防火墙技术范文
时间:2023-10-18 19:09:00
防火墙技术篇1
关键词:网络安全;防火墙
1 从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于pc架构,就是说,它们和普通的家庭用的pc没有太大区别。在这些pc架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的unix、linux和freebsd系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的asic芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有netscreen、fortinet、cisco等。这类防火墙由于是专用os(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2 从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的checkpoint防火墙和美国cisco公司的pix防火墙为代表,后者以美国nai公司的gauntlet防火墙为代表。
(1)包过滤(packet filtering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如udp、rpc(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(application proxy)型。
应用型防火墙是工作在osi的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3 从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括cpu、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的pc机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与pc机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如cisco ios防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的pci防火墙卡 ,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4 按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5 按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-linux实训篇[m].北京:人民邮电出版社,2003,(10).
[2][美]terry william ogletree.防火墙原理与实施[m].北京:电子工业出版社,2001,(2).
防火墙技术篇2
关键字:防火墙技术 防火墙体系结构 构建
随着internet的发展,网络已经成为人民生活不可缺少的一部分,网络安全问题也被提上日程,作为保护局域子网的一种有效手段,防火墙技术备受睐。
1.防火墙的定义
internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网连接的点上。internet防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合,是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有对的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关或网点与工nternet的连接处,但是防火墙系统也可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
防火墙的局限性:1)不能防范恶意的知情者:2)不能防范不通过它的连接:3)不能防范全部的威胁。4)不能防范病毒。
由此可见,要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用。
2防火墙的技术原理
目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:
(1)包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查ip数据包来确定是否该数据包通过。而那些不符合规定的ip地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的ip包:源ip地址;目的ip地址;tcp/udp源端口;tcp/udp目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如udp和rpc难以有效的过滤。
(2)技术
技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。服务器是针对某种应用服务而写的,工作在应用层。
优点:它将内部用户和外界隔离开来,使得从外面只能看到服务器而看不到任何内部资源。与包过滤技术相比,技术是一种更安全的技术。
缺点:在应用支持方面存在不足,执行速度较慢。
(3)状态监视技术
这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过ip地址、端口号以及tcp标记,过滤
进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠
与应用层有关的,而是依靠某种算法来识别进出的应用层数据,这些算法通
过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级在
过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测rpc和udp端口信息,而包过滤和都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在osi最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个。
3.防火墙的体系结构
目前,防火墙的体系结构有以几种:
(1)包过滤防火墙
也称作过滤过滤路由器,它是最基本、最简单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。配置图如下图所示:
包过滤防火墙
内部网络的所有出入都必须通过过滤路由器,路由器审查每个数据包,根据过滤规则决定允许或拒绝数据包。
优点:1)易实现;2)不要求运行的应用程序做任何改动或安装特定的软件,也无需对用户进行特定的培训。
缺点:1)依赖一个单一的设备来保护系统,一旦该设备(过滤路由器)发生故障,则网络门户开放。2)很少或没有日志记录能力,当网络被入侵时,无法保留攻击者的踪迹。包防火墙适于小型简单的网络。
(2)双宿主主机防火墙
这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口,一端接外部网络,一端接需要保护的内部网络,并运行服务器,故被称为双宿主主机防火墙。它不使用包过滤规则,而是在外部网络和被保护的内部网络之间设置一个网关,隔断ip层之间的直接传输。两个网络中的主机不能直接通信,两个网络之间的通信通过应用层数据共享或应用层服务来实现。如下图所示:
双宿主主机防火墙
优点: 1)网关将被保护的网络与外界完全隔离开;2)提供日志,有助于发现入侵。3) 内部网络的名字和ip地址对外界来说是不可见的。
缺点:服务,服务器必须为每种应用专门设计,所有的服务依赖于网关提供的在某些要求灵活的场合不太适用。
(3)屏蔽主机网关防火墙
它由一台过滤路由器和一台堡垒主机组成。在这种配置下,堡垒主机配置在内部网络上,过滤路由器则放置在内部网路和外部网络之间。外部网络的主机只能访问该堡垒主机,而不能直接访问内部网络的其它主机。内部网络在向外通信时,必须先到堡垒主机,由该堡垒主机决定是否允许访问外部网络。这样堡垒主机成为内部网络与外部网络通信的唯一通道。如下图所示。
屏蔽主机网关防火墙
优点:1)配置更为灵活,它可以通过配置过滤路由器将某些通信直接传到内部网络的其它站点而不是堡垒主机。2)包过滤路由器的规则较简单。
缺点:一旦堡垒主机被攻破,内部网络将完全暴露。
(4)屏蔽子网防火墙
屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由
器,如下图所示。
屏蔽子网防火墙
在屏蔽主机网关防火墙中,堡垒主机最易受到攻击。而且内部网对堡垒主机是完全公开的,入侵者只要破坏了这一层的保护,那么入侵也就成功了。屏蔽子网防火墙被凭就是在被屏蔽主机结构中再增加一台路由器的安全机制,这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网,从而使得内部网与外部网之间有两层隔断。用子网来隔离堡垒主机与内部网,就能减轻入侵者冲开堡垒主机后而给内部网带来的冲击力。
优点:提供多层保护,一个入侵者必须通过两个路由器和一个应用网关,是目前最为安全的防火墙系统。
缺点:1)价格较贵;2)整个系统的配置较为困难。该防火墙适合大、中型企业,以及对安全性要求高的单位。
参考文献:
[1]贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社
[2]eric maiwald, wi1lieducation, security planning&disaster recovery,2003,
posts&telecommunications press
[3]john viega,gary mcgraw,构建安全的软件,钟向群,王鹏译,第一版,2003.04,清华大学出版社
防火墙技术篇3
关键词:网络攻击 防火墙 嵌入式
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)03-0216-01
信息社会的发展使得网络应用成为人们日常生活的一部分。计算机网络突破了传统空间中的地域限制和时间限制,可以快速准确的帮助人们获得所需信息和资源,极大的扩展了人们了解现实的渠道。但是随着计算机网络的普及和经济社会的发展,网络应用给我们带来了巨大的便利,也为我们带来了巨大的安全隐患。网络中的恶意程序以及人为的恶意破坏使得我们必须采取有效的防护措施对自身数据进行保护,防止被非法获取或泄露。防火墙则是基于网络的一种信息安全保障技术,是当前时期网络安全的主要解决方案之一,利用防火墙技术可以有效控制用户和网络之间的数据通信,保障数据的安全。
1 防火墙技术发展概述
防火墙技术主要是对内网和外网之间的访问机制进行控制,但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善,无法实现数据的安全防护。为解决该问题,分布式防火墙技术被提出来解决上述问题,该技术将安全策略的执行下放到各主机端,但是在服务端对各主机进行集中管理,统一控制,该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题,具有较好的网络防护性能。随着分布式防火墙技术的提出,人们不断对其进行改进,这些改进主要集中于两个方面:硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。
2 经典嵌入式防火墙技术研究
较为经典的嵌入式防火墙技术由以下几种。
2.1 基于OpenBSDUNIX的嵌入式防火墙技术
该技术的实现基础为在OpenBSDUNIX操作系统,该平台具有一体化的安全特性和库,如IPSec栈、KeyNote和SSL等,应用平台中的组件内核扩展程序可以指定安全通信机制;应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行;设备驱动程序组件用于提供通信接口。
2.2 基于Windows平台的嵌入式防火墙技术
该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间,向用户提供访问控制、状态及入侵检测等防御机制;用户配置接口用于配置本地安全策略。
本文主要对该平台的嵌入式防火墙技术进行研究。
3 基于嵌入式协议栈的内容过滤防火墙技术方案
该技术方案将嵌入式协议栈和动态包过滤进行整合,进而替代主机的应用层防火墙接口和系统功能调用,内容过滤和数据处理。其中,嵌入式协议栈主要用于对数据和通信策略进行检测,动态包过滤主要用于对IP层和TCp层的通信规则进行检测。
该技术方案的优势在于数据包过滤和协议内容分析处于系统的同一层次,这就会提高防火墙的防御效果。
3.1 防火墙结构分析
防火墙系统结构分为主要分为两部分:底层安全策略表和应用层安全策略表。与传统防火墙技术相比,本文所述基于嵌入式协议栈的防火墙技术在防御策略中添加了应用层的安全策略,其中,网络协议还原将原有的网络通信协议进行了还原处理,而应用层协议还原则是对应用层协议进行还原解码处理,经过两次还原,数据信息被送入安全检测模块进行数据分析。
3.2 工作流程实现
当网络中的主机进行数据包通信时时,会按照访问规则对数据包进行安全检测,查看是否符合访问规则,若不符合访问规则,则对该数据包进行丢弃处理,若符合访问规则,则按照防火墙状态表对数据包进行二次检测,该检测在协议栈部分进行。
对于需要检测的数据包如HTTP、SMTP、POP3等数据流,其检测过程为,数据进行IP分片还原、TCP连接还原以及应用层协议还原,还原过程结束后应用层的安全策略会产生一个新的状态表,该状态表用于判断数据包是否安全,若判定数据不安全则对其进行丢弃处理,若判定数据安全则对数据包进行转发。
对于不需要检测的数据如多媒体影音数据等,可以直接认定为其在安全层是安全的,可直接进行内容转发。
进入内容转发步骤的数据包即可实现数据的通信,整个嵌入式防火墙过程结束。
3.3 性能分析
该嵌入式防火墙技术将数据包过滤所需的状态表以及通信地址所需的地址表进行了集成,实现了嵌入式协议栈的整合。这种方式具有两方面好处:一是提高了两者之间的通信效率,减少了不必要的通信流程,协议栈可以便捷的更新数据包状态表,数据包状态表的状态可以确定数据包是否进行数据检测;二是集成化处理实现了状态表和协议栈之间的相对统一,降低了内存空间的使用。
4 结语
本文讨论了防火墙技术的应用目标和应用作用,进而就防火墙技术的发展及理论创新进行总结和分析,确定了嵌入式防火墙技术的应用优势,最后就基于Windows系统平台的嵌入式协议栈防火墙技术进行分析和阐述。随着网络环境的日趋复杂,在进行网络应用时必须要注意做好安全防护措施,应用嵌入式防火墙技术即可获得较为理想的安全防护效果。
参考文献
[1]孟英博,嵌入式防火墙的研究与实现[D].南京航空航天大学,2007(1).
[2]江文,浅议新一代防火墙技术的应用与发展[J].科学之友,2011(12).
[3]吴塍勤,防火墙技术的探讨[J].武汉船舶职业技术学院学报,2009,8(6).
防火墙技术篇4
关键词:防火墙; 新一代; 技术; 安全
新型的网络防火墙需要对数据和信息特别是需要高强度加密的资料进行强化保护,维护用户的信息安全,首先需要提高技术含量,才能对网络进行科学的过滤。对安全指标进行研究与强化,防止木马病毒等的侵害,才能从根本上提高新一代网络防火墙的安全性能,实现真正意义的网络安全。
1.新一代应用防火墙需具备的技术特征
1.1透明化的网络询问和灵活多变的服务
新一代的防火墙需要具备透明化的网络访问方法并采用灵活多变的服务体系。透明化的网络访问形式能提高用户访问互联网的速度同时减少软件系统的失误和隐藏的网络信息泄露风险。与此同时,灵活多变的网络体系能更高效快捷地将用户的信息从防火墙的一段顺利地发送到另一端。这种运行方式建立在两个系统的基础上。利用网络地址的转换技术和用户的保密或非保密技术。
1.2多级过滤与网络地址的有效转换
新型的防火墙需要建立在多级过滤和网络地址转换的技术基础之上。通过三重过滤方法能有效地保护网络系统的安全和稳定。在过滤中,能有效地过滤无效的IP,如FTP等的网关能检测到互联网中的服务信息。而NAT的应用能有针对性地对地址进行透明转换而外部互联网则不能掌握内部网络的信息。自行编制的IP和网络能在用户群体的内部进行使用。因此,此项技术能保证互联网服务中的安全和稳定,防火墙清楚掌握内部用户的通信记录并具体地正确分送地址。
1.3网关技术与SSN的科学应用
网关技术和SSN的进一步应用是为了降低互联网服务器中的信息安全风险,需采取不同的服务器进行网关的维护。以内部服务器DNS作为依据,分为内部与;两种处理方法等。而SSN技术则能为用户提供优质的安全网络服务。以独立网卡为依据,向外界进行信息的运作与处理,同时对内实现有效的隔离。
此外,新型防火墙技术需要对用户的信息进行鉴别和保密,完成配套的用户定制,科学审计和及时警告等。其鉴定措施是一次性的密码,实现信息加密。建设形式的系统能支持FTP等的用户定制服务。这一系列的措施都是新一代网络应用防火墙需具备的技术特征。
2. 新一代防火墙的表现形式
2.1以嵌入形式为特点的防火墙
在路由器等硬件中隐藏的防火墙是以嵌入形式为特点的防火墙,它在IP层的环境下进行运作,但不能有效应付来自木马病毒等的攻击,不能对其实现有效的检测环境。但嵌入形式为特点的防火墙具有自身的优点,它保证了企业和单位的内部往来免受来自的某种攻击:能有效地对防护措施进行延伸,独立运作于主机之外,在缺乏高安全系数的网络环境也能运作自如。
2.2智能化的新一代防火墙
智能化的新一代网络防火墙建立在记录、筛选、统计、优化的智能基础上,使用户的数据得到有效地识别和认证并科学地控制访问和服务。这种新型智能功能的防火墙需要运用抗攻击、抗扫描的技术,高效低分辨恶意的程序,阻挡病毒的入侵,以155或NMAP等的方法进行有效的反扫描活动。另外,智能化的新一代网络防火墙也包括了保证擦洗、正常化协议、AAA等一系列的技术,有效地擦洗IP或UDP等的协议,是实现协议有序化的有效方法,从而降低来自协议威胁的隐性风险同时填补TCP/IP等的存在漏洞。部分企业将3A技术应用到防火墙中,特别是无线的网络中,通过提高身份的验证关卡来提高网络安全。
2.3以分布形式为特点的防火墙
以分布形式为特点的防火墙是相对传统的防火墙而言的。过往的防火墙以边界为特点,而分布形式为特点的防火墙主要在主机中运作,以主机、网络、中心管理等为其主要类型。
以网络为主要形式的防火墙应用在边界防火墙与用户内维的网络之间,以协议的形式进行支持。而以主机为主要形式的防火墙能有效地维护桌面机与服务器网络环境的安全,主机所处的空间范围可以在内部网络之中,但也可以处于内部网内之外。而以中心管理形式为特色的防火墙能根据网络环境的不同要求进行设置,能对各项的日志进行编排与汇总。这些以分布形式为特点的防火墙突破了过往防火墙的自有缺陷,更强调安全的性能,也克服了网络边界的故障点,能有效地实现非静止计算。
3.新型防火墙技术的未来发展趋势
随着网络技术的发展与进步,新型的网络防火墙需要对数据和信息特别是需要高强度加密的资料进行强化保护,维护用户的信息安全是网络安全运行的重要指标,因此新型防火墙技术的未来也呈现出新的发展态势。
3.1关于防火墙过滤方法的发展
首先是防火墙的抗病毒入侵态势的发展。防火墙在用户的心目中已越来越具备防御和对抗病毒的功能,尤其是对于个体用户来说。防火墙一般以软件的形式存在,使用方便快捷。从预防病毒的角度来对计算机进行保养和维护能从源头上阻止病毒程序对用户计算机的危害和个人信息的泄露,有效地减少企业单位和个人经济信息和价值的损失。
另外,防火墙技术向多级多环节过滤的方向发展。新型的防火墙越来越倾向于采用多级多环节的过滤技术来对内部用户网络进行防御和维护。通过数重的过滤叠加方法能有效地保护网络系统的安全和稳定。在过滤中,能有效地过滤无效的IP,如FTP等的网关能检测到互联网中的服务信息。利用过滤的方法,对一系列的协议和数据捆绑包(如圣诞树包等)进行阻挡,与一般的单向性过滤措施实现了功能性的互补。过滤技术的分层比较分明和细致,不同的过滤措施对应不同的网络应用层面。在防火墙过滤方法的基础上进行发展和延伸,是未来防火墙过滤方法的发展总趋势。
3.2关于新型防火墙总体结构的发展
由于新型的网络防火墙需要对数据和信息特别是需要高强度加密的资料进行强化保护,因此对宽带的要求也大大提高,利用高速运算和处理信息数据的防火墙是其重要的标志之一。在未来10年的发展中,时代对对媒体设备和技术的要求会越来越高,因此 对信息经过防火墙的时间要求也越来越严谨,力求最大限度地降低信息经过防火墙时需要用到的时间,减少延误时间。使用的新一代防火墙(例如基于ASIC等技术)能一定程度上减少计算机硬件特别是CPU的工作强度和负荷,更快捷地执行防御任务,提高运作速度,依托软件的形式有效地实现快速高效的保护和防御。
以网络处理器为特征的防火墙具有明显的软件特性,有利于用户高效快捷的操作。对比专业性的硬件防火墙,以网络处理器为特征的防火墙对网络的信息流更能灵活地处理。根据这种原理,可以在ASIC硬件上加入应用编程,达到软件和硬件组合和利用的效用最大化,能实现更灵活的运作。
4.结语
信息技术不断推陈出新的年代,。对网络进行科学的过滤,是新型防火墙必须具备的重要功能。新型的网络防火墙需要对数据和信息特别是需要高强度加密的资料进行强化保护,维护用户的信息安全是网络安全运行的重要指标网络的与协议需要进一步的紧密联系,从而降低客户端的工作强度,对安全指标进行研究与强化,防止木马病毒等的侵害,对新一代网络防火墙的安全性能具有有力的保证。
参考文献:
[1]苏桂平.信息安全系统中一种实用的随机数产生办法[J]。计算机应用,2005(4):837一839
[2]许棣华.基于密钥管理技术的在线身份认证系统[J].计算机工程,2004(15):124一126
[3]常晓波、杨剑峰.安全体系结构的设计、部署与操作M.第1版.北京:清华大学出版社2003
防火墙技术篇5
关键词:防火墙;配置技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)15-20ppp-0c
Brief Analysis Firewall Disposition Technology
ZHENG Wei
(Fire in Huaibei City Public Security Detachment,Huaibei 235000,China)
Abstract:The article introduced the firewall disposition structure type and the characteristic, elaborated with emphasis the shield subnet firewall and the double host machine firewall disposition technology and the application, finally, in view of the different situation, proposed the firewall disposition plan.
Key words:Firewall;disposition;technology
1 引言
今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。每一次网络病毒的攻击,都会让家庭用户、企业用户甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙。
但是防火墙不是一道用于心理安慰的屏障,只有会用防火墙才能够真正将威胁挡在门外,如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义,添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过,从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网,如果事先制定了合理的过滤规则,它将可以截住不合规则的数据报文,从而起到过滤的作用。相反,如果规则不正确,将适得其反。
2 防火墙配置技术
一般来说,防火墙由包过滤(静态的或动态的)和应用网关(或者是电路级网关或者应用级网关)组成,当前主要有:过滤路由器防火墙;主机过滤防火墙;屏蔽子网防火墙;双宿主机防火墙。
2.1 过滤路由器防火墙配置结构
在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。这种防火墙的好处是完全透明,但由于是在单机上实现,形成了网络中的“单失效点”。路由器的基本功能是转发分组,一旦过滤机能失效,被入侵后就会形成网络直通状态,任何非法访问都可以进入内部网络。因此这种防火墙的失效模式不是“失效―安全”型,也违反了阻塞点原理。因此,我们认为这种防火墙尚不能提供有效的安全功能,仅在早期的因特网中应用。
2.2 主机过滤防火墙配置结构
这种防火墙由过滤路由器和运行网关软件的堡垒主机(指一个计算机系统,它是防火墙配置的一部分,并且是一个或数个应用网关的主机,它暴露于来自外部网络的直接攻击之中)构成。该结构提供安全保护的堡垒主机仅与内部网络相连,而过滤路由器位于内部网络和外部网络之间。
该主机可完成多种,如FTP、Telnet和WWW,还可以完成认证和交互作用,能提供完善的因特网访问控制。这种防火墙中的堡垒主机是网络的“单失效点”,也是网络黑客集中攻击的目标,安全保障仍不理想。但是该结构防火墙具有可操作性强、投资少,安全功能容易实现和扩充,因而目前也有比较广泛的应用。
2.3 屏蔽子网防火墙配置结构
该防火墙是在主机过滤结构中再增加一层参数网络的安全机制,使得内部网络和外部网络之间有两层隔断。简而言之,一个屏蔽子网防火墙就是由两个屏蔽路由器构成,它们是用来创建一个称为屏蔽子网或非军事化区域(DMZ)的外部网络段。DMZ把堡垒主机看成是应用层网关,在堡垒主机上可以运行各种各样的服务器。除了外部服务器,也还有一个被屏蔽路由器所分开的内部网络段,内部服务器可以运行在连接到内部网络段的机器上。如图1所示。
在这种结构下,入侵者要攻击到内部网络就必须通过两台路由器的安全控制。即使入侵者通过了堡垒主机,它还必须通过内部网络路由器才能抵达内部网。这样,整个网络安全机制就不会因一点被攻击而全部瘫痪。
这种防火墙把主机的通信功能分散到多个主机组成的网络中,有的作为FTP服务器,有的作为E-mail服务器,有的作为WWW服务器,有的作为Telnet服务器,而堡垒主机则作为服务器和认证服务器置于周边网络中,以维护因特网与内部网络的连接,服务器和认证服务器是内部网络的第一道防线,内部路由器是内部网络的第二道防线,而把因特网的公共服务(如FTP服务器、Telnet服务器和WWW服务器及E-mail服务器等)置于周边网络中,也减少了内部网络的安全风险。
2.4双宿主机防火墙配置结构
在TCP/IP中,多宿主机拥有多个网络接口,每一个接口都连接在物理和逻辑上分离的不同网段上,而且可以在不同的网络段之间转发或路由IP宝,如果在多宿主机中不能转发或路由IP包,则不同的网络段间被隔绝,因此可以用来配置防火墙,使IP路由无效是相对简单和直截了当的任务。
双宿主机是多宿主机中最常见的一个例子,双宿主机是一种拥有两个连接到不同网络上的网络接口的防火墙,一个网络接口连接到外部的不可信任的网络上,另一个网络接口连接到内部的可信任的网络上,如图2所示
这种防火墙的最大的特点在于其IP转发和路由能够被取消,所以IP包不再可能在两个网段之间被路由,应用网关运行在堡垒主机(双宿主机)上,此外,一个屏蔽路由器被特别地放置在堡垒主机和外部网络之间,在这个配置中,堡垒主机的外部网络接口连接到一个外部网段(通过一个屏蔽路由器),屏蔽路由器的目的是保证来自外部网络的任何IP包准确地到达堡垒主机(双宿主机),如果一个包来自其他目标地址,则舍弃这个包。同时在堡垒主机(双宿主机)和内联网之间配置了另外一个屏蔽路由器,是堡垒主机的内部网络接口连接到以另一个屏蔽路由器为宿主的内部网段。
由于双宿主防火墙配置的堡垒主机也可以因为效率原因被复制,因此而得的配置优势叫做并行双宿主防火墙,它可以由几个同时连接到内部或外部网段的堡垒主机构成,在这种情况下,可以在不同的主机上运行各种和SOCKS服务器。
总之,双宿主机防火墙是一种简单而安全的配置,在互联网中被广泛使用,但是对于非标准TCP/IP应用协议没有服务器,双宿主机防火墙配置显得很不灵活了,这对许多WEB站点来说是一个缺点。
3 典型的防火墙结构
建造防火墙时,一般很少采用单一的技术,通常是使用多种解决不同问题的技术组合。这种组合取决于网络管理中心向用户提供什么样的服务,以及网管中心能接受什么等级的风险。采用哪种技术主要取决于经费,制冷的大小或技术人员的技术、时间因素。一般有以下几种形式。
(1)使用多堡垒主机。
(2)合并内部路由器与外部路由器。
(3)合并堡垒主机与外部路由器。
(4)合并堡垒主机与内部路由器。
(5)使用多台内部路由器。
(6)使用多台外部路由器。
(7)使用多个周边网络。
(8)使用双重宿主主机与屏蔽子网。
4 结束语
随着1995年以来多个上网工程的全面启动,我国各级政府、企事业单位、网络公司等陆续设立自己的网站,电子商务也正以前所未有的速度迅速发展,但许多应用系统却处于不设防状态,存在着极大的信息安全风险和隐患。
防火墙系统作为一个有效的防范手段,已经得到了广泛的认可和应用,它们为企业部门提供有效的访问控制服务,并且根据不同的组成和配置,形成不同安全等级的网络系统,但是防火墙决不是任何意义上的灵丹妙药,也不是解决所有与网络有关的安全问题的仙丹,其最大的缺点就是不能保护站点或者内联网用户免受来自内部的攻击,因此它们决不能替代企业部门内联网的安全管理。如何进一步从软件和硬件的实现上加强网络安全防范工作已成为一项刻不容缓的亟需解决的现实问题,建立较为完善的网络安全体系,防止各类网络安全事件的发生,正是今后进一步开展研究工作的方向。
参考文献:
[1]Rolf Oppliger,著.杨义先,冯运波,李忠献,译.WWW安全技术.人民邮电出版社,2001.
[2]Wes Noonan,Ido Dubrawsky,防火墙基础.人民邮电出版社.
[3]付爱英.防火墙技术标准教程.北京理工大学出版社,2007.
收稿日期:2008年2月28日
防火墙技术篇6
原有计算机防火墙存有一定的缺陷,不能识别数据信息有效代码,最终导致不明信令代码的入侵,攻克计算机防护系统。但现有模式中,采用多层加密方式,保证了传输数据的完整性。
1计算机防火墙的分类
计算机防火墙的类型有:数据包过滤防火墙以及网络地址翻译防火墙,数据包防火墙是根据传输数据信息的目的地址、源地址、端口号以及遵循的协议类型来进行识别。例如:若传输的数据信息头部含有31传输端口号,0-16为源端口,16-31为目的端口,具体数据报头结构如图1所示,当数据在传输过程中,数据包防火墙会根据传输数据包的类型进行检测。这种防火墙的优点便是不用更改终端设备的传输代码,形成一个环形链锁反应,将最终的传输数据信息以报告的形式发送至终端设备。其次这种防火墙能够与Pc之间建立直接逻辑联系,当数据包满足逻辑关系时,才能被防火墙有效的识别。
网络地址翻译防火墙是将网络中的IP转化为互联网中的IP,使其提高IP利用率,这种方案设计解决了LAN内IP地址的申请问题。并且这种防火墙翻译技术与其他防火墙技术相比,其终端具有隐蔽性的特点,主机终端与附属Pc形成响应,当主机终端发出应答模式,附属设备接收后并发出应答,这样该两主机的数据才能对接,这种配置模式可以保证私有IP地访问INT,而这种静态配置命令需要在路由器全局配置模式下进行,其中配置路由器R1地址转换的命令代码如下:
Router111(config)#ip nat inside source static192.168.32.6
Router111(config)#ip nat inside source static192.168.42.6
Router111(config)#int f0/0
Router111(config-if)#ip nat in
Router111(config-if)#ip nat inside
Router111(config)#int fI/0
Router111(config-if)#ip nat out
Router111(config-if)#ip nat outside
这种配置命令能够实现路由器R1静态地址之间的转换,防止外部IP入侵检测系统,破坏数据的完整性。数据报头结构如图1所示。
2计算机防火墙的应用原理
计算机防火墙在应用原理上将TopsecOS构架分为3层,第1层是硬件结构、第2层为OS层结构、第3层为安全层结构,其中MIPS主要用于硬件结构中,完成信息指令和数据代码的识别。该架构还拥有64位编码指令集,能够将编码的数据信息数据库,完成高级语言优化处理功能。其次还带有30个寄存器,完成MIPS32与MIPS64信息的转换。OS层主要完成计算机防火墙信息加密处理,从而生成密钥,完成PC至防火墙信息之间的识别。在RSA算法中,利用p/q两个不对等大素数完成信息的加密与解密。加密采用的是私有密钥:d=e-1{mod(p-1)(q-1)形式,解密采用的是m=cd(mod n),并且保证c=cd(mod n),其中m为明文,c为密文。安全结构层是将信源代码进行有序的还原,安全结构层是在交换设备内进行数据源代码的还原。数据在传输过程中,首先从信源设备发出,然后在传输设备内进行加密,交换设备内进行数据代码的解密以及封装,最后将解密后的数据信息传输至终端设备内。但是病毒往往破坏数据报头结构,造成传输数据片段缺失,而无法回复原有的数据模块。在结构层中,数据报头中的源端口中存有一定的数据信息,当数据片段发生缺失时,只要找到数据报头的源端口,便可恢复发送的数据信息,这种结构在计算机防火墙中早已应用,并取得了一定的成效。
3计算机防护墙存在的问题
计算机防火墙虽然具有一定的抵御能力,但是由于计算机病毒结构的多变,一些文件夹中会隐藏或者嵌套着病毒代码,导致防火墙不能有效的进行识别。例如:防火墙在对传输代码进行识别时,防火墙识别的代码指令为100…101,但由于病毒代码的串改,导致传输的代码变为100…111,防火墙识别了代码中的前三位和后两位,最终使病毒入侵至计算机服务器内,导致系统的崩溃。防火墙对于OA系统内的病毒并不能有效的抑制,一般防火墙不但能够拦截病毒,并且杀死计算机入侵的病毒。但是当病毒入侵NOA内,有些防火墙的抵御能力以及杀毒能力不能正常发挥作用。对于Web中的数据流量防火墙也不能进行有效的识别,防火墙对于SSL加密的数据信息是可见的,但是对于数据信息的解密防火墙目前无法破解,这便导致了网络黑客借助SSL数据流量的加密性,攻击用户客户端。其次便是防火墙无法屏蔽过长的URL,防火墙供应商在防火墙软件上说明该杀毒程序能够有效阻止缓存的溢出。
计算机防火墙网络体系结构也存有一定的缺陷,其中包括物理层以及网络层,网络层存在的问题主要是网络通信线路的破坏与物理数据窃听网络防火墙传输线路遭到破坏时,数据便有可能遭受到外界的攻击,使其数据包丢失。网络层存在的缺陷主要从2个层面进行分析,一种是防火墙安全配置问题,另一种是网络用户安全意识的缺失。一般企业内部采用的都是局域网通透防火墙,这种防火墙能够对IP地址进行过滤。企业只需要将内部PC的IP录入至终端数据库,防火墙便会通过IP筛选的方式将外界不明代码进行过滤,防止黑客对防火墙的任意攻击。但这种过滤方式会对FTP服务器以及Web服务器造成数据代码信息的丢失,在筛选过程中会减少数据字符串的信息量,当过滤掉大量IP时,字符串的信息便会大量减少,使其出现数据到达终端数据库的信息大量减少。网络用户安全意识的缺失也是造成计算机防火墙出现问题的主要原因,用户随意登录不明网站时,防火墙便会进行防火拦截,终止恶意代码的入侵,但有时阻止程序会发生中断,使其黑客病毒入侵至终端系统,造成大量数据信息的丢失。
4计算机防火墙的发展应用
计算机防火墙现已逐步应用于各个区域,其中包括:军事行业、疗卫生行业、机械制造业以及IT互联网行业,军事网络防火墙的应用能够抵御外来病毒的入侵,保护国家军事机密文件。军事网络防火墙属于特殊防火墙,一般不与外网相连,外部的黑客无法攻入,使其保证了数据信息的完整性。医疗卫生行业计算机防火墙的设立,保证医药管理人员能够安全登录后台操作系统,查看医院现有的药品种类,以及完成药品的归类等。机械制造业计算机防火墙的设立,能够有效抑制黑客对设备参数的更改。原有制造业没有对其进行防护,导致黑客攻入计算机终端系统,调整车床加工参数,使其生产出的设备不能满足实际的需求。其次便是IT互联网行业计算机防火墙的设立,IT行业独自建立企业内部的安全防护网,保证企业专属数据信息的有效性。计算机防火墙现已在各个终端系统都有所应用,其实保证数据信息的安全性。
5结语
防火墙技术篇7
【关键词】防火墙 历程 功能 升级换代 趋势
秦皇岛市广播电视台门户网站在2014年上半年对原有防火墙系统进行了升级换代,本文结合网站防火墙的升级换代工作,对防火墙技术进行了探讨。
1 防火墙的概念和发展历程
1.1 防火墙的概念
防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是一种非常有效的网络安全模型。防火墙不只是用于因特网,也用于部门网络之间。
1.2 防火墙的发展历程
目前的防火墙无论从技术上还是产品发展历程上,都经历了五个阶段。
20世纪80年代初,最早的防火墙几乎与路由器同时出现,是依附于路由器的静态包过滤功能实现的防火墙。
1989年,贝尔实验室推出了第二代防火墙,即电路层防火墙;
20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做防火墙);
1994年,以色列的CheckPoint公司推出了基于动态包过滤技术的第四代防火墙;
1998年,NAI公司推出了一种自适应技术,可以称之为第五代防火墙。
2 防火墙的分类及其主要功能
防火墙可以是一种硬件、固件或者软件,专用防火墙设备、就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而服务器等软件就是软件形式的防火墙。
2.1 防火墙的分类
根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防火墙和防火墙。
(1)静态包过滤防火墙
根据数据包头信息和过滤规则,阻止或允许数据包通过防火墙。
(2)应用防火墙
检查数据包的应用数据,根据安全规则禁止或允许某些特殊的协议命令;还具有其他类似于URL过滤,数据修改,用户验证,日志等功能。
(3)入侵状态检测防火墙(动态包过滤防火墙)
根据过去的通信信息和其他应用程序获得的状态信息,动态生成过滤规则,根据新生成的过滤规则过滤新的通信。当通信结束时,过滤规则将自动从规则表中删除。
(4)自适应防火墙
这种防火墙整合了动态包过滤防火墙技术和应用技术,本质上是状态检测防火墙。其同时具有防火墙和状态检测防火墙的特性,即保证了安全性又保持了高速度,这次秦皇岛广播电视台门户网站升级的防火墙就是这种防火墙。
2.2 防火墙的功能
防火墙主要有以下几方面功能:
(1)创建一个阻塞点,通过这个阻塞点防火墙设备就可以监视、过滤和检查所有进出的流量。
(2)隔离不同网络,防止内部信息的外泄。
(3)通过以防火墙为中心的安全方案配置,强化网络安全策略。
(4)有效地审计和记录内、外部网络上的活动。
3 秦皇岛市广播电视台门户网站防火墙的升级换代
3.1 防火墙的需求
根据这些年秦皇岛市广播电视台门户网站实际应用和未来发展的需要,对防火墙的基本功能需求如下:
(1)先进的认证手段,可以安装认证方法。
(2)能运用过滤技术允许和禁止服务,集中和过滤拨入访问,可以根据数据包的性质进行包过滤;拥有界面友好、易于编程的语言。
(3)支持FTP和Telnet等服务, 包含NNTP、XWindow、HTTP和Gopher等服务程序。
(4)具有精简日志的能力,可以记录网络流量和可疑的活动。
(5)防火墙应该有网络地址转换功能(NAT)、双重DNS、虚拟专用网络(VPN)。
(6)能为用户提供完整的安全检查功能,为用户管理时记录、改进和追踪等安全操作提供便利。
(7)防火墙便于管理和使用,并且自身安全措施完备。
(8)售后服务完善,保证用户能及时堵住新的安全漏洞。
根据这些需求,我们经过多方考证接触,基本圈定交大捷普和东大软件两家公司的产品和服务。再经过与交大捷普和东大软件的深入沟通探讨,结合产品报价和售后服务,最后决定引进东大软件推荐的深信服硬件防火墙。
3.2 防火墙的安全构建
3.2.1 基本准则
此次秦皇岛市广播电视台门户网站防火墙系统的升级换代是基于“未经说明许可的就是拒绝”这个基本准则而设置的。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。
3.2.2 安全策略
在一个内网中,内网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。根据秦皇岛市广播电视台门户网站对外提供的服务,确定了各个服务器的IP、应用及开放端口,在防火墙上实施。
3.2.3 构建费用
此次对防火墙系统升级换代的构建费用合计:5.54万元,其中防火墙4.6万元,交换机0.38万元,检测工作站0.56万元。
4 防火墙的发展趋势
(1)防火墙将向远程集中管理的方式发展。
(2)IP的加密需求越来越强,安全协议的开发是一大热点。
(3)单向防火墙将作为一种产品门类而出现。
5 结束语
秦皇岛市广播电视台门户网站的防火墙升级换代之后,网站服务器的安全性有较大的改善,有效的拦截了来自Internet外部对服务器的攻击,节省了网站带宽和服务器资源,提高了用户体验和访问速度。但是,没有一种技术可以百分之百地解决网络上的所有问题,防火墙只是整体安全防范策略的一部分,仅有防火墙是不够的,防火墙还处于发展阶段,仍有许多问题需要解决。因此,网络安全不能单靠防火墙,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等。
参考文献
[1]聂元铭,丘平.网络信息安全技术[M].北京:科学出版社,2001.
[2]王蓉,林海波.网络安全与防火墙技术[M].北京:清华大学出版社,2000.
[3]阎惠,王伟,宁宇鹏,防火墙原理与技术[M].北京:机械工业出版社,2004,48-54.
[4]黎连业,张维.防火墙及其应用技术[M].北京:清华大学出版社,2004.
作者单位
防火墙技术篇8
关键词:网络安全;防范措施;防火墙技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1067-03
1绪论
计算机技术的应用与发展,带动并促进了信息技术的变革,二者正从整体上影响着世界经济和社会发展的进程。但是,伴随而来的是计算机屡遭破坏,轻者丢失数据,重者系统平台和计算机资源被攻击,其损失是不可估量的,因此计算机网络安全是一个日益严峻的问题。为了保护计算机、服务器和局域网资源免受攻击破坏,利用防火墙技术是既流行且可行的一种网络安全防护技术。
2计算机网络面临的主要安全问题
2.1网络安全的定义
网络安全是指网络系统中的硬件、软件及其数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常运行,网络不中断。
2.2网络安全面临的主要威胁
一般来说,计算机网络安全威胁因素主要来自计算机病毒、软件漏洞、黑客非法入侵和用户安全意识不强等几个方面。
2.2.1计算机病毒
计算机病毒是目前数据安全的头号大敌,它是编译者在计算机程序中插入的一组影响计算机软、硬件的正常运行并且能自我复制的计算机代码。
2.2.2软件漏洞
软件漏洞是无法避免的,一般是软件开发者的疏忽或基于编程语言的局限性,而在软件中留下的缺陷。
2.2.3黑客非法入侵
黑客非法入侵从某种意义上讲比一般电脑病毒对计算机安全的危害更为严重,主要是利用操作系统的安全漏洞非法进入他人计算机系统获取信息。
2.2.4用户安全意识不强
用户安全意识不强主要体现在密码长度不够,由单一数字或字母组合;访问有安全隐患的网站;计算机存在共享文件;对下载文件没有及时进行查杀病毒而直接运行等。
2.3网络安全常用技术
2.3.1数据加密技术
数据加密是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息。
2.3.2身份认证系统
身份认证是通过对主客体进行鉴别,并经过确认主客体身份后,赋予恰当的标志、标签、证书等。
2.3.3入侵检测技术
入侵检测技术是指通过收集和分析网络行为、安全日志等数据对入侵行为的检测。
2.3.4防病毒技术
防病毒技术是通过一定的技术手段防止计算机病毒对系统的传染和破坏。
2.3.5文件系统安全
在操作系统中可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限来限制用户访问。
2.3.6防火墙技术
防火墙技术是一种隔离技术,用来阻挡外部不安全因素,其目的就是防止外部网络用户未经授权的访问,它是计算机网络安全 的第一道关卡。
3防火墙的概述
随着Internet的迅速发展,网络应用涉及到各个领域,网络中各类重要的、敏感的数据逐渐增多,同时由于黑客入侵以及网络病毒的原因,使得保护网络资源不被非法访问,阻止病毒的感染传播显得尤为重要。就目前而言,对于局域网络的保护,防火墙仍不失为一种有效的手段。
3.1防火墙的主要功能
3.1.1强化网络安全策略
通过以防火墙能将所有安全措施(如口令、加密、身份认证等)配置在防火墙上,这与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济实用。
3.1.2对数据包过滤
数据包过滤是指数据包从一个网络向另一个网络传送过程中通过事先设定的规则对其进行检查以确定是否允许通过。
3.1.3防止内部信息外泄
通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,限制内部网络中不同部门之间互相访问,保障了网络内部敏感数据的安全。同时防火墙还可以阻塞有关内部网络中的DNS信息,从而避免内部信息外泄。
3.1.4虚拟专用网络
虚拟专用网络功能可以在防火墙与计算机之间对所有网络传输内容进行加密,建立一条虚拟通道。
3.1.5网络地址转换
网络地址转换优点是:一隐藏内部网络真实IP,可以使黑客无法直接攻击内部网络;二可以让内部使用保留IP,即私有网段IP,可以解决IP不足的情况。
3.1.6提供详细日志记录
由于对网络存取和访问都必须经过防火墙,因此防火墙就不仅保存完整的日志记录,还能够提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
3.2防火墙的分类及工作原理
国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙、应用级服务器及状态包检测防火墙。
3.2.1包过滤防火墙
包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定阻止或通过。
3.2.2应用防火墙
应用防火墙是针对数据包过滤和应用网关技术将所有跨越防火墙的网络通信链路分离。
3.2.3状态包检测防火墙
状态包检测防火墙在建立连接时,检查预先设定的安全规则,符合规则的连接允许通过,并记录相关信息,动态生成状态表。
3.3防火墙应用实例
在供电分公司骨干链路出入口处部署一台普天网安PT-WA2000防火墙,主要技术参数为:6个10M/100M以太网接口,400Mb? ps吞吐量,80万并发连接数,1200条VPN通道;防火墙将分公司、内网和外网隔离。(网络拓朴图如下)
3.3.1普天防火墙的功能
1)对外网进入内网的所有数据流可以毫无遗漏地进行控制,消除了网络安全的死角。
2)内网用户只能单向主动地访问互联网,而互联网上的机器不能主动访问内网用户。
3) VPN远程用户可以登陆防火墙,通过对防火墙所做的通信规则实现对防火墙连接的所有网络进行不同程度的访问。
4)充分利用防火墙的路由功能,拆除多余的路由器,简化网络,提高内网的通信效率,降低维护成本。
5)充分利用防火墙的带宽保证功能,确保主要业务和特殊用户的带宽使用,针对P2P技术的下载流量也可进行限制与管理。
6)通过防火墙的实时日志管理功能及日志服务器对防火墙的日志实时接收,方便了网络管理员对用户网络运行的监控与管理及对网络中异常的访问的排查。
7)通过防火墙的用户认证管理机制,对互连网访问的用户实现监控与管理。
3.4防火墙的主要技术优缺点分析
3.4.1包过滤技术
优点:包过滤防火墙工作在网络层,因此处理数据包的速度快,此外它还提供透明服务,即不需要用户名和密码来登录。缺点:网络层在OSI体系中处于较低的层次,因此安全防护也是较低级,不能彻底防止地址欺骗。
3.4.2应用技术
优点:应用型防火墙工作在应用层,对内部网络用户而言是透明的,而对外部网络却隐藏了内部IP地址,可以保护内部主机不受外部攻击。
缺点:速度较路由器慢,对于每项服务可能要求不同的服务器,不能改进底层协议的安全性。
3.4.3状态检测技术
优点:配置了“专用检测模块”,更容易地实现应用与服务的扩充。缺点:配置复杂,因而降低了网络速度。
4防火墙的未来发展趋势
4.1防火墙未来发展设想
1)形成以防火墙为核心的计算机网络安全体系。迄今为止,防火墙技术仍是应用最广泛的计算机网络安全防护技术,其重要性不可替代,但是要想最大程度地保护网络安全,仅凭防火墙单方面的作用是不行的,还必须借助其他手段构建以防火墙为核心,多个安全系统协作配合的计算机网络安全体系。
2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步向基于网络处理器ASIC芯片架构上发展。网络处理器由于内含多个数据处理引擎,能够直接完成网络数据处理工作从而减轻CPU的负担。
3)智能技术的进一步发展。目前的防火墙只能识别一些已知的攻击行为,对于未知的攻击则显得力不从心,因此智能化是将来的发展趋势,能自动识别并防御黑客的各种手法及相应的变种。
4)分布式技术的进一步发展。分布式技术将是未来的趋势,多台物理防火墙协同工作,组织成一个强大的、具备并行处理能力、负载均衡的逻辑防火墙,不仅保证了在大型网络安全策略的一致,而且集中管理,大大降低了资金、人力及管理成本。
5)经济高效的发展趋势。防火墙要防止各种网络的攻击,其性能势必会下降。安全性和实用性是一对主要的矛盾,经济高效的防火墙将是未来研究的方向。
随着网络技术的不断发展,网络安全正面临着越来越大的威胁,局域网络中部署防火墙已是至关重要的。虽然目前的防火墙还存在一定的缺陷,但是在科研人员的研发下已在不断完善,从单纯地拦截黑客的恶意攻击,逐步走向安全事件管理及安全信息管理,并将最终成为未来网络安全技术中不可缺少的一部分。
参考文献:
[1]王卫平.陈文惠.朱卫未.防火墙技术分析[J].信息安全与通信保密,2006.
[2]阎慧.防火墙原理与技术[M].北京:机械工业出版社,2004.