| 出版日期:2003-08-11 总期号:1240 本年期号:59 |
|
 |
识别“劣制”防火墙
晓云 随着网络安全市场的迅速发展,防火墙厂商在过去的几年里也骤然增加了很多,目前在市场上提供防火墙产品的大大小小公司至少有几百家,表面看起来似乎是发展势头一片大好,但当我们对这些厂商的防火墙产品进行了分析后,我不禁对某些产品深感忧虑和疑问: · 对于如此众多的防火墙,它们是否能真正保证用户的安全? · 这样的防火墙能保证我们客户的网络和应用吗? 产生这些疑问的理由很简单,作为网络安全最重要的组成部分之一,防火墙产品的开发难度非常之大,其对技术的要求比一般的软件产品要高得多。不仅需要研发人员了解各种网络底层协议,而且还需要了解各种常用网络应用软件的实现机制,需要考虑到各种复杂网络环境下的系统配置,没有多年的技术积累是很难做到的。 市场上这些防火墙厂商的技术到底如何?笔者早有耳闻,国内有能力自己实现防火墙软件的厂商其实非常少,绝大多数厂商都使用开放源码软件加以改造来进行“包装”:首先,选择Linux或FreeBSD样的操作系统内核;第二步,制作一个管理界面,把许多“自由”软件集中起来;第三步,重新定制、编译内核。核心程序通常是不动的,一般仅限于修改一些编译参数,重要的是要去掉一些多余命令,或者提供一个专用的Shell。尤其在一些新进入到防火墙市场的厂商中,这种情况极其普遍。 一个防火墙“外观” 为了不影响防火墙的正常使用,没有拆开1U的机箱,分析过程只是通过Web管理界面和使用超级终端登录来完成。 外观及硬件 防火墙主机使用1U的机箱,硬件平台依然是x86体系,256兆的物理内存,外部提供三个百兆的接口,和常见的其它防火墙看起来没什么两样。总体上外观看起来还是不错的。这不过是国内做PC的老大又给其PC系列产品增加了一个1U的成员而已,只不过是专用于防火墙罢了。 防火墙管理方式 防火墙提供了基于Web的管理界面和基于串口的命令行管理界面。基于Web的管理允许用户使用两种方式:HTTP方式和HTTPS方式。HTTP方式下,使用周期性地进行一次性口令认证的方式来对管理主机进行确认。而管理信息则使用HTTP协议明文传送。安全产品自身的安全性如何保证? 用户管理界面及主要管理功能 防火墙包含六个子界面:系统配置、安全策略、信息过滤、入侵检测、系统工具、帮助。 · 系统配置界面里只包括一些基本的配置功能,如防火墙IP地址,缺省网关,域名服务器,报警邮箱,独立于防火墙的日志服务器IP地址,多子网定义,高级网关,管理主机IP及基于SSH远程管理主机的IP地址,证书管理(用于HTTPS方式管理)几方面。这些配置项目几乎在市场上主要防火墙产品中都能找到,基本上没有什么比较明显的特色。 · 安全策略配置是防火墙比较重要的功能,该防火墙安全策略里面包含了对代理服务、NAT映射、安全规则、反向NAT、用户认证、地址绑定六部分的配置。代理服务提供了telnet、ftp、smtp、http、https、POP3代理;NAT提供了简单的地址映射界面;反向NAT支持端口映射,用户可以配置一个访问控制列表。地址绑定可配置IP和MAC的绑定关系,用户认证允许用户选择使用本地和远程认证服务器,并提供了一个界面管理防火墙管理员账号。最重要的界面是安全规则,用户可以添加两种安全规则:包过滤规则和透明代理规则。包过滤规则允许用户根据IP地址、端口、协议进行策略设置,策略包含允许、禁止、NAT。在包过滤的方式下支持基于优先级和最大流量的流控功能。透明代理支持FTP、HTTP、Telnet三种应用服务。 · 信息过滤提供了病毒过滤、邮件过滤、URL过滤。病毒过滤支持过滤HTTP、FTP、SMTP数据流;邮件过滤支持对收信人及地址、发信人及其地址、邮件主题、邮件及附件内容进行过滤;URL过滤支持对IP地址或域名列表的过滤(名单必须手工输入)。 · 入侵检测支持对一些常见攻击的检测,用户可以配置一个地址列表,用来指定可以不被检测的地址。 系统提供的工具很少,只有日志查看、系统保存、规则导入、规则导出、模块升级几种。 防火墙的具体分析 该防火墙的功能初看起来似乎不少,但越看笔者越觉疑问多,例如: 1.防火墙作为一种网络边缘设备,对网络通信流量的检测处理必须保证线速,因此,其性能非常重要。再看该款防火墙,硬件使用的是x86平台,处理能力本身就比较有限,又在防火墙上集中了入侵检测、病毒检测、邮件过滤、URL过滤等一系列需要进行特征匹配或高层协议分析处理的功能,其性能可想而知。处理能力不够意味着什么?丢包?自动放弃一些检测功能?系统因过于繁忙而失效?网络因此而中断?每种情况都有可能发生,用户的安全甚至对网络的正常使用都将难以保证! 2.在国家标准中早已经明确规定,安全管理信息应该加密传送,可该款防火墙仍然允许管理信息则用HTTP协议明文传送。这种方式极不安全,入侵者可以通过工具捕捉到全部管理信息,还可以轻而易举地通过给防火墙发送IP地址经过伪装的包含配置命令的数据包对防火墙进行控制。 3.无论从手册还是管理界面,笔者都未找到在哪里进行路由配置。这款防火墙根本就不支持路由!防火墙所连接的不同子网之间进行通信,只能使用NAT方式,或者使用另外的路由器。在各子网都使用真实IP地址进行通信时,它只能作为一个桥接设备来使用。看来路由器的钱用户必须得另外掏腰包了! 4 URL过滤仅支持手工逐项输入过滤名单,不支持自动从文件导入。而一般黑白名单都包含成百上千地址,这种输入法太不方便! 5 报警方面,只提供了邮件报警的方式,如果网络出项故障或邮件服务器出现故障怎么办? …… 发现问题 带着这些疑问,从串口登入防火墙,结合具体管理界面,了解到该款防火墙的下具体实现情况如下: 该防火墙的主要是这样搭建的: 包过滤:使用Linux 2.2.16内核中的ipchains和MASQ等模块实现; 网桥功能:使用Linux 内核中的 bridge (打了补丁以支持链路级过滤)实现; 透明代理:使用的是另外一个开源项目FWTK。FWTK是由TIS(Trusted Information Systems)写的一组防火墙工具软件包; 用户认证:使用FWTK中的认证服务器实现; 入侵检测:功能完全由Snort1.7实现; 地址转换:用linux 内核中的MASQ模块实现; 服务器负载均衡:开源软件Linux VS; 分析到这里,心中不免有些疑问,怎么都是些开源软件的东西,该防火墙的生产厂商自己开发了什么?这样一个PC硬件+开放源码软件所拼凑起来的产品却以几万、甚至十几万、几十万的价格卖给消费者?笔者自己也是一个开源软件爱好者,只是对这样使用这些软件实在不敢苟同。信息安全从大的方面讲关系到国家安危,从小的方面讲,关系到用户的具体经济利益。 
该系统的基本架构图 总而言之,这类防火墙从技术上讲就是给网上的免费的程序作了一个简单的界面,防火墙很重要的技术部门除了免费的还是免费的;这样的防火墙怎么去保护我们用户网上日益复杂的应用? 那么我们如何简单就能识别这些类型的防火墙?其实,这类防火墙有这样几个明显的特点: 1.这类防火墙市场报价一般也不低,但是,一般报价10多万的产品,1~3万就能售出。因为,其中的软件免费,没有技术成本。 2.厂商做防火墙的时间短,一般都从2000年左右开始。防火墙作为重要的安全产品,要作出一个成熟稳定的产品,至少需要5年以上的技术积累。 3.没有一个象样的、专业的帮助文档。 让我们擦亮眼睛,不要让这些所谓的“防火墙”,给蒙骗了。 |
||||||||||||||||||||||||||
