中国移动防火墙产品技术要求(讨论稿)中国移动通信集团公司研发中心2002 年 9 月目录1、防火墙产品综述 (3)1.2、产品体系结构分析 (4)1.2.1、总体类别分析 (4)1.2.2、基于工作机制的体系结构分析 (4)1.2.3、基于硬件实现的体系结构分析 (7)1.2.4、比较分析与相关结论 (8)2、防火墙产品功能需求 (9)2.1、设备物理特性 (9)2.2、基本网络级功能 (9)2.2.1、链路层(Layer2)功能 (9)2.2.2、网络层(Layer3)功能 (10)2.3、基本管理工具与界面 (10)2.4、网络地址转换（NETWORK ADDRESS TRANSLATION） (11)2.5、日志和报告功能 (11)2.6、内容安全功能 (12)2.7、认证功能 (12)2.8、服务类型支持能力 (12)2.9、对DOS/DDOS攻击的防御功能 (15)2.10、系统高可靠性（HA）实现 (15)2.11、与其它安全系统集成与联动功能 (15)2.12、带宽管理功能 (16)3、防火墙产品性能需求 (16)3.1、吞吐量（Throughput） (16)3.2、丢包率（Frame Lose Rate） (16)3.3、时延（Latency） (16)3.4、连接/会话指标 (16)3.4.1、并发连接数（Concurrent Session Number） (16)3.4.2、连接建立速度（New Session Rate） (17)3.5、缓存能力（Back to Back） (17)3.6、有效通过率（GoodPUT） (17)1、防火墙产品综述防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。

在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。

防火墙是一个系统，主要用来执行两个网络之间的访问控制策略。

它可为各类企业网络提供必要的访问控制，但又不造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护企业的关键资源。

在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。

通常一个公司在购买网络安全设备时，总是把防火墙放在首位。

目前，防火墙已经成为世界上用得最多的网络安全产品之一。

防火墙是一种综合性的技术，涉及到计算机网络技术。

密码技术、安全技术、软件技术、安全协议、网络标准化组织（ISO）的安全规范以及安全操作系统等多方面。

防火墙并不是真正的墙，它是一类防范措施的总称，是一种有效的网络安全模型，是机构总体安全策略的一部分。

它阻挡的是对内、对外的非法访问和不安全数据的传递。

在因特网上，通过它隔离风险区域（即Internet或有一定风险的网络）与安全区域（内部网）的连接，能够增强内部网络的安全性。

防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。

新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。

通常应用防火墙的目的有以下几方面：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。

1.2、产品体系结构分析1.2.1、总体类别分析防火墙产品体系结构的类别划分可以从两个不同的角度来进行：•从工作机制角度从防火墙产品的工作机制角度，其体系结构主要可以分为三类：包过滤型防火墙、应用代理型防火墙和状态检测型防火墙。

•从产品硬件实现角度从防火墙产品的硬件实现角度，其体系结构主要可以分为三类：基于通用服务器平台、基于ASIC技术的专用硬件平台、分布式基于交换加速技术的硬件平台下面，分别对两种不同类别划分标准及相关类别的技术框架进行分析。

1.2.2、基于工作机制的体系结构分析一、包过滤型防火墙包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。

通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

包过滤型防火墙的工作原理如下图所示：图1、包过滤型防火墙工作原理分组过滤或包过滤，是一种通用、廉价、有效的安全手段。

包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。

但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。

二、应用代理型防火墙代理防火墙也叫应用层网关（Application Gateway）防火墙。

这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。

从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。

这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。

它的核心技术就是代理服务器技术。

所谓代理服务器，是指代表客户处理在服务器连接请求的程序。

当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。

代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。

应用代理型防火墙的工作原理如下图所示：图2、应用代理型防火墙工作原理应用代理型防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。

所幸的是，目前用户接入Internet的速度一般都远低于这个数字。

在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。

三、状态检测型防火墙状态检测（Stateful Inspection）技术是防火墙近几年才应用的新技术。

传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。

这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

状态检测型防火墙的工作原理如下图所示：动态图3、状态检测型防火墙工作原理先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态，包括：•通信信息：即所有7层协议的当前信息。

防火墙的检测模块位于操作系统的内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。

防火墙先在低协议层上检查数据包是否满足企业的安全策略，对于满足的数据包，再从更高协议层上进行分析。

它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志，因此具有更全面的安全性。

•通信状态：即以前的通信信息。

举例来讲，对于简单的包过滤防火墙，如果要允许FTP通过，就必须作出让步而打开许多端口，这样就降低了安全性。

状态检测防火墙在状态表中保存以前的通信信息，记录从受保护网络发出的数据包的状态信息，例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口，然后，防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。

这里，对于UDP或者RPC等无连接的协议，检测模块可创建虚会话信息用来进行跟踪。

•应用状态：即其他相关应用的信息。

状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用，它比代理服务器支持的协议和应用要多得多；并且，它能从应用程序中收集状态信息存入状态表中，以供其他应用或协议做检测策略。

例如，已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。

•操作信息：即在数据包中能执行逻辑或数学运算的信息。

状态监测技术，采用强大的面向对象的方法，基于通信信息、通信状态、应用状态等多方面因素，利用灵活的表达式形式，结合安全规则、应用识别知识、状态关联信息以及通信数据，构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。

1.2.3、基于硬件实现的体系结构分析防火墙产品从硬件实现角度也可以大体分为三类不同的体系结构，依次经历了以下不同阶段的技术演进：在第一代防火墙中，需要在工作站或服务器上运行的专用操作系统中部署防火墙软件。

这种完全基于通用服务器的防火墙解决方案存在一定的问题，如操作系统的安全性漏洞及低劣的性能都要求进行演进。

第2代防火墙基于ASIC芯片技术，在性能上较之第1代防火墙有明显提升，克服了基于服务器的防火墙解决方案的一些缺点。

后来，越来越多的以Web交换机为负载平衡器实现扩展防火墙工具成了主要的防火墙解决方案。

然而，即使使用防火墙负载平衡功能，这种第2代体系结构在扩展到一定性能级别以上时也会变得无法管理；同时，第2代防火墙在安全功能的支持程度上往往较第1代防火墙差。

现在，第3代交换防火墙体系结构继承了第2代防火墙的简便性，同时增加了可扩展性、可管理性和交换性能--从而可以满足高性能IT数据中心的主要要求。

第3代防火墙突破性的基于硬件交换原理的加速结构将带来一种防火墙工作模式的变化，这种变化正如第3层交换功能刚推出时一样。

第3层交换为LAN路由带来了高性能，同样，交换防火墙也将同样提高外围安全性性能。

同时，为最大限度地提高系统性能，第3代防火墙往往采用分布式处理的体系结构；另外，第3代防火墙系统集成了负载分担的特性，充分保证了系统的未来扩展性；最后，为克服第2代防火墙在功能性上的不足，第3代防火墙往往与强大的防火墙软件系统进行全面的整合。

1.2.4、比较分析与相关结论根据上面对各个防火墙类别的分析与归纳总结，可以得出以下相关的类别特性对照表。