构，可以解决传统层次化结构长期以来无法解决的周密性问题2。根据弹性闭合结构思想对安全防护体系架构进行分析得出的结论表明：直接影响安全防护效果的要素主要反映在“安全环境”和“安全应用能力”两方面。从这两方面考察一个网络安全体系的脆弱性，可以发现在脆弱性因素中安全环境只占一小部分，而安全应用能力则占大部分。结论表明，无论按照什么标准进行层次化划分，如果它们之间的关系是纵向层叠的而不是横向连接封闭的，就不是周密的，即不安全的。按“木桶理论”来衡量，传统的层次化结构解决的只是木桶的短板问题，没有考虑木桶板块缺失的问题，而弹性闭合结构则首先保证木桶理论中的周密性（不

5、会留下空缺的板），然后才是对构成弹性闭合结构状态下的各个因素的层次化考察（即板的长短）。从这种简单的木桶原理即可看出改进的弹性闭合结构的优点是显而易见的3。 2 防火墙无关性攻击模型 防火墙无关性，是指在通用的防火墙功能和防护范围的基础上，防火墙因部署方式、工作模式等方面而形成的安全防护死角，这些超出防火墙功能和性能之外因素的总和即防火墙无关性因素。防火墙无关性的入侵攻击是指因防火墙的部署、功能、性能等因素而导致的潜在安全威胁。既包括边界防火墙防御能力之外的各种入侵攻击，同时也包含部分本地防火墙防御能力之外的入侵攻击。这些攻击以看似正常的访问方式进入系统，防火墙无法按访问规则明确区分入侵攻击与

6、正常访问，从而导致典型网络环境下入侵攻击的成功机率极大地提高。 在图1模型中，传统防火墙能够阻挡一部分基于网络层的攻击，但仍然有部分溢出、注入以及操作错误等导致的攻击可以成功进入系统和数据/应用。防火墙无关性安全威胁因素可以按照多种标准进行分类，传统漏洞检测系统的体系结构从逻辑上可分为集中式、层次式和分布式三种，但无论是哪种方式，都是从漏洞威胁的检测本身入手来考察的4。而事实上考察一个系统的安全性并不能单纯地从漏洞威胁本身进行考察，因此这里提出三层逻辑化防火墙无关性攻击模型结构。防火墙无关性攻击来源可分为来自外部和来自内部两大类别。外部的攻击主要是利用防火墙的盲区、弱点来进行的。而来自内部的攻

7、击，主要包括用户或管理员的滥用、误用、人为漏洞等，内部攻击与外部攻击相比更具危险性。这内外两大攻击类别中，还存在一个时间因素，即在某个特定时间段内，其中一个类别的威胁占据更多的比例。因此，来自外部和来自内部的两类攻击中哪一部分对系统安全影响更为严重的结论不能给出，实际结论是在特定时期、特定环境下二者的威胁严重性会存在一定幅度的动态改变。 3 防火墙无关性威胁因素 防火墙无关性因素有以下几大类型：入侵检测回避、针对服务器和操作系统的入侵攻击、针对应用和数据的入侵攻击、用户和管理的错误与缺陷、来自内部的攻击、跳板攻击5。 3.1入侵检测回避 入侵攻击的防火墙无关性在所有攻击类型上有一个共同表现，这

8、就是入侵检测回避。攻击者根据防火墙的工作原理，采取一切的可能手段，来绕过或欺骗防火墙的检测，从而实现成功的入侵攻击。其中，网络层和应用层是最容易被攻击者采取回避措施的部位。攻击者可以采取伪造数据包、盗用MAC或IP地址、DNS欺骗、添加垃圾干扰信息等手段来实现避开防火墙系统检查的目的。 3.2 针对服务器和操作系统的入侵攻击 在运行多套虚拟机的服务器环境中，虚拟机与主机之间的信任关系和管理模式配置不当所造成的安全部署的弱点很可能被充当跳板来对其它系统进行攻击。由于操作系统最新漏洞的不确定性，以及管理员安全部署实施的迟滞，这类入侵攻击是传统防火墙难以阻挡的。尽管部分硬件防火墙具备了一定的IPS能

9、力，但由于高带宽、高流量的巨大压力，较深层次的应用层检测在目前技术条件下几乎无法实现，直接导致了防火墙在针对新型漏洞方面的继发性缺陷。 3.3 针对应用和数据的入侵攻击 针对应用和数据的入侵攻击中，最典型的就是针对数据库的注入式攻击、对应用系统数据库的窥探和下载获取。应用的复杂性导致了其安全的不确定性，而在客观上，又无法杜绝应用上的代码漏洞以及由代码和配置的漏洞导致的数据库被偷窥。因此，针对应用和数据的攻击在某种程度上是有可能被预见的但却难以被具体预见的。 3.4 用户和管理的错误与缺陷 用户操作错误带来的不确定性的安全负面因素同样显而易见，比如弱口令或口令更新周期过短、管理权限滥用、其它不可

10、预见的操作失误等，都可能导致入侵攻击的成功。与用户相关的，管理缺陷也是防火墙无关性重要因素之一。很多网络系统在开始规划时都很难预见到加固防御体系的所有方面；或者由于投入或人员的客观限制而无法让安全措施接近理想化；或者内部缺乏严格而科学的管理制度，使得设备及人员都无法发挥到最佳效能。 3.5 来自内部的攻击 来自内部的攻击也属于与用户和管理相关、但可能与边界防火墙无关的攻击。专业防火墙在安全部署规划中通常被部署在边界或主要的网络节点，而不可能实行广泛的分布式部署，因此总有一定数量的主机不通过防火墙来进行内部访问。这种内部的入侵攻击也是防火墙无关性因素之一。主要表现为：管理员身份的泄密和不当委托、

11、应用平台的其他验证措施不严密、应用程序本身的缺陷导致的账户跨权限操作、操作系统的最新漏洞出现、利用无线接入的便利而进行网络渗透等。 3.6 跳板攻击 跳板攻击是来自内部的一种特殊的攻击情形。网络内部的主机之间可能存在级别相对比较高的信任关系，当外部入侵者企图入侵某台主机时，可以不直接对该目标主机发起攻击，而是先取得其内部网络中其它某些特定主机的控制权，以此为跳板进行攻击。 4 章鱼式防火墙体系设计 本文涉及的防火墙为广义的防火墙概念，具体可包括狭义上的边界防火墙、入侵检测以及各种系统的本地防火墙等。在实际应用中存在大量的与传统防火墙功能/性能无关的因素，单一的防火墙产品已经完全不能满足日益严峻

12、的安全防护的需要，取而代之的必须是一个综合化、关联化、立体化的防火墙体系。 从分立式的防火墙系统过渡到综合化的防火墙体系，是解决当前大量防火墙无关性安全威胁因素的必由之路6。这里提出一种适用于多接入点网络的集群防火墙系统方案，方案中设计的章鱼式防火墙体现结构见图2。该集群防火墙系统以分布式的方式执行统一的网络安全策略，减少网络查询管理信息发布的数量和次数，降低网络失效的风险，实现网络流量平衡，降低单个网络节点的负载强度。防火墙各模块在独立工作的同时又接受系统的统一协调，使其真正能够统一地置于组织的整体运行策略之下，从而提高防火墙系统的可管理性，并可为网络安全审计和管理提供多种数据。 在章鱼式防

13、火墙体系架构中，不再采用传统的一台台独立的防火墙硬件，而代之以管理控制中心为网络中心节点的一套综合体系，其软硬件部分无论是功能模块、还是硬件系统，都进行分布式部署，管理上又都接受管理控制中心的统一管理。管理控制中心就仿佛是章鱼的大脑，每个组成模块就仿佛章鱼的触手，虽然其功能和部署方式相对独立，但都受控于管理控制中心。章鱼式防火墙体系架构与已经应用的多功能防火墙系统有所不同，多功能防火墙系统是不同功能的安全产品高度集成在一台硬件平台上，而章鱼式防火墙体系架构不但功能多样化，能够针对传统防火墙所无法全部顾及的防火墙无关性威胁因素分别一一提供防护模块，而且还可以将每个模块相对独立地部署，它们可以针对

14、不同的安全问题被部署在网络的不同部位，通过多个硬件模块的有机协同，实现理论上安全周密的防护效果。 章鱼式防火墙体系架构按功能可粗略划分为网络层防护和应用层防护。网络层防护功能包括：深度入侵检测功能、压力分摊与分流功能、分布式响应功能。深度入侵检测用于解决传统防火墙在入侵回避等行为下的盲区问题；压力分摊与分流用于解决Dos/DDos攻击问题，采用专门硬件设计来分担Dos/DDos攻击时对服务器带来的巨大压力；分布式响应功能可将控制响应模块部署在防火墙不同物理位置，能够接受管理控制中心的统一指令而对各自负责的区域采取适当的响应动作。应用层防护功能包括：系统/应用的漏洞自动防护、数据库防护、协议分类

15、检测及处理。系统/应用的漏洞自动防护是指针对应用层攻击的特征采取自动补丁、自动阻止可疑行为的响应；数据库防护是指专门针对数据库攻击的特征而进行的应用层攻击特征分析，针对数据库服务器进行部署；协议分类检测与处理是指对应用层数据包重组后，根据协议类型进行分组，然后反馈给管理控制中心进行分类处理7。 章鱼式防火墙体系架构要求防火墙设计者必须从传统的单一功能的防火墙硬件产品的框架中跳出来，从系统的角度来进行产品的系列设计，并设计一个统一管理控制中心来进行统一管理。目前很多网络安全设备产品都己经具备了章鱼式防火墙体系架构中的上述功能模块，只是没有把它们按照统一、统筹的方法形成一个严谨的防火墙体系。 5

16、结束语 防火墙无关性攻击威胁因素相互之间是有联系的，分析防火墙无关性因素的意义在于让决策者在进行安全规划时，从全局而非片面的技术措施上来把握网络的安全。在安全策略具体实施上，可以采取多代理分布式入侵检测技术，以求最大限度地消除防火墙无关性入侵攻击因素。对于网络管理者而言，章鱼式防火墙体系架构对现有的安全产品的部署同样具有指导性意义。作为网络的规划者和管理者，只有充分明确了防火墙无关性威胁因素，才能对自己的网络进行量体裁衣式的整体安全部署，从网络结构、软硬件投入比例、管理制度、人员培训等方面综合考虑，实现比只注重防火墙类防护措施要安全得多的安全环境。 参考文献： 1 宿洁，袁军鹏.防火墙技术及其进展J.计算机工程与应用，2004，40（9）：147-149，160. 2 郝文江.基于防火墙技术的网络安全防护 J.通信技术，2007，15（7）：24-26. 3 范国闯，朱寰，黄涛，等.Web应用服务器自适应