防火墙技术(精选十篇)
防火墙技术 篇1
关键词:防火墙,防火墙技术原理,网络安全
1 引言
互联网络技术的发展和使用的迅速普及给我们的工作、学习和生活带来了巨大的改变,特别是我们获得外部信息,共享资源不再受到时间和空间的约束。但随着网络技术的发展,因特网的资源共享与开放模式,使得网络安全问题日益突出。因而,网络的安全成为人们最为关注的问题。在各种网络安全工具中,最成熟、最早产品化的网络安全机制就是防火墙技术。
2 防火墙概述
2.1 什么是防火墙技术
防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义。防火墙的英文名为“Fire Wall”,它是目前一种最重要的网络防护设备。从专业角度讲,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。(一般防火墙示意图如图1所示)
2.2 防火墙技术原理
防火墙实质上是一种隔离控制技术,其核心思想是在安全的网络环境下构造一种相对安全的内部网络环境。从逻辑上讲它既是一个分析器又是一个限制器,它要求所有进出网络的数据流都必须有安全策略和计划的确认和授权,并将内外网络在逻辑上分离。防火墙可以是纯硬件的,也可以是纯软件的,还可以是软、硬件兼而有之。
2.2.1 包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。(包过滤防火墙工作原理图如图2所示)
2.2.2 应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(应用网关防火墙工作原理图如图3所示)
2.2.3 状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(状态检测防火墙工作原理图如图4所示)
2.2.4 复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
2.3 防火墙功能
2.3.1 防火墙可以作为网络安全策略的焦点
把防火墙作为网络通信的阻塞点,所有进出网络的信息都必须通过这个唯一的阻塞点。防火墙为网络安全起到了把关的作用,它让我们把安全防范集中在内外网络连接的阻塞点上。
2.3.2 防火墙可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
2.3.3 防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
2.4 防火墙技术的发展
传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着网络安全的发展,防火墙技术也得到了发展,综观防火墙产品近年内的发展,可将其分为四个阶段。
第一代防火墙:基于路由器的防火墙。由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第二代防火墙:用户化的防火墙。这一阶段的防火墙技术主要特征是:将过滤功能从路由器中独立出来,并加上审计和告警功能;针对用户需求,提供模块化的软件包;软件可通过网络发送,用户可自己动手构造防火墙。与第一代防火墙相比,安全性提高而价格降低了。
第三代防火墙:建立在通用操作系统上的防火墙。基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛使用的就是这一代产品。它以纯软件实现的,也有以硬件方式实现的。但随着安全需求的变化和使用时间的推延,仍表现出不少问题。
第四代防火墙:具有安全操作系统的防火墙。这是目前防火墙产品的主要发展趋势。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性。
3 防火墙在网络安全中的应用
随着计算机网络在我国的迅速发展,特别是与国际计算机网络互连之后,网络系统的安全问题越来越受到重视。防火墙是为保护计算机系统安全运行而常常采用的一种技术措施,在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。主要目的是保护一个网络不受来自另一个网络的攻击。通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全。
对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。不同的防火墙侧重点不同。从某种意义上来说,防火墙实际上代表了一个网络的访问原则。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的放行,不符合的拒之门外。防火墙是用来实现网络安全措施的主要设备。在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。
4 结束语
网络安全技术是一个十分复杂的系统工程。随着Internet的迅猛发展和网络攻击手段的不断变化,防火墙技术值得研究的课题仍很多,如防火墙怎样减少对网络的影响、能否设计出开放的与软、硬件无关的防火墙产品,怎样对防火墙产品进行危险评估等。防火墙技术将随着网络技术的发展而发展,更好地防护网络的安全。
参考文献
[1]刘彦保.防火墙技术及其在网络安全中的应用[J].安教育学院学报,2006,19[2].
[2]梅杰,许榕生.Internet防火墙技术最新发展[J].微电脑世界,1990,[6].
[3]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.
[4]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004,40[9]:147-149.
[5]魏洪波,王海燕.基于Internet的防火墙原理及设计[J].中国数据通信,2002,[8]:8-11.
防火墙技术报告 篇2
防火墙技术浅谈
班 级:
11计算机科学与技术3班
学 号:
2011404010306
姓 名: 王 志 成 分 数:
2013年12月12日
防火墙技术浅谈
摘要:随着计算机网络的发展,全球上网的人数在不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随之不断扩大。然而,因特网的迅猛发展在给人们的生活带来了极大方便的同时,因特网本身也正遭遇着前所未有的威胁。所以,网络的安全问题也越来越成为人们现在考虑的十分重视的问题。
本文主要介绍讨论了防火墙的定义、特点、基本功能,数据包头分析后与过滤规则的匹配、对数据包的拒绝和日志数据库的存储。关键词:防火墙技术 数据包过滤 数据库
引言
网络的安全问题正越来越成为人们现在十分重视的问题。如何使用有效、可行的方法使网络危险降到人们可接受的范围之内已越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估也是很有必要的。防火墙技术作为时下比较成熟的一 种技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统的安全等级;其中,对网络安全的威胁表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰正常运行,利用网络传播病毒,线路窃听等方面,实现对目标网络的网络安全风险评估以及对风险的防范,为提高系统的安全性提供科学依据。
1.防火墙概述
1.1防火墙的定义
所谓“防火墙”,是在两个网络之间执行说控制策略的一个或一组系统,包括硬伯和软件,目的是保护网络不被他人侵扰。它是一种将内部网和公众访问网(如Internet)分开的
封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
(2)防火墙的基本功能
防火墙能够强化安全策略
因为因特网上每天都有上百万人浏览信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。 防火墙能有效地记录因特网上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙记录着被保护的网络和外部网络之间进行的所有事件。
防火墙限制暴露用户点
防火墙驹用来隔开网络中的一个网段与另一个网段。这样,就能够有效控制影响一个网段的问题通过整个网络传播。
防火墙是一个安全策略的检查站
所有进出网络的信息都必须通过防火墙,防火墙便成为一个安全检查点,使可疑的访问被拒绝于门外。
1.3.防火墙的体系结构
目前,防火墙的体系结构一般有3种:双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构。
(1)双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络向另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信,同时防火墙
分布式防火墙的优势:
(1)增强了系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。(4)实施主机策略:对网络中的各节点可以起到更安全的防护。(5)应用更为广泛,支持VPN通信。
3.数据包过滤处理原理分析
防火墙技术其实是基于对工作在网络层中的数据包的过滤,数据包的过滤原理要遵揗一些过滤规则:(1)过滤规则
本系统采用的默认过滤规则是:默认接收所有的进入、外出和转发数据包;接收所有本地环路接口上的进出包。当要有选择地接收数据包时,本地的过滤规则需要进行相应的设置。比如:现在要拒绝IP地址为192.168.0.161(局域网内的一主机的IP地址)的主机与本地主机通信,在用户相应的选项卡中,填上这一I地址就是表示拒绝此IP地址主机向本机发出的所有数据包,这就是数据包的IP 过滤功能。
当然也要实现端口的过滤功能。比如:想禁止某一服务的业务功能,就可以在相应的IP 号下同时设置端口号,就是表示对任一用户的这一服务被禁止。其实,这只能对某一些常用的端口号进行过滤,如:对HTTP(端口80)进行过滤,就是禁止外部用户通过防火墙访问内部HTTP 服务器;对FTP(端口20,21)进行过滤,就是禁止外部主机通过防火墙访问内部FTP服务器。
数据处理模块用到的过滤规则将在用户界面中直接对规则数据库操作进而来设置要过滤的规则,而数据处理模块则从数据库中直接调用。因此,过滤规则是在数据库中定义,由用户在数据库操作界面上输入的,供底层应用程序调用。
外部命令,在C语言中可以用execlp()这一函数来执行外部命令。(4)存入日志数据库
对数据包头分析处理后,可以得到此IP访问的源IP地址、目的IP 地址、端口以及被拒绝通过的情况。数据库的连接与上文所说的一样,因此,此处存入的是被拒绝的数据包头信息。
5.结束语
防火墙技术作为目前用来实现网络安全措施的一种用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源的主要手段。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
参考文献:
浅析防火墙技术 篇3
【关键词】防火墙;网络安全;网络技术
为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术。防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解决方案,可以有效地控制个人电脑用户信息在互联网上的收发。
用户可以根据自己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击而且防火墙能够实时记录其它系统试图对本机系统的访问,使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是,它只由用户标识和口令构成。但是,如果防火墙是通过Internet可访问的,应推荐用户使用更强的认证机制。
当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当Internet用户企图访问你网络上的资源时,首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到Internet上的,其上面的所有信息都暴露在公网之上。这种高度地暴露规定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好强制阻止进入。同样地,堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指定的规则。它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。
当构造防火墙设备时,经常要遵循下面两个主要的概念。第一,保持设计的简单性。第二,要计划好一旦防火墙被渗透应该怎么办。
保持设计的简单性。一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件,无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。”
从技术讲,计算机安全分为3种:
1.实体的安全。它保证硬件和软件本身的安全。
2.运行环境的安全性。它保证计算机能在良好的环境里持续工作。
3.信息的安全性。它保障信息不会被非法阅读、修改和泄漏。
随着网络的发展,计算机的安全问题也延伸到了计算机网络。 面对这一系列的安全性问题的解决,我们就要采用防火墙来进行抵御。然而最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置方案。
1.双宿主机网关(Dual Homed Gateway)
这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络
2.屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。
双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。
3.屏蔽子网(Screened Subnet)
这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”,两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。
不论从功能还是从性能来讲,防火墙产品的演进并不会放慢速度,反而产品的丰富程度和推出速度会不断的加快,这也反映了安全需求不断上升的一种趋势,而相对于产品本身某个方面的演进,更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布,这些变化不仅仅关系到某个环境的某个产品的应用情况,更关系到信息安全领域的未来。
参考文献
[1]石志国,薛为民,尹浩.计算机网络安全教程[M].北京:清华大学出版社,2011.
[2]石志国,薛为民,尹浩.计算机网络安全教程实验指导[M].北京:清华大学出版社,2011.
浅析防火墙技术 篇4
1.1 防火墙的概念
防火墙的主要功能是隔离内部与外部网络, 保护内部网络不受外部网络的恶意入侵, 其主要方法是扫描与分析进入内部网络的流量数据包, 对其中的恶意、非授权访问进行过滤, 从而提升内部网络的安全性。
1.2 防火墙的功能
防火墙的主要功能有以下几项:对出、入内网的数据按照预设的安全策略进行过滤处理;对出、入网络的操作与行为实行安全管控;对通过防火墙的数据与操作进行记录;对不安全的网络服务进行屏蔽处理;对网络攻击进行检测和告警。除上述功能外, 防火墙也有诸如身份认证、网络地址转换NAT和虚拟专用网VPN、流量分析与日志审计等高级功能。
1.3 防火墙的安全策略
防火墙安全策略的主要作用是防止网络重要敏感资源的非法访问。防火墙的整体安全策略主要包括用户账号策略、用户权限策略、信任关系策略、包过滤策略、认证签名与数字加密策略、密钥分配策略、审计策略等内容。研制与开发防火墙的第一步工作就是设计完善的防火墙安全策略。
2 防火墙的主要技术
2.1 包过滤技术
包过滤技术是最常用的防火墙技术。包过滤防火墙的工作原理是根据网络实际需要设置防火墙的过滤准则, 对出、入网络的数据包实施有选择的通过, 只有满足预设准则的数据才能由网络出口路由器转发, 不满足准则的数据包则被防火墙自动过滤。包过滤技术的关键模块是数据包检查模块。数据包检查模块应与操作系统的核心密切相关, 这样才能使拦截数据包的操作发生在操作系统或路由器转发数据包之前。数据包检查模块的检测对象主要包括IP头和TCP头。
包过滤技术的实现较为简单, 并且成本也比较低, 适应用网络环境较为简单的情况。包过滤技术能够以较小的代价保证内部网络的安全, 并且具备较强的传输性能, 扩展性也比较好。由于包过滤防火墙只对进出网络的数据包进行检测, 因此与发送数据包的具体应用程序无关, 所以对客户端程序无须做任何改动就可以实现对用户的透明性。包过滤技术虽然简单实用, 但也存在较大的局限性, 它只能在IP层和TCP层对数据包的端口号、源地址与目标地址、协议类型等信息进行检测和过滤, 对于应用层的数据则无法过滤。此外, 包过滤技术只能识别外部IP伪装成内部IP, 而对外部IP伪装其它合法的外部IP则无能为力, 所以比较容易遭受IP欺骗攻击。
2.2 应用代理技术
应用代理技术的工作层次比包过滤技术高, 工作机理也完全不同。包过滤技术主要是拦截IP层的信息流, 而应用代理技术是针对应用层实现防火墙的功能。简而言之, 应用代理技术对每一个具体、特定的应用都建立一个特殊的服务程序, 这个服务程序就是所说的代理。代理具有状态性, 它能提供一些有传输相关的状态, 本质上代理就是一个应用层上的网关, 要维护客户端与服务器的连接。
应用代理技术能够有效检测出针对应用层的病毒和入侵, 它使得网络管理员能够实现比包过滤防火墙更严格的安全策略, 对网络服务进行全面的控制, 因而应用代理防火墙的安全性较高。但应用代理技术也有一些不足, 首先应用代理技术影响了网络传输的整体性能, 其次由于必须针对客户机上的所有应用类型都要建立一个代理程序, 使得系统的复杂性大增, 因为如果某种应用程序没有对应的代理服务, 那么该应用所发过的数据包就不能通过防火墙来转发。
2.3 状态检测技术
状态检测技术也可以看成一种动态的包过滤技术, 它的主要功能模块就是状态检测模块, 该模块采用抽取相关数据的方法来检测正在通信的网络的各个层次, 这里所说的部分信息就是状态信息, 状态信息被动态的记录下来作为制定安全策略的参考。状态检测技术从实质上讲是利用一种状态检测机制, 这种机制是基于连接的, 并对每个会话进行检测, 检测的数据流是包含了属于同一连接的所有数据包, 并以此建立连接状态表。在对表中的各个连接因素加以识别时, 需要配合使用事先预制的规则表, 并且表中的记录排列顺序可以随意排列以提高系统的传输效率。状态检测的机制是在用户访问到达边界网关的操作系统之前就要对所抽取的状态信息进行采集与分析, 并且结合当前网络的安全策略做出决定, 包括接纳、拒绝、鉴定等操作, 如果该用户访问不符合网络安全策略的规定, 内置的安全报警模块就会拒绝该访问并记录下来, 同时向系统管理器回报当前网络状态。
3 防火墙的体系结构
3.1 多重宿主主机结构
多重宿主主机结构的主要思想一台主机、多个接口, 多个接口就是两个或更多的网络接口, 用以连接内部网络和多个外部网络, 一台主机是指装有多个网络接口的计算机充当内部网络和多个外部网络之间的转发路由器, 使得数据包可以从一个网络传输到其它网络。多重宿主主机结构并不是简单的转发, 可以通过设置相应的安全策略禁止数据包由外部网络直接发送至内部网络, 必须由多重宿主主机进行过滤和控制, 以确保内部网络的安全性。
3.2 屏蔽主机结构
屏蔽主机结构的主要思想是路由器与堡垒主机的联合使用, 在这种体系结构中, 路由器主要是防止外部访问直接绕过代理服务器与内部网络相连, 并且对出、入内部网络的数据包进行过滤以提供安全。屏蔽主机结构中的关键是堡垒主机, 该主机只与内部网络相连, 外部网络只有通过该堡垒主机才能与内部网络相连, 这样就保证了内部网络的独立与安全性。由于堡垒主机是内、外网络连接的关键节点, 因此它的安全等级必须要高, 否则无法确保内部网络的安全。
3.3 屏蔽子网结构
屏蔽子网结构是屏蔽主机结构的升级, 主要是要屏蔽主机结构中增加额外的安全层, 即通过增加附加周边网来进一步的隔离内部网络和外部网络, 这种结构最简单的体系结构如下:采用两个屏蔽路由器, 都连接到所附加的周边网上, 其中一个路由器用于连接周边网与内部网络, 另一个路由器用于连接周边网和外部网络, 这样周边网就成了内部网络与外部网络之间的一个隔离带, 也称之为非军事化区DMZ。可以根据实际需要在这种结构中安装堡垒主机, 为外网和内网之间的连接提供代理。一般来说, 如WWW、FTP、EMAIL等因特网服务器也可以安装在屏蔽子网内, 这样可以方便内、外网用户的访问, 而对外网的入侵者来说, 入侵则必须经过两个路由器和堡垒主机, 困难很大。采用这种结构的防火墙系统的安全性能较高, 抗攻击的能力也比较强, 目前已经成为主流的防火墙体系结构, 不过它需要的设备较多, 并且成本不低, 适用于密级较高的内部网络使用。
4 下一代防火墙技术的发展趋势
4.1 多核并行处理
传统的串行扫描, 数据流量大时造成网络时延增大、拥堵、丢包, 利用多核并行处理技术可实现对安全业务的无锁并行处理, 在大幅提升防火墙性能的同时, 又能够适应应用层业务多变的特点。
4.2 面向应用
目前超过90%的网络应用运行于HTTP协议的80和443端口, 大量应用软件可以进行端口复用和IP地址修改。传统防火墙赖以生存的IP地址和端口检测对此难以防范, 因此要大力发展面向应用的检测技术, 以便根据应用的行为和特征实现对应用的识别和控制, 而不仅仅依赖于端口或协议。
4.3 智能防御
对于一些应用层的攻击和病毒, 例如拒绝服务攻击、蠕虫病毒传播、垃圾电子邮件等问题, 传统防火墙技术是无能为力的, 这就需要发展智能防御。智能防御是指应用人工智能学科的方法, 如利用统计、记忆、智能决策等算法识别应用层数据, 发现非法行为的特征值, 从而实现访问控制。
参考文献
[1]斯特拉斯伯格.防火墙技术大全[M].机械工业出版社, 2006.
[2]谢琳.防火墙策略与VPN配置[M].中国水利水电出版社, 2008.
[3]卡拉西克.享姆.防火墙核心技术精解[M].中国水利水电出版社, 2005.
防火墙技术论文 篇5
1.1 数据威胁
数据是构成网络信息的主体也是网络安全需要保护的对象, 数据运行中存在的漏洞被发现并研究, 开发利用漏洞进行针对性破坏的漏洞, 以植入木马、病毒、脚本的形式对计算机数据进行窃取、破坏、修改, 严重的可造成计算机系统瘫痪, 影响政府和企业服务器正常运行或泄露个人电脑用户隐私和造成财产损失。
1.2 外力破坏
外力破坏主要以刻意利用木马、病毒攻击计算机, 其次以利用网站病毒、邮件病毒的方式。由于用户不正确的电脑使用习惯, 如长期使用电脑却不定期杀毒给病毒以可乘之机, 或攻击者摸清网民的上网习惯和偏好的网站后对网民经常访问网站植入攻击链接, 引发网民计算机下载并运行病毒或木马, 直接对网民计算机进行攻击。
1.3 环境威胁
互联网中计算机都与服务器连接, 所有计算机处于信息共享环境中, 而用户访问互联网必须经由互联网环境, 故环境威胁不可避免。而因互联网共享环境中客户端数量较多, 网络环境内的攻击频繁且强烈。网络环境的攻击主要以互联网环境内计算机之间数据包传输的形式, 与木马病毒破坏计算机软件不同的是, 数据包中带入的网络攻击主要攻击内网的防护结构, 为“数据威胁”和“外力破坏”两种方式提高成功率和加大破坏力。
2、防火墙的类型及特点
2.1 防火墙的分类及其原理
1.数据包过滤型
数据包过滤型防火墙主要通过查看流经数据的包头, 再决定不同数据包的去向。此种防火墙对数据包常见操作有丢弃 (DROP) 和接受 (ACCEPT) 两种, 也可执行其他操作。只有满足过滤条件的数据包才被防火墙转发到相应目的地, 其余数据包被阻挡或丢弃。数据包过滤的特点有对用户透明;过滤速度快、效率高。缺点是只能根据数据包的来源、目的地、端口等网络信息进行判断, 不能完全杜绝地址欺骗。数据包过滤与一些应用协议不兼容, 不能防范不断更新的攻击, 不能处理新的安全威胁。
2.网络地址转换 (NAT)
网络地址转换是将IP地址临时转换成外部的、注册的IP地址标准。在内部网络需要访问外部网络时, NAT系统将用于对外访问的源地址和源端口映射为一个伪装的地址和端口与外网连接, 以达到隐藏计算机真实内部地址的目的, 外部计算机安全网卡访问本地用户计算机内网时, 并不知道内网的网络情况, 只能与在互联网中的这一IP地址和端口进行访问, 防火墙只需根据网络安全管理员编写好的映射规则来判断这个访问的安全性再进行安全操作。NAT过程对于用户来说可视化的程度高, 由于NAT能根据预定规则运行, 所以不需用户进行繁杂的设置, 只需简单操作, 有操作门槛低, 易于上手等优点。
3、防火墙技术在计算机网络安全中的应用
3.1 访问策略中的应用
防火墙技术判断有害数据的核心依据是访问策略, 访问策略在计算机网络安全中占据主体地位。访问策略的实施主要以网络技术管理员预先配置的形式为主, 经过周全的设计布置, 依据深入统计的网络信息交换传递特点, 构建科学、完善的网络防护系统。
防火墙在访问策略中经过以下几个保护流程:
(1) 防火墙将运行中的信息划分为不同的单位, 针对每个单位布置内、外两方面的访问保护;
(2) 防火墙通过既有的访问策略对计算机运行的目的地址、端口地址等参数进行学习, 以适应计算机信息传递的特点;
3.2 日志监控中的应用
计算机防火墙生成的日志文件可用来高级计算机用户或发烧友对其进行分析, 以获取计算机运行中的后台行为信息。日志监控和分析在网络安全保护中很重要, 用户分析防火墙日志时, 只关注重要信息即可。具体操作方法是对网络防火墙生成的日志文件信息进行分类, 以降低日志有用信息采集的难度。计算机用户或管理员对日志监控的灵活运用, 使人工智能与防火墙安全技术相结合, 提升网络安全防护能力和网络优化效果。
结语:作为内部网络与外部网络公共网络之间的第一道屏障, 防火墙是最容易被计算机使用者和单位接受的网络安全产品之一。防火墙处于网络安全的最底层, 负责网络安全认证和传输工作, 不仅保证起到识别和过滤的作用, 同时还能为各种联网应用提供网络安全服务。随着信息技术和互联网在日常生活中被广泛普及和应用, 人们对计算机信息安全等级要求愈来愈高, 对网络信息安全管家防火墙的技术更新升级速度也提出了挑战。
参考文献
[1]于志刚.网络思维的演变与网络犯罪的制裁思路[J].中外法学, 20xx, 26 (04) :1045-1058.
[2]马利, 梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术, 20xx, 10 (16) :3743-3745.
[3]赵文胜.论信息安全的刑法保障[D].武汉大学, 20xx.
[4]隋晓冰.网络环境下大学英语课堂教学优化研究[D].上海外国语大学, 20xx.
论防火墙技术设计策略 篇6
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生它能够防止火势蔓延到别的寓所。自然,此种砖墙因此而得名“防火墙”。现在,如果一个网络接入到Internet上,在与外界进行通信时,势必也会存在着“火灾发生”的可能。如何确保网络安全?作为网络安全产品中的防火墙技术,是目前最为成熟的技术。
一、防火墙设计首要、重点问题
防火墙的自我保护能力(安全性)是设计时的首要、重点问题。
1.专用服务器端口
为降低设计上的难度,通过在防火墙上增设专用服务器端口,来与主机进行连接。除专用服务器外,防火墙不接受任何其他端口的直接访问。由于管道通信是单独的通道,所以不管是内网主机还是外网主机都无法窃听到该通信,显然是很安全的。
2.透明应用代理
提供对高层应用服务。管理员在防火墙产品上配置相关规则,这些配置对用户来说完全是透明的。用户访问Web、FTP等服务时,自由进行代理转发,外部网络不能通过代理主动访问内部网络,从而有效保证了内部网络的安全。
二、防火墙体系结构构建
常见的几种构建方式分析如下:
1.双宿主机
双宿主机将内外网络隔离,防火墙内部的网络系统与外部的网络系统都与双宿主机通信。这样,内外网络之间的IP数据流是完全切断的,只有入侵者得到双宿主机的访问权,才会侵入内部网络。所以为了保证内部网安全,双宿主机应禁止网络层的路由功能,避免防火墙上过多的用户账号。
2.屏蔽主机
主机与内部网相连,使用一台单独的过滤路由器强迫所有到达路由器的数据包被发送到被屏蔽主机,任何试图访问内部系统或服务器的外部系统都须与此主机相连。过滤路由器能否正确配置是这种防火墙结构安全的关键,因此过滤路由器中的路由表应严加保护。
3.屏蔽子网
在以上基础上,增加一个DMZ(隔离区),进一步将内网与外网隔开。采取两个过滤路由器,攻击者就算攻入了主机,还得通过内部路由器。所以原则上说,此种方式的网络是安全的。
三、应对常见攻击方式的策略
1.病毒
尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面,黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。
策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。
2.口令字
对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。
策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。
3.邮件
在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当用户不经意打开邮件时,恶意代码即可进入。
策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
4.IP地址
黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。
策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。
四、基本决策
1.方案选择
市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上,依托网络在操作系统上实现防火墙的各种功能,因此也称“个人”防火墙,其功能有限,基本上能满足单个用户。硬件防火墙则是把硬件和软件都单独设计,并集成在一起,运行于自己专用的系统平台上。由于硬件防火墙集合了软件方面的功能,因此更为强大,目前已普遍使用。
2.结构透明
防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。用户根据自己企业的网络规模,以及安全策略来选择合适的防火墙的构造结构,如果经济实力雄厚,可采用屏蔽子网的拓扑结构。
3.坚持策略
①管理主机与防火墙专用服务器端口连接,形成单独管理通道,防止来自内外部的攻击。
②使用FTP、News等服务代理,以提供高水平的审计和潜在的安全性。
③支持“除非明确允许,否则就禁止”的安全防范原则。
④确定可接受的风险水平。
4.实施措施
好的防火墙产品应向使用者提供完整的安全检查功能,应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进,企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进,定期对防火墙和相应操作系统用补丁程序进行升级。
以上从防火墙所具有的功能出发,分别介绍了防火墙技术在设计时的重点问题、防火墙体系结构的构建、常见攻击方式的防范及基本设计决策。全文在分析的基础上给出了具体的解决方法,企业在设计过程中应根据自身条件出发,选择最优的策略。
防火墙技术发展研究 篇7
关键词:包过滤,代理服务,状态检测防火墙,分布式防火墙,嵌入式防火墙
1 引言
由于计算机网络具有开放性、联结形式多样性、共享性等特征,因此,安全问题是网络诞生之日起就面临的一个挑战。防火墙作为目前最成熟、最早产品化的网络安全机制,在保护计算机网络安全中起着至关重要的作用。
防火墙是指设置在可信任网络和不可信任网络之间的一道执行访问控制策略的安全防御系统,它通过监测和控制跨越防火墙的数据来实现对可信任网络的安全保护,简单的概括就是,对网络进行访问控制。
2 防火墙的传统技术
防火墙有包过滤路由器(Packet Filtering Rout)、应用层网关(Application Gateway)两类基本模型,它们涉及的关键技术主要是包过滤[1](Packet Filtering)、代理服务(Proxy Service)[2]。
2.1 包过滤
包过滤是防火墙的初级产品,是一种完全基于网络层的安全技术。工作原理是用户在网络中传输的信息被分割成具有一定大小和长度的“数据包”,每一个数据包的包头中都会包含该数据包的源IP地址、目标IP地址、传输协议、TCP/UDP协议的源端口号、目的端口号、ICMP消息类型等信息,这些包采用存储转发技术逐一发送到目标主机,包过滤防火墙根据定义好的过滤规则检查每个通过它的数据包,以确定其是否与过滤规则相匹配,从而决定是否允许该数据包通过。过滤规则是一个在系统内部设置的访问控制表(Access Control Table),它是根据数据包的包头信息来制定的。
包过滤具有简单实用、实现成本低、运行速快、应用透明而且具有较强的通用性等优点。同时,包过滤技术也存在明显的不足。
1)智能性不强,实时性的有用服务也有可能被拒绝。
2)由于访问控制表中的过滤规则数目不可能无限增加,各种安全要求不可能充分满足,而且随着过滤规则数目的增加,设备及网络性能均会受到很大地影响,从而产生流量瓶颈等问题。
3)是一种基于网络层的安全技术,无法实现用户认证,对基于应用层的威胁无防范能力,如恶意的Java小程序以及电子邮件中附带的病毒等。
4)不能跟踪记录,无法从日志中查找攻击信息。
2.2 代理服务
代理服务是针对数据包过滤的缺点而引入的防火墙技术,它实质上是设置在Internet防火墙网关上有特殊功能的应用层代码,能够对数据流进行监控、过滤、日志(keg)和审计(audit)等,而且能隐藏内部IP地址,能够实现较严格的安全策略,大大提高了网络的安全性。
代理服务器位于客户机与服务器之间,是一个“中继站”,客户机与服务器的通信,通过代理服务器来实现。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器获取取数据,然后再由代理服务器将数据传输给客户机。每个代理只对已经确定的应用协议提供服务,并且可以采取一些安全策略。这样一来就避免了客户机与服务器的直接连接,使得攻击者更加难以发现网络的真实端口。一般情况下几个代理服务相互无关,即使某个代理服务工作发生问题,只需将它卸载即可,不会影响其它的代理服务模块。
代理防火墙的优点是安全性较高,通过对应用层进行监控,对付基于应用层的侵入和病毒十分有效。其缺点是对网络层的保护较弱,对用户不透明,对系统的性能有较大的影响,而且代理服务器对所有应用实时进行设置,增加了系统管理的复杂度。一旦防火墙发生了问题,被保护的网络与外部网络就无法连接。
3 新一代防火墙
当前网络安全的三大问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制,这三大安全问题覆盖了网络安全方面的绝大部分问题。传统防火墙基于物理上的拓扑结构,已不能满足网络的发展需要,于是随后出现了以状态检测防火墙(Stateful Inspection Firewall)、分布式防火墙(Distributed Firewall,DFW)、嵌入式防火墙(Embedded Firewall,EFW)为代表的新一代防火墙技术。
3.1 状态检测防火墙
状态检测防火墙采用的是一种基于连接的技术,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,来决定数据流的通过还是拒绝。
当数据包到达防火墙时,状态检测引擎会检测到这是一个发起连接的初始数据包(由SYN标志),防火墙先将这个数据包和规则表里的规则依次进行比较,如果匹配,那么就意味着通过了这个数据连接请求,那么本次会话被记录到状态监测表里。这时需要设置一个时间溢出值,一般将其值设定为60秒。然后防火墙期待一个返回的确认连接的数据包,当接收到此数据包的时候,防火墙将连接的时间溢出值设定为3600秒。如果在检查了所有的规则后,拒绝此次连接,那么该包被丢弃。状态监测表随后检测被放行的数据包,如果匹配,该数据包被放行,反之则被丢弃。其工作流程如图1所示。
当状态监测模块监测到一个FIN(连接终止)或一个RST(连接复位)包的时候,则时间溢出值从3600秒减至50秒。在这个周期内如果没有数据包交换,这个状态检测表项将会被删除,连接被关闭;如果有数据包交换,这个周期会被重新设置到50秒。如果继续通讯,这个连接状态会被继续地以50秒的周期维持下去。这种设计方式可以避免一些DOS攻击,例如,一些人有意地发送一些FIN或RST包来试图阻断这些连接。
状态检测防火墙与传统防火墙相比的优点。
1)安全性高。状态检测防火墙在数据链路层和网络层之间截取数据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,这样确保了防火墙能够截取和检查所有通过网络的原始数据包。
2)效率高。通过防火墙的所有数据包都在协议栈的低层处理,这样减少了高层协议头的开销;另外一旦某个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。
3)应用广泛。不仅支持基于TCP的应用,而且支持的基于无连接协议的应用(如RPC)和基于的UDP的应用(如WAIS和Archie)等。
3.2 分布式防火墙
Steven M.Bellovin[3]首次提出了分布式防火墙的概念“DFW是这样的一个方案:策略集中订制,在各台主机上执行”。分布式防火墙是一个系统,基本构件如下。
1)网络防火墙(Network Firewall)
网络防火墙只处理与整个内部网络相关的安全问题,规则较少,因而可以高效运行。它主要是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它增加了对内部子网之间的安全进行防护的功能,这样整个网络的安全防护体系就更加可靠和全面。
2)主机防火墙(Host Firewall)
主机防火墙主要包括包过滤引擎、下载策略模块、上传日志模块、加密认证模块等。它主要是驻留在终端主机中,在应用层对网络中的服务器和用户PC机进行防护,负责策略的实施。它保证网络内部的安全访问,克服了传统防火墙的在此方面的不足。
3)中心管理(Central Managerment)
中心管理是分布式防火墙系统的核心和重要特征之一,负责总体安全策略的策划、管理、分发及日志的汇总。主机防火墙可以根据安全性的不同要求添加布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的。这样防火墙的管理就具有了灵活性。分布式防火墙构件的相互协调作用从根本上解决了传统防火墙的功能单一、不可靠、性能差等的缺点,并能够根据网络需要对整个防火墙进行最佳配置,使得整个网络的运行更加安全,更加有效。
但目前,分布式防火墙还存在着不能对用户完全透明和即插即用等技术瓶颈[4]。
3.3 嵌入式防火墙
由于操作系统自身不完善等原因,目前许多基于软件实现的“防火墙”都是不安全的,存在着被攻击者绕过的可能性。为此,Charles和Tom[5]提出了嵌入式分布式防火墙的方案,简称嵌入式防火墙。嵌入式防火墙网络拓扑结构见图2。
嵌入式防火墙是将防火墙固化在网卡上,所有进出网卡的数据包都受到防火墙安全策略的控制,安全策略的制定和分发是由策略服务器完成。这种基于硬件来实现的防火墙具有不依赖主机操作系统、不能被绕过和管理灵活的特点,是一种更加完善的安全架构,能够有效检测以SYN Flooding为代表的DDOS攻击[6]。
每一个EFW就是一块带有防火墙功能的网络连接卡(Network Interface Card,NIC),NIC在硬件一级实现对网络包的实时过滤,网卡上有自己的处理器和存储区,独立于主机操作系统工作。所有的EFW NIC构成分布式防火墙系统的策略执行组件,策略服务器负责管理这些EFW NIC。内部网络上的每一台PC、工作站或是服务器,包括策略服务器自身,均受到分布式防火墙的保护。然而,使用分布式防火墙并不意味着完全放弃传统边界防护墙。边界防火墙可以作为内部网络对外的第一道屏障,可以有效地将大量的外部攻击抵御于内部网络之外,可以减少内部网络的数据流量和EFW NIC的工作,因此在实际应用中,采用两者结合的方法,可以获得更高的安全性能。
4 结束语
新一代网络技术不断涌现,如IPv6网络、P2P应用、3G网络等等,给防火墙带来新的挑战。而目前的防火墙技术在性能上还存在着诸多问题,未来防火墙必然朝着智能化、多功能化、高速更安全的方向发展。
参考文献
[1]Keith E.Strassberg,Richard J.Gondek,Gary Rollie.防火墙技术大全[M].李昂,译.北京:机械工业出版社,2003.
[2]郝文江.基于防火墙技术的网络安全防护[J].通信技术,2007,40(7):24-26.
[3]Steven M.Bellovin.Distributed Firewalls[OL].http://www.cs.columbia.edu/~smb/papers/distfw.html,1999.
[4]史力力,薛质,王轶骏.分布式防火墙与入侵检测联合系统的设计[J].信息安全与通信保密,2008,2:65-67.
[5]Payne C,Markham T.Architecture and Applications for a Distributed Embedded Firewall[C].New Orleans,Louisiana:17th Annual Com-puter Security Applications Conf,2001.
防火墙技术的研究 篇8
针对网络存在的众多隐患,各个用户实施了安全防御措施,其中包括防火墙技术、数据加密技术、认证技术、PKI技术等,但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就防火墙技术概况做个简要分析。
1 防火墙定义
“防火墙”是一种形象的说法,其实它是一种保护计算机网络的技术性措施,由计算机硬件和软件的组合,在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,使互联网与内部网之间建立起一个安全网关(scurity gateway),从而保护内部网免受非法用户的侵入。实践中最常见的防火墙关系模型可用图1来概括,是一个把互联网与内部网隔开的屏障。
在网络中,防火墙还应具备广泛的服务支持的特性:如通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、FTP等,满足客户端认证只允许指定的用户访问内部网络或选择服务。
防火墙如果从实现方式上来分,可分为硬件防火墙和软件防火墙两类,我们通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内、外部网络的目的,价格较贵,效果较好,一般应用于大中型企事业单位。软件防火墙通过纯软件的方式来实现对,价格便宜,但软件防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的,功能不全面。例如天网防火墙个人及企业版、Norton防火墙个人及企业版,还有许多杀病毒软件目前已集成了软件防火墙,如江民、瑞星、金山等。
2 防火墙分类
2.1 技术上的分类
硬件防火墙从技术上来分为包过滤型防火墙和应用代理型防火墙。
包过滤型防火墙是作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。这种分组过滤技术公在网络层和传输层起作用。随着包过滤技术的发展,产生了状态检测包过滤技术。状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,规范了网络层和传输层行为,因而状态检测防火墙提供了更完整的对传输层的控制能力。
应用代理型防火墙也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。由于它工作在最高层,掌握着应用系统中可用作安全决策的全部信息。包过滤防火墙的缺点和不足,可以在应用层解决。
2.2 架构上的分类
硬件防火墙如果从架构上来划分可分为x86、ASIC、NP几类。
从性能的角度分析,基于Intel x86架构的千兆防火墙,由于受CPU处理能力和PCI总线速度的制约,性能和功能不能达到网络安全和网络性能间的统一。从功能的角度分析,基于通用处理器的x86架构上开发的防火墙功能实用,可扩充性非常好;基于ASIC的防火墙虽然在性能上非常强大,但是在功能性、灵活性和可扩充性等方面较弱。
基于ASIC技术的防火墙是公认的满足千兆环境骨干级应用的技术方案,可使防火墙达到线速千兆。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用。但ASIC技术开发成本高、开发周期长且难度大,而且ASIC技术在国外已经历了10多年的发展,而国内厂商要采用ASIC技术难度却很大。
网络处理器(NP)是专门为处理数据包而设计的可编程处理器,它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力。它的特点是内含了多个数据处理引擎,这些引擎可以并发进行数据处理工作,在处理2到4层的分组数据上比通用处理器具有明显的优势,能够直接完成网络数据处理的一般性任务。硬件体系结构大多采用高速的接口技术和总线规范,具有较高的I/O能力,包处理能力得到了很大提升。从产品特性上讲,NP架构下的产品批量生产成本比x86架构要高,而NP的计算能力又比ASIC要低。但NP防火墙具有更高的集成度,并以分布式的存储系统,能够胜任高带宽的线速处理。基于网络处理器架构的防火墙与基于通用CPU架构的防火墙相比,在性能上可以得到很大的提高。
3 防火墙系统优缺点分析
防火墙作为一种防护手段,对维护网络安全起到了一定的作用,但并非万无一失,它只能防护经过自身的非法访问和攻击;它虽然能够针对所有服务进行安全检查,过滤其是否合法,但不能有效地杜绝所有恶意数据包,比如某些恶意访问可以通过内部网某台机器中的后门软件绕过防火墙,利用合法的连接传输非法数据。防火墙还不能直接拦截带病毒的数据在网络之间传播,对数据驱动式攻击也缺少防范识别能力。
3.1 包过滤防火墙优缺点分析
包过滤防火墙是两个网络之间访问的唯一来源,它对每条传入和传出网络的包实行低水平控制,每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则,可以识别和丢弃带欺骗性源IP地址的包。由于包过滤技术是完全基于网络层的安全的技术,无法识别基于应用层的恶意侵入。
使用包过滤防火墙的缺点还包括:1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,这样就留下了漏洞。2)为特定服务开放的端口必然存在着一定的受攻击的风险,可能会被用于其他传输。比如Web服务器默认的80端口。
3.2 状态检测防火墙优缺点分析
状态检测防火墙由于采用了一系列优化技术,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。状态检测防火墙的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。随着硬件速度的发展,这个问题就会变得不易察觉。
3.3 应用代理防火墙优缺点分析
应用代理防火墙可以说就是为防范应用层攻击而设计的,使用应用程序代理防火墙的优点有:1)应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。2)指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。3)通过限制某些协议的传出请求,来减少网络中不必要的服务。4)大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。
使用应用程序代理防火墙的缺点有:1)必须在一定范围内定制用户的系统。2)应用网关的认证要求使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序,但一些应用程序根本就不支持代理连接。
4 防火墙技术结合与改进
4.1 多级过滤技术
多级过滤技术是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用应用层一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务,这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。多级过滤技术防火墙结构如图2所示。
4.2 分布式防火墙
分布式防火墙与传统的边界防火墙不同,传统防火墙由于被部署在网络边界而被称为边界防火墙。许多越权访问来自于企业网内部,边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙要负责对网络边界、各子网和网络内部各节点之间的安全防护,所以“分布式防火墙”是一个完整的系统,而不是单一的产品。根据其所需完成的功能,分布式防火墙体系结构包含有:网络防火墙(Network Firewall)、主机防火墙(Host Firewall)、中心管理(Central Managerment)三大部分。分布式环境防火墙基于传统防火墙技术,集中管理,分布防御,分布式防火墙由网络安全管理平台、边界防火墙、内部防火墙和主机防火墙agent组成,对广义分布防火墙的管理必须是统一进行的,中心管理是分布式防火墙系统的核心和重要特征之一。安全策略的分发及日志的汇总都是中心管理具备的功能。集中制定安全策略,由分布于网络中的各个防火墙实施策略,系统管理工具将安全策略分布到每个主机,根据策略和加密校验认证,由受保护的主机来决定接受或拒绝。这样就使得网络防火墙部署于内部网与外部网之间以及内网子网之间,把安全策略推广延伸到每个网络末端。分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞。
4.3 入侵检测系统
所谓“入侵检测”,就是通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,以发现网络或系统中是否有违反安全策略的行为或遭到袭击的迹象。“入侵检测系统(Intrusion Detection System,IDS)”主要是通过以下几种活动来完成的:1)监视、分析用户及系统活动;2)对系统配置和弱点进行监测;3)识别与已知的攻击模式匹配的活动;4)对异常活动模式进行统计分析;5)评估重要系统和数据文件的完整性;6)对操作系统进行跟踪管理,并识别用户违反安全策略的行为。此外,有的入侵检测系统还能够自动安装厂商提供的安全补丁软件,并自动记录有关入侵者的信息。
入侵检测系统可以成为防火墙的有力补充,已被广泛地与防火墙相结合应用于重要网络环境。由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。入侵检测技术能够及时发现并报告系统中未授权或异常现象,是一种用于检测违反安全策略行为的技术。可以协同防火墙共同实时监视着网络中的不法行为。
入侵检测从技术上可分为两类:一种基于标志,一种基于异常情况。对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的关键在于如何定义所谓的“正常”情况。
4.4 入侵防御系统
入侵防御系统(IPS)是在应用层的内容检测基础上加上主动响应和过滤功能,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS弥补了传统的主流网络安全技术不能完成更多内容检查的不足,倾向于提供主动防护的特性填补了网络安全产品中基于内容的安全检查的空白。IPS通过直接嵌入到网络流量中实现这一功能,即通过一个网络端口接收来自外部系统的流量,经过检查确认不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被彻底清除掉。它把检测提升到了应用层的检测,相比于入侵检测系统能够起到较好的实时防护作用。
5 前景展望
防火墙只是整个网络安全防护的一部分,一定要与其他的防护措施和技术,如密码技术、访问控制、权限管理、病毒防治等综合运用才能解决内部网安全问题。
在防火墙体系结构上的改进上,防火墙必然要与加密和认证技术、内容检测、攻击检测及其他一些手段相结合,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能才能成为一个安全网关。主流的运用趋势是防火墙与入侵检测系统、入侵防御系统相结合,入侵检测系统和入侵防御系统也必将在速度上和智能化上有更大的进步,突破性能瓶颈,减少误报和漏报现象。
从速度发展上来看,基于软件的防火墙是很大程度上依赖于软件的性能,但随着近来这类防火墙中专门设计有一些用于处理数据层面任务的引擎,从而减轻了CPU的负担,性能上已在不断提升。基于ASIC的纯硬件防火墙处理速度自然是越来越快,但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙会使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。基于NP的防火墙可以集x86架构防火墙的功能与ASIC防火墙的性能于一身。网络处理器能弥补通用CPU架构性能的不足,同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累,成为国内厂商实现高端千兆防火墙的热门选择。在高端千兆市场,基于NP的防火墙将是重要的趋势。三种架构防火墙在市场上将长期保持共存的局面。在低端千兆市场上,x86架构的防火墙将成为主流,在高端千兆市场上,基于NP的防火墙将占有较好的份额。
防火墙的系统管理上的发展趋势将主要体现在以下几方面:首先是集中式管理,分布式和分层的安全结构会是将来的趋势。其次是强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。再次是网络安全产品的系统化和集成化,管理上将适用于大多数用户,易用性更高。
入侵检测和防御系统将会在智能化和分布式两个方向上得到更快的发展,更好地为重要网络的安全保障提供服务。
6 结束语
防火墙技术在网络安全中的重要性,谁都无法代替。本文针对各种主流防火墙体系结构、应用现状及优缺点比较以及防火墙前期发展趋势,更深刻了解防火墙。让防火墙更好地为重要的网络安全保障提供服务。
摘要:防火墙是集包过滤技术、代理服务技术、入侵检测技术等多种技术的安全平台,是现代网络安全防范的重要设备。该文针对各种主流防火墙体系结构、应用现状及优缺点比较,探讨防火墙技术今后的发展方向。
关键词:网络安全,防火墙,应用网关
参考文献
[1]计算机世界.2002年合订本[M].
[2]科瑞奥.Snort入侵检测实用解决方案[M].北京:机械工业出版社,2005.
[3]Carasik H A.防火墙核心技术精解[M].李华飓,译.北京:中国水利水电出版社,2005.
[4]陈兴实,付东阳.计算机.计算机犯罪.计算机犯罪的对策[M].北京:中国检察出版社,1998.
[5]Kurose J F.计算机网络:自顶向下方法与INTERNET特色[M].陈鸣,译.3版.北京:机械工业出版社,2006.
[6]PC World中国网[EB/OL].http://www.pcworld.com.cn.
网络防火墙安全技术 篇9
随着计算机网络的发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。网络的安全性已成为当今最热门的话题之一,很多单位或个人为了保障自身服务器或数据安全都采用了网络防火墙。
2 概念
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,网络防火墙也属于类似的用来防止外界侵入的,它可以防止网络上的各种危险(病毒、资源盗用等)传播到网络内部。因此,网络防火墙可定义为用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,保护内部网络操作环境的特殊网络互联设备。
3 功能
网络防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据单位的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。它要对流经它的网络通信进行扫描,以决定网络之间的通信是否被允许,并监视网络运行状态。这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。因此,从总体上看,防火墙应该具有以下5大基本功能:
(1)过滤进、出网络的数据。
(2)管理进、出网络的访问行为。
(3)封堵某些禁止行为。
(4)记录通过防火墙的信息内容和活动。
(5)对网络攻击进行检测和告警。
4 分类
4.1 包过滤型防火墙
包过滤型防火墙又称筛选路由器或网络层防火墙。它的任务就是作为“通信警察”,要检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则———即过滤规则。通常是对从互联网络到内部网络的包进行过滤,只有满足通过要求的数据才能转发到目的端,其余数据包丢弃。数据包过滤可以控制主机到主机、主机到网络、网络到网络的相互访问,但不能控制传输的数据内容,内容是应用层数据,包过滤系统不能辨认。包过滤理论上可以检查包中所有信息,但出于效率方面考虑,一般只检查网络层IP包头信息,对IP包的源地址、IP包的目的地址、封装协议(TCP/UDP/ICMP/IP Tunnel)、端口号等进行筛选。包过滤这个操作可以在路由器上进行,也可以在网桥,甚至在一个单独的主机上进行。
4.2 代理服务器型防火墙
代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程,它代替网络用户完成特定的TCP/IP功能。代理服务器防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。另外,如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。
4.3 复合型防火墙
由于对更高安全性的要求,通常把数据包过滤和代理服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责代理服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术:(1)动态包过滤;(2)内核透明技术;(3)用户认证机制;(4)内容和策略感知能力;(5)内部信息隐藏;(6)智能日志、审计和实时报警;(7)防火墙的交互操作性等。
5 技术展望
伴随着Internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
(1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理方式发展。
(2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、Java等的过滤,并逐渐有病毒扫描功能。
(3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
(4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
(5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
(6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
6 结语
计算机网络将现已成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。为保证计算机网络系统的安全,应混合使用多种安全防护策略。网络防火墙安全技术已从网络安全的最底层逐步走向网络层之外的其他安全层次,在完成传统防火墙的过滤任务的同时,还能为各种网络应用提供相应的安全服务。
参考文献
[1]石淑华.计算机网络安全技术.人民邮电出版社,2008.
[2]王艳.浅析计算机安全[J].电脑知识与技术,2010:1054-1055.
[3]王卫平,陈文惠.防火墙技术分析.信息安全与通信保密,2006,(8):24-27.
[4]陈莉.计算机网络安全与防火墙技术研究[J].中国科技信息,2005,(23).
浅谈防火墙技术 篇10
关键词:防火墙,网络安全,外部网络,内部网络
1 概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法, 它是一种计算机硬件和软件的结合, 使Internet与Intranet之间建立起一个安全网关, 从而保护内部网免受非法用户的侵入。
2 防火墙的作用
⑴自然是撑起网路的保护伞。防火墙都会制定自己的规则, 凡是符合规则的一律放行, 不符合规则的一律禁止, 当然这些规则可以由网路管理员来自己制定, 但是某些防火墙或许只能使用内置规则。
⑵强化网络安全策略, 本来网络安全问题是由各个安全软件独立处理, 而防火墙可以有效的把所有安全软件配置在防火墙上, 以防火墙为中心统一调用。防火墙的集中安全管理更经济, 更安全。
⑶防火墙还有一个重要的功能就是防止信息外泄, 隐私应该是每个上网用户最关心的问题, 现在正是隐私泄露的敏感时期, 因此更受到用户的关心, 而防火墙可以阻塞有关内部网络中的DNS信息, 使本机的域名和IP地址不会被外界所了解, 能有效的阻止信息外泄。
3 防火墙的基本分类
⑴包过滤防火墙。第一代防火墙和最基本形式防火墙检查每一个通过的网络包, 或者丢弃, 或者放行, 取决于所建立的一套规则。这称为包过滤防火墙。本质上, 包过滤防火墙是多址的, 表明它有两个或两个以上网络适配器或接口。
⑵状态/动态检测防火墙。状态/动态检测防火墙, 试图跟踪通过防火墙的网络连接和包, 这样防火墙就可以使用一组附加的标准, 以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。
⑶应用程序代理防火墙。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反, 它是接受来自内部网络特定用户应用程序的通信, 然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信, 所以服务器不能直接访问内部网的任何一部分。
⑷个人防火墙。现在网络上流传着很多的个人防火墙软件, 它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件, 它可以直接在用户的计算机上运行, 使用与状态/动态检测防火墙相同的方式, 保护一台计算机免受攻击。通常, 这些防火墙是安装在计算机网络接口的较低级别上, 使得它们可以监视传入传出网卡的所有网络通信。
4 防火墙的局限性
⑴防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据, 防火墙无法检查。
⑵防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内, 谁都不可信, 但绝大多数单位因为不方便, 不要求防火墙防内。
⑶防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备, 就像门卫一样, 要根据政策规定来执行安全, 而不能自作主张。
⑷防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议, 防火墙不能防止利用该协议中的缺陷进行的攻击。
5 发展趋势
⑴高性能的防火墙需求。高性能防火墙是未来发展的趋势, 突破高性能的极限就是对防火墙硬件结构的调整。而对于高端防火墙的技术实现, 现今主要分为三种方式:基于通用处理器的工控机架构、基于NP技术、基于ASIC芯片技术。
⑵管理接口和SOC的整合。如果把信息安全技术看做是一个整体行为的话, 那么面对防火墙未来的发展趋势, 管理接口和SOC整合也必须考虑在内, 毕竟安全是一个整体, 而不是靠单一产品所能解决的。随着安全管理和安全运营工作的推行, SOC做为一种安全管理的解决方案已经得到大力推广。
⑶抗Do S能力。从近年来网络恶性攻击事件情况分析来看, 解决Do S攻击也是防火墙必须要考虑的问题了。做为网络的边界设备, 一旦发生争用带宽和大流量攻击事件后, 往往最先失去抵抗能力的就是发生在这里。而提高防火墙抗击Do S能力的技术问题, 也在缠绕着广大防火墙厂商。在新型技术不断更新的今天, 各个厂家已经把矛头指向了解决Do S问题上来。
⑷对入侵行为的智能切断。安全是一个动态的过程, 而对于入侵行为的预见和智能切断, 做为边界安全设备的防火墙来说, 也是未来发展的一大课题。从IPS的出发角度考虑, 未来防火墙必须具备这项功能, 因为客户不可能为了仅仅一个边界安全而去花两份钱。那么, 具备对入侵行为智能切断的一个整合型、多功能的防火墙, 将是市场的需求。
参考文献
[1]王铁方, 李涛.蜜网与防火墙及入侵检测的无缝结合的研究与实现[J].四川师范大学学报 (自然科学版) , 2005, (01) .
[2]高晓蓉.基于Linux的防火墙[J].扬州职业大学学报, 2003, (04) .