防火墙设计中的一些重点问题(2)

 　　事实上，Linux只是一个通用操作系统，它并没有针对防火墙功能做什么优化，而且其处理大数据量通信方面的能力一直并不突出，甚至比较低下（这也是 Linux一直只是低端服务器的宠儿的重要原因，我自己认为，在这一点上它还不如BSD系列，据说国外有用BSD做防火墙的，国内尚未见到）。现在绝大部分厂家，甚至包括号称国内最大的天融信，在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动（绝大部分还是没有什么改动）和少量的系统补丁。而且我们在分析各厂家产品时可以注意这一点，如果哪个厂家对系统本身做了什么大的改动，它肯定会把这个视为一个重要的卖点，大吹特吹，遗憾的是似乎还没有什么厂家有能力去做宣传（天融信似乎有一个类似于checkpoint的功能：开放式的安全应用接口 TOPSEC，但它究竟做了多少工作，还需要去仔细了解）。

　　目前国内厂家也已经认识到这个问题，有些在做一些底层的工作，但有明显成效的，似乎还没有。

　　在此我们仅针对以Linux（或其他通用操作系统）为基础的、以PC架构为硬件载体的防火墙做讨论，以下如不特别提出，均同。

　　2．内核和防火墙设计

　　现在有一种商业卖点，即所谓“建立在安全操作系统之上的第四代防火墙”（关于防火墙分代的问题，目前有很多讨论，比较一致的是把包过滤防火墙称为第一代防火墙，把应用型防火墙（一般结合了包过滤功能，因此也成为混合型防火墙）称为第二代防火墙，有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙，更有甚者在此基础上提出了采用安全操作系统的防火墙，并把这个称为第四代防火墙）。所谓安全操作系统，其实大多用的还是Linux，所不同的是需要做一些内核加固和简单改造的工作，主要有以下： 取消危险的系统调用，或者截获系统调用，稍加改动（如加载一些llkm）；

　　限制命令执行权限；

　　取消IP转发功能；

　　检查每个分组的接口；

　　采用随机连接序号；

　　驻留分组过滤模块；

　　取消动态路由功能；

　　采用多个安全内核（这个只见有人提出，但未见到实例，对此不是很清楚）。

　　以上诸多工作，其实基本上都没有对内核源码做太大改动，因此从个人角度来看算不上可以太夸大的地方。