防火墙技术的基本原理范文
时间:2023-11-10 17:56:16
防火墙技术的基本原理篇1
【关键词】 信息安全; 防火墙;技术特征;并发连接数
一、防火墙的发展历程及工作原理
从广义上讲,防火墙保护的是企业内部网络信息的安全。从狭义上讲,防火墙保护的是企业内部网络中各个电脑的安全,防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙的发展经过了几个历程:第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,提出了第三代防火即应用防火墙的初步结构。第四代防火墙,1992年USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。1998年,NAI公司推出了一种自适应(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
二、防火墙技术工作原理
1.包过滤分。静态包过滤,过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。状态包过滤,防火墙采用了一个在网关上执行网络安全策略的软件引擎,被称为模块。监测模块工作在链路层和IP层之间,对网络通信的各层实施检测分析,提取相关的通信和状态信息,并在动态连接表中进行状态及上下文信息的存储和更新。其另外一个优点是能够提供对基于无连接的协议(UDP)的应用(DNS,WAIS等)及基于端口动态分配的协议(RPC)的应用的安全支持。
2.应用防火墙。应用防火墙检查数据包的应用数据,并且保持完整的连接状态,他能够分析不同协议的命令集,根据安全规则景致或者允许某些特殊的协议命令。通过限制某些协议的传出请求,来减少网络中不必要的服务,大多数防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事进行记录
三、企业选择防火墙
在应用领域,企业需要对外提供如WEB服务、DNS域名解析以及其他服务等,这些应用会使网络流量不断变化,企业就需要性能指标好的防火墙,要考虑的基本标准:防火墙的基本功能、管理功能、内容过滤、NAT技术、状态检测、抗攻击能力等;更要考虑吞吐量、延时、丢包率、并发连接数等性能表现,并发连接数为评价防火墙性能的最主要因素:(1)吞吐量。吞吐良作为衡量防火墙性能的重要指标之一,要求防火墙具有单向或双向线连吞吐量的能力。(2)时延。其时延是体现处理数据的速度。(3)丢包率。主要测试的是在连接负载的情况下、防火墙由于资源不足应转发但未转发的祯的百分比。(4)并发连接数。并发连接数是指防火墙对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
在实际应用中,由于大多数连接的维持存活周期非常短,从统计角度上来说,并发连接数/每用户的等效数值 Sum_Statistical = Sum_Peak×0.3将是一个非常充分、宽松的等效换算公式。每个用户所需要的并发连接数=35×0.3=10.5个,这是一个比较合理、科学的统计估值。高并发连接数的防火墙设备通常需要客户投资更多的设备,这是因为并发连接数的增大牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。在合理的设备投资和实际上所能提供的性能之间按照并发连接数来衡量方案的合理性是一个值得推荐的办法。
以每个用户需要10.5个并发连接来计算,一个中小型企业网络(1000个信息点以下,容纳4个C类地址空间)大概需要10.5× 1000=10500个并发连接,因此支持20000~30000最大并发连接的防火墙设备便可以满足需求;大型的企事业单位网络(信息点数在 1000~10000之间)大概会需要105000个并发连接,支持100000~120000最大并发连接的防火墙就可以满足企业的实际需要;对于大型电信运营商和ISP来说,电信级的千兆防火墙(支持120000~200000个并发连接)则是恰当的选择。
总之,在构建和完善企业内部网络的时候,避免为较低需求而采用高端的防火墙设备将造成用户投资的浪费,也要避免为较高的客户需求而采用低端设备将无法达到预计的性能指标,也需要谨慎的考虑和选择节省企业的开支,达到最佳的性价比。
参考文献
防火墙技术的基本原理篇2
1引言
随着我国各大高校数字校园的发展建设,网络信息安全问题已经成为了校园信息化建设中不可忽视的重点问题。为了解决校园网络信息安全问题,越来越多的现代信息安全技术被广泛应用于数字校园建设中,防火墙技术在网络安全防护建设中应用得最为普遍。但是,传统的边界防火墙技术存在性能较差和单点失效等明显弊端,更需要基于网络拓扑结构来实现防火墙安全策略。因此,分布式防火墙技术在这种背景下应运而生,分布式防火墙技术通过在某些受保护的主机上进行部署,以解决传统防火墙技术的瓶颈问题。本文主要对分布式防火墙在数字校园中的部署进行了方案设计。
2传统防火墙中存在的问题
(1)内部安全问题。传统的防火墙技术无法对内部数据进行安全监控,更无法实现出现在网络内部攻击的安全防护。(2)性能瓶颈问题。传统防火墙技术的性能较差,数据处理速度较慢,防护恶意攻击的安全功能不够完善。(3)单点失效问题。整个网络的安全防护全部依赖防火墙技术,一旦恶意攻击者翻越防火墙,或者防火墙配置出现问题,内部网络将完全暴露于攻击人员面前。(4)授权访问问题。由于网络环境非常复杂,很容易造成恶意攻击人员绕过防火墙设置直接与内部网络进行连接,给网络安全防护带来极大威胁。(5)端对端加密威胁。当基于新型网络协议进行数据加密时,传统防火墙技术经常会由于没有密钥而无法识别合计检查通过的数据包内容。(6)安全模式简单。传统防火墙技术的安全防护策略主要针对的是内部网络,内部网络中部署的主机全部采用相同的安全模式,很容易造成信息安全威胁。
3分布式防火墙的部署设计
3.1体系结构设计
本文主要基于Linux系统环境下,通过服务器部署防火墙策略,在防火墙基础上进行安全策略协商,以确保各个防火墙可以协同工作,对整个网络系统进行安全防护,构建分布式防火墙系统的原型。分布式防火墙系统结构如图1所示,采用对话控制方式的协调机制,具有典型分散型防火墙系统的部署结构。
3.2控制中心结构设计
控制中心主要负责实现资料收集、相互对话、日志管理和证书签发功能。控制中心的各个节点处都配置了防火墙的安全策略库、数字密钥库和数字证书等内容。控制中心的本质是CA认证中心,CA认证中心是分布式防火墙系统唯一授权和承认的数字证书签发机构。控制中心结构主要包括策略模块、日志模块、策略分析模块和策略协商模块。
3.3防火墙结构设计
防火墙的设计主要采用了分布式结构,以分担网络数据流量的方法减少每个网络节点承担的数据处理量。分布式防火墙的部署能够有效避免某个网络节点感染木马病毒而导致整个网络受到严重的安全威胁,每个网络节点必须针对需要经过的数据进行识别和检查。防火墙系统的体系结构包括通用层接口、IP过滤模块、服务程序、联动接口、冲突检测、网络解析、策略协商和日志管理等。接口层主要为用户使用管理进行支持,IP过滤模块负责对生成的日志信息进行保存,以记录网络访问地址。冲突检测模块负责检查各个数据输入接口与防火墙连接的位置是否存在异常情况。安全解析模块负责解析安全版图,将其转换成为系统可以识别和执行的形式。策略协商模块负责利用控制中心实现其他防火墙的安全防护策略的协同运行。
4结语
综上所述,由于各大高校校园网络建设规模非常庞大,网络结构也十分复杂,本文提出了防火墙的部署方案,主要利用控制中心对安全防护策略进行协商,但这也可能会造成系统性能降低等问题,在下一步的设计研究中应该增加多个控制中心,由每个控制中心负责承担部分防火墙安全策略的协商任务,再通过完善的数据通信机制使各个控制中心之间实现协商策略的交换。同时,还可以将控制中心的各项功能与防火墙功能结合,防止由于过于依赖策略中心给系统安全漏洞和威胁。
防火墙技术的基本原理篇3
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章绪论
§1.1概述
随着以Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet,他们可以从异地取回重要数据,同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章防火墙的原理、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integratedsecuritysystem)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章防火墙的部署和使用配置
§3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§3.2防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§4.2防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§4.3主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§4.4自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天,FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§4.5其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§4.6资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§4.7软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§4.8软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章防火墙的入侵检测
§5.1什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§5.2入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§5.6什么是VPN?
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§5.8VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献:
1..MarcusGoncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2.梅杰,许榕生。Internet防火墙技术新发展。微电脑世界.
3.RanumMJ.ThinkingAboutFirewalls.
防火墙技术的基本原理篇4
关键词:网络安全;防火墙;拓扑结构;分组过滤;堡垒主机;双宿主主机;应用层网关;服务
一、网络安全介绍
互联网的安全问题促使了网络安全技术的发展。计算机网络的安全性定义为:
(一)保障网络服务的可用性(Availability),即在用户需要得到系统服务时,系统能及时有效地提供。
(二)网络信息的完整性(Integrity),要求用户接入或发出的信息必须完整地,准确地在指定有限范围内传播。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化;第二,网络的安全机制与技术不断地变化;第三,随着网络在各方面的延伸,入侵网络的手段越来越多,因此,网络安全技术是一个十分复杂的系统工程。
分析不同的网络结构和针对不同的应用,应采用不同的安全对策。从根本上说,网络安全的工具主要有两个: 一是防火墙(Firewall)技术,另一个是加密技术。本文着重讨论防火墙技术。
二、防火墙的概念
所谓防火墙就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制。防火墙是被动防卫型安全保障系统,其特征是在网络边界上建立相应的网络通信监控系统来实现安全保障。它要求所保卫的网络是一个相对封闭的拓扑结构,只在出口与外界网络连接,假设不安全的因素仅来自于外部网络,建立防火墙就是利用专用安全软及硬件,对内部网络与外部网络之间的往来信息进行监测,控制和修改。
设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。通常被保护的网络属于我们自己,而所要防备的网络则是一个外部的网络,该网络是不可信赖的。对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。
不同的防火墙侧重点不同。从某种意义上来说,防火墙实际上代表了一个网络的访问原则。如果在某个网络设定防火墙,那首先需要决定本网络的安全策略(Security Policy),即确定哪些类型的信息允许通过防火墙,哪些类型的信息不允许通过防火墙。防火墙的职责就是根据相应的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。
在设计防火墙时,除了安全策略以外,还要确定防火墙类型和拓扑结构。
三、防火墙拓扑结构
建立性能良好的防火墙,其关键在于网络拓扑结构的合理设计及防火墙技术的合理配置。
(一) 屏蔽路由器模式
这是最初的防火墙设计方案,它不是采用专用的设备部署,而是在原有的路由器上进行包过滤部署。具备这种包过滤技术的路由器也称为“屏蔽路由器”,其结构如图1。
(二) 双宿主机模式
它不是用真正的硬件防火墙来实现的,是通过在一台俗称为“堡垒主机”的计算机上安装有配置网络控制软件来实现的。所谓“双宿主机”,就是指堡垒主机,同时连接着一个内、外部网络,担当起全部的网络安全维护责任。双宿主机模式如图2。
(三)屏蔽主机模式
由于“屏蔽路由器”防火墙方案过于单调,很容易被黑客攻击,所以在路由器后增加了一个用于应用安全控制的计算机,充当堡垒主机角色。这就是“屏蔽主机防火墙”模式,又称“屏蔽主机”模式。其结构如图3。
采用这种设计作为应用级网关(服务器),可使用网络地址转换(NAT)技术来屏蔽内部网络。可更进一步建立“屏蔽多宿主机防火墙”模式。在这种结构中,堡垒主机可以连接多个内部网络或网段,也就需要在堡垒主机上安装多块网卡。其结构如图4。
(四)非军事区(DMZ)结构模式
DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。DMZ防火墙方案提供了一个区域放置公共服务器,从而能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。网络结构如图5。
四、防火墙技术
防火墙最常采用的技术有数据包过滤,应用网关和Proxy等。本文主要介绍防火墙的基本构件和技术:分组过滤(Packet Filtering)技术、双宿主机(Dual-homed Host) 和堡垒主机(Bastion Host)、应用层网关(Application Level Gateway)、服务 (Proxy Service)。
(一)包过滤(Packet Filter)
包过滤是对网络中的数据包实施有选择通过。其依据是系统设置的接入控制表ACL(Access Control List)。根据IP包头信息中的源地址,目标地址,封装协议(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口号,ICMP,TCP链路状态等因素来确定是否允许数据包通过。包过滤主要工作在网络层,因而对位于网络更高协议层的信息无理解能力。由于数据包过滤逻辑是静态指定的,因而系统维护工作很大。数据包的检查过滤也会对路由设备的性能产生影响,可审核性也是要考虑的因素之一。
由于分组过滤规则的设计原则是有利于内部网络连向外部网络,所以在筛选路由器两侧所执行的过滤规则是不同的。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能以较小的代价在一定程度上保证系统的安全。但其缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造Ip地址,骗过包过滤型防火墙。
(二)双宿主机(Dual-homed Host) 和堡垒主机(Bastion Host)
双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等
双宿主机是堡垒主机的一个实例。堡垒主机通常指的是对网络安全至关重要的防火墙主机,是组织机构中网络安全的中心主机。堡垒主机是由网络管理员严密监视的。堡垒主机软件和系统的安全情况应该定期地进行审查,对访问记录应进行查看,以发现潜在的安全漏洞和对堡垒主机的试探性攻击。
因为堡垒主机是与外部不可信赖网络的接口点,它们常常容易受到攻击。堡垒主机最简单的设置,是作为外部网络通信业务的第一个也是唯一的一个入口点。
进一步的发展就是多宿主机,多宿主机指的是一台配有多个网络接口的主机。通常,每一个网络接口与一个网络相连。多宿主机可以用来在几个不同的网段间进行寻径。如果在一台多宿主机中寻径功能被禁止,则这个主机可以隔离与它相连的网络之间的通信流量;与之相反的是,与它相连的每一个网络都可以执行由它所提供的网络应用,如果这个应用允许的话,它们还可以共享数据。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
更进一步的话,可以用两种方案提高安全性:有屏蔽主机(Screened Host)或有屏蔽子网(Screened Subnet)。在第一种方案中,一个分组过滤路由器与Internet相连,同时一个堡垒主机安装在内部网络上。通常,在路由器上设立过滤规则,使这个堡垒主机成为Internet上其他节点所能达到的唯一节点。这确保了内部网络不受未被授权的外部用户的攻击。第二种方案,有屏蔽子网的方法是建立一个被隔离的子网,位于Internet和内部网络之间,用两台分组过滤路由器将这一子网分别与Internet和内部网络分开。两个分组过滤路由器放在子网的两端,在子网内构成一个禁止穿行区。 即Internet和内部网络均可访问有屏蔽子网,但禁止它们穿过有屏蔽子网进行通信。象WWW和FTP这样的Internet服务器一般就放在这种禁止穿行区中。
(三)应用网关(Application Gateway)
应用网关可以处理存储转发通信业务,也可以处理交互式通信业务。通过适当的程序设计,应用网关可以理解在用户应用层(OSI模型第七层)的通信业务。这样便可以在用户层或应用层提供访问控制,并且可以用来对各种应用程序的使用情况维持一个智能性的日志文件。能够记录和控制所有进出通信业务,是采用应用层网关的主要优点。
对于所中转的每种应用,应用层网关使用专用的程序代码。由于有这种专用的程序代码,应用层网关可以提供高可靠性的安全机制。每当一个新的需保护的应用加入网络中时,必须为其编制专门的程序代码。正是如此,许多应用层网关只能提供有限的应用和服务功能。
应用网关通常由专用工作站系统来实现。
(四)服务(Proxy Service)
型防火墙也被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
五、防火墙的不足和发展
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。人们正在寻找其他模式的防火墙。
新型的防火墙方案中通常可以考虑采用以下几种合并方案:
使用多堡垒主机
合并内部路由器与外部路由器
合并堡垒主机与外部路由器
合并堡垒主机与内部路由器
使用多台内部路由器
使用多台外部路由器
使用多个周边网络
使用双重宿主主机与屏蔽子网
总之,一个好的防火墙应该具有高度安全性、高透明性和高网络性能。
防火墙技术的基本原理篇5
关键词:分布式防火墙;体系结构;原理;应用
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 09-0000-01
The Research and Implementation of Distributed Firewall
Zhang Jintao
(The College of Science and Technology of Guizhou University,Guiyang550004,China)
Abstract:Distributed in the traditional firewall,the firewall is based on the evolved,it plays an important role in network security.In this paper,the traditional firewall and distributed firewalls were introduced,and then distributed firewall architecture and working principle are described,on the basis of research and analysis of distributed firewall,application and implementation.
Keywords:Distributed firewall;Architecture;Principle;Application
一、防火墙的概念
(一)传统防火墙。传统的防火墙又叫边界防火墙,是在内部网和外部网之间搭建的一种屏障,它可以有效的实现内外网之间的存取,同时它也是内部网和外部网之间的唯一的一个出入口。传统的防火墙技术主要有包过滤技术和服务器技术这两种。其中,包过滤技术是通过路由器将通过它的两个接口之间的IP进行过滤,并对数据流中的每个数据进行检查,防止不安全的数据通过,从而实现了网络的安全;带来服务器技术主要是通过主机运行服务程序,即应用防火墙技术,它首先接受外来的连接请求,然后进行安全检查,再确保安全状态之后,再实现网络应用服务器的安全连接,另外,服务器还可以通过用户认证、日志和信息跟踪等方式来实现网络的安全流通。
(二)分布式防火墙。分布式防火墙是用于内部网和外部网之间的,或者内部网各子网之间的防护产品。它最初是由美国AT&T的试验研究员提出来的,分布式防火墙有狭义和广义之分,它是对主机系统提供安全防护的软件。与传统的防火墙技术相比,分布式防火墙技术更多一层安全保护层,它是对传统防火墙技术的完善和发展。主机防火墙主要是负责安全策略的实施,对网络的服务器和桌面进行保护。
二、分布式防火墙的研究
(一)分布式防火墙的体系结构。研究分布式防火墙的体系结构,主要从以下几点来分析:1.网络防火墙。网络防火墙是用于内外部网络之间的防护产品,它比传统的防火墙更多一层防护,是网络显得更加安全可靠。2.主机防火墙。主机防火墙主要是针对主机,负责安全策略的实施,这种防火墙即可出现在内部网络中,也可以出现在外部网络中。3.中心管理。分布式防火墙的中心管理是其安全检测机制的一个重要组成部分,其安全策略是同一策划和管理的,它必须根据不同的安全性要求来设置其在网络中的任何位置,它是分布式防火墙最重要的一个部分。
(二)主机防火墙。主机防火墙主要包括:主机驻留、嵌入操作系统内核、类似于个人防火墙这三种。
主机驻留是针对主机上运行的具体应用情况及对外提出具体服务而设置的一种安全策略。
嵌入操作系统内核是主机防火墙安全运行的一种形态,由于操作系统本身存在着一些安全问题,因此主机防火墙也在主机上运行,其运行机制成为主机防火墙的关键技术之一,这就要求按照嵌入操作系统内核的形态来运行和完成。
类似于个人防火墙与桌面应用的主机防火墙相类似,都有其对应的个人系统,但是类似个人防火墙的管理方式不一样,它不允许别人干涉,目的是为了防止外部的攻击,它除了对桌面机起到保护的作用外,还可以对桌面机的外部访问进行控制管理。
(三)分布式防火墙的工作原理。分布式防火墙的工作原理主要是从策略语言、系统管理工具和IP安全协议这三个方面进行研究。1.策略语言。策略语言的运用旨在标识内部主机,目前通常是通过IP地址来标识内部主机,但是这种方法安全性不够高,还存在着一些安全问题,因此在这一过程中,可以通过使用IP协议的密码访问来标识主机,提高其安全性。2.系统管理工具。系统管理工具的作用是将形成的文件传给有防火墙保护的主机,这些主机的防火墙就是分布式防火墙。3.IP安全协议。该协议主要用于加密的保护,如AH协议和IKE协议等,它能够实现密钥交换等功能。
三、分布式防火墙的应用实现
1.网络访问控制。分布式防火墙在网络访问中的应用控制,主要是通过网络访问规则来实现控制和管理的,它可以通过控制该工作站的时间段内是否被允许或者被禁止访问所规定的内容,决定某个用户是否可以访问网络服务器。2.应用访问控制。分布式防火墙在应用访问控制中的运用也极其广泛,它通过对网络的通讯连接路程、网络层、地址以及传输层和端口等过滤和检查,以此来控制网络的应用请求,实现网络访问的安全性。3.黑客攻击的安全防护。分布式防火墙在防止黑客攻击中具有广泛的应用,它主要通过抵御和拒绝服务攻击、抵制欺骗式攻击和PING攻击和木马等方式来实现其安全防护的作用,它对防止黑客的攻击具有很重要的实际意义。4.系统工具的应用。分布式防火墙在系统工具中的应用主要包括设定参数,制定访问规则,备份和恢复数据以及模板的设置和管理等。5.VPN通信。分布式防火墙除了具有以上的功能之外,它还可以支持VPN通信,它把内部主机和外部主机与防火墙之间采用隧道的技术方式来实现分布式防火墙的安全防护作用,通过这种方法,它可以使通信的双方都必须经过防火墙才能顺利的进行通讯活动,分布式防火墙其本身所具备的逻辑网络的概念,使得远程内部主机和物理上的内部主机没有区别,从根本上接触了安全防护存在的问题。
四、结束语
目前,随着网络技术的发展,网络的应用水平虽然在不断的提高,但是网络中的安全威胁种类和方式也越来越多,黑客攻击,欺骗手段更加恶劣,这就使得分布式防火墙得到了长足的进步和发展,它是对传统的防火墙技术的改进和完善,相信随着网络技术的不断发展,分布式防火墙技术也将会发挥着越来越重要的作用。
参考文献:
[1]李伦,尹兰.一种改进的应用网关防火墙系统[J].计算机工程与应用,2003,5:185-186
[2]高峰,卢尚琼.分布式防火墙与校园网络安全[J].计算机应用研究,2003,1:77-79
[3]王英红.分布式防火墙堵住内部网漏洞[N].计算机世界报,2002,4:14-15
防火墙技术的基本原理篇6
关键词:网络隔离;防火墙技术;比较
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 09-0000-01
Comparative Study of Network Isolation and Firewall Technology
Wang Lei
(Hunan Women's University,Changsha410004,China)
Abstract:Based on the network and firewall technology,isolation technology and the principles described in terms of security from both analysis and comparison of network isolation to draw users to solve network security problems is the best choice.
Keywords:Network isolation;Firewall technology;Comparison
一、前言
随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展,宽带网已经得到普及。业界电子商务的开展,海量的网络信息,日趋丰富的网络功能使得“网上办公”条件已经成熟。办公信息化带来了办公效率质的飞跃,但办公信息化的安全,也极大地引起人们的关注和思考,相应的网络隔离技术与防火墙技术的应用研究引起了人们的高度重视。
二、网络隔离技术简介
(一)网络隔离技术的发展历程
网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。
(二)网络隔离技术原理
网络隔离产品采用了网络隔离技术,是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,网络隔离产品从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
(三)网络隔离设备的实现机制
网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元,内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP/IP协议的数据连接,并通过私有协议进行数据的交换。
三、防火墙的体系架构介绍
目前的防火墙大都依靠于对数据包的信息进行检查,检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头,要了解防火墙的具体架构,就需要分析检查它是哪一层协议的信息。根据OSI模型,防火墙架构包含以下几种:包过滤防火墙,电路网关防火墙,应用网关防火墙,状态检测包过滤防火墙和切换防火墙。防火墙是建立在内外网边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火墙对网络安全的保护程度,很大程度上取决于防火墙的体系架构。随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
四、防火墙存在的安全漏洞
防火墙设备侧重于网络层到应用层的策略隔离,操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安全的潜在因素。首先由防火墙的体系架构可知,防火墙可能会产生网络层短路,从而导致伪造合法数据包带来的危害;防火墙还难以抵御数据驱动式攻击,即大量合法的数据包将导致网络阻塞而使正常通信瘫痪。其次,防火墙很难阻止由通用协议本身漏洞发起的入侵。第三,防火墙系统本身的缺陷也是影响内部网络安全的重要因素,当防火墙主机被控制后,内部受保护网络就会暴露无疑。第四,要使防火墙发挥有效的安全性,需要正确、合理地配置防火墙相关的安全策略,而配置的复杂程度不仅带来繁琐的工作量,同时也增加了配置不当带来的安全隐患。
五、安全性分析比较
(一)指导思想不同
1.防火墙的思路是在保障互联互通的前提下,尽可能安全;
2.网络隔离技术的思路是在保证必须安全的前提下,尽可能互联互通。
(二)体系架构不同
网络隔离产品一般为双机或三机系统,而防火墙由一台处理机组成,为单机系统。而网络隔离设备实现了OSI模型七层的断开和应用层内容的检查机制,因而不会产生网络层短路,消除了基于网络协议的攻击。
(三)安全规则配置的复杂程度不同
防火墙主要依据网络治理工程师配置的规则进行安全检查,其安全性的高低与规则配置情况密切相关。规则配置十分复杂,规则最终所起的作用不仅与每条规则有关,而且与每条规则的先后顺序、规则之间的相关性都有很大关系。网络治理工程师必须仔细检查每条规则,以保证其结果是其预期的结果。从另一个方面讲,防火墙的配置要求网络治理工程师有较高的网络知识和技术水平。防火墙只是一个被动的安全策略执行设备,防火墙不能防止策略配置不当或错误配置引起的安全威胁,规则配置错误将造成不安全通道打开。而网络隔离设备无需进行复杂的规则配置,只需设定一些内外网访问政策。网络隔离设备仅答应定制的信息进行交换,即使出现错误,也至多是数据不再答应传输,而不会造成重大安全事故。
参考文献:
[1]蔡杰.网络隔离与安全信息交换技术研究[J].科技资讯,2009,12:29-29
防火墙技术的基本原理篇7
关键词:防火墙;互联网;日志
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 04-0000-02
一、引言
随着计算机的普及和互联网技术的发展,计算机的应用越来越广泛,但是网络安全问题也日益严重。据最新统计显示,在美国,每年因互联网安全问题所带来的经济损失高达100亿美元,而在我国,计算机黑客入侵和病毒破坏每年也给我国带来巨大经济损失。如何建立确保网络体系的安全是值得我们去关注的一个问题。本文从防火墙技术的角度对互联网安全问题防火措施提出了自己的见解和意见。
二、防火墙技术浅析
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用两类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
(一)防火墙的概念。防火墙是指设置在不同网络安全域或者不同网络安全之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。
(二)防火墙的主要功能。1.包过滤:包过滤属于一种互联网数据安全的保护机制,通过包过滤,可以有效的控制网络数据的流入和流出。包过滤由不同的安全规则组成;2.地址转换:地址转换分为目的地质转换和源地址转换两种。源地址转换可以通过隐藏内部网络结构和转换外部网络结构实现了避免外部网络的恶意攻击。3.认证和应用:所谓认证就是指对访问防火墙的来访者身份的确认。所谓是指防火墙内置的认证数据库;4.透明和路由:主要是指把防火墙网管隐蔽起来以免遭到外来的攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持内部多个子网之间的安全访问。
(三)防火墙的原理及分类。根据国际计算机安全委员会的分类,防火墙分为三类,分别是包检测防火墙、包过滤防火墙和应用及服务器。包过滤技术的防范手段。包过滤防火墙是指通过把收到的数据包和预先设定的包过滤规则进行比较判断,决定是否允许通过。它主要工作在计算机的网络层,过滤的规则就是通过和网络层的IP包包头进行信息比较。IP包包头的主要信息有:封装协议、IP地址、和ICMP信息类型等。通过比较,如果信息不匹配,则拒绝转发。从速度来看,由于包括铝处于网络层,对连接的检查也比较粗略,因此,它的速度是最快的。而且实现的要求比较低。从安全性角度来看,由于其过滤规则的不完善性,所以存在一系列的漏洞,安全性却比较低。
(四)防火墙包过滤技术。随着互联网的发展,网络安全问题变得越来越重要。而且,随着黑客入侵技术的进一步提高,计算机网路安全问题也变得更加严峻。如何保护计算机网络不受到攻击和病毒感染已经成为人们普遍关心的问题,在对局域网进行保护的技术中,防火墙技术是一种非常有效的手段。而防火墙技术中的包过滤技术是发展比较早、比较广泛的技术。包过滤就是指为确保网络的安全,对每一个流经网络的数据包进行检查并根据相应的检查规则确认是否允许通过。包过滤技术具有速度与透明性两重优点。
(五)防火墙的配置。从硬件的角度看,防火墙和路由交换设备之间通常有多个借口哦,数据传输速度主要是由档次与价格决定的。比如,一般的中小企业使用的出口带宽都是100M以内的。防火墙在网络拓扑图中的位置非常关键,在网络拓扑图中,防火墙一般处于外网和内网之间互联的区域。如果防火墙上有WAN接口,就可以把它直接与外网相连。防火墙和传统的路由器在外观上差别不大,和路由器交换机不同之处在于,在对防火墙进行配置时,需要把他们划分成不同的权限和优先级。而且还要相关接口的隶属区域进行相应的配置。在进行实际设置的时候,需要把各自端口划分到某些区域时才可以进行访问。在默认情况下对数据接口的通信是组织的。除了这些差别,防火墙的其他配置和路由器交换设备的配置差不多。
软件的配置与实施,这里以H3C的F100防火墙为例,当企业外网IP地址固定并通过光纤连接的具体配置。先当企业外网出口指定IP时配置防火墙参数。选择接口四连接外网,接口一连接内网。这里假设电信提供的外网IP地址为202.10.1.194 255.255.255.0。
第一步:通过CONSOLE接口以及本机的超级终端连接F100防火墙,执行system命令进入配置模式。
第二步:通过firewall packet default permit设置默认的防火墙策略为“容许通过”。
第三步:进入接口四设置其IP地址为202.10.1.194,命令为
int e0/4
ip add 202.10.1.194 255.255.255.0
第四步:进入接口一设置其IP地址为内网地址,例如192.168.1.1 255.255.255.0,命令为
int e0/1
ip add 192.168.1.1 255.255.255.0
第五步:将两个接口加入到不同的区域,外网接口配置到非信任区untrust,内网接口加入到信任区trust――
fire zone untrust
add int e0/4
fire zone trust
add int e0/1
第六步:由于防火墙运行基本是通过NAT来实现,各个保护工作也是基于此功能实现的,所以还需要针对防火墙的NAT信息进行设置,首先添加一个访问控制列表――
acl num 2000
rule per source 192.168.0.0 0.0.255.255
rule deny
第七步:接下来将这个访问控制列表应用到外网接口通过启用NAT――
int e0/4
nat outbound 2000
第八步:最后添加路由信息,设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址――
ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如下图)
执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。
三、防火墙发展趋势
随着计算机病毒的发展和黑客技术的提升,传统的防火墙技术已经不能解决这些问题。从目前来看,防火墙技术正在向新的方向发展。
从防火墙的体系结构发展来看。为应对未来发展需要,人们相继开发了基于ASIC的防火墙和基于网络处理器的防火墙。这类防火墙对软件的依赖度有所增加,但是却可以大大的减轻CPU的压力。在性能上比传统防火墙有新的提升。然而从编程的角度来看,这种防火墙缺乏灵活性,要实现和软件的配合使用,必须添加新的硬件。
从防火墙的包过滤技术发展来看,一些防火墙厂商在防火墙中添加了新的认证体系和方法。从而大大的提高了用户的安全级别,但是在一定程度上也给网络通信带来了一定的负面影响。多包过滤技术的发展弥补了单独过滤技术的不足和缺陷,而且这种技术具有分层清楚、扩展性强等特点。是将来防火墙技术发展的基础。
四、结束语
互联网技术的发展使得计算机应用越来越普及,但是随之而来的是网络安全问题也日益突出,网络病毒对经济社会生活带来了极大的危害。通过采用新的防火墙技术,可以有效的确保互联网的安全。本文正是基于这个背景进行探讨和研究的。相信不久的将来,随着防火墙技术的进一步发展,互联网安全问题会逐步得到有效的控制和解决。
参考文献:
[1]王艳.浅析计算机安全[J].电脑知识与技术,2010,(s):1054
[2]艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79
[2]孟涛,杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17
[4]郑林.防火墙原理入门[Z].E企业.2000.
防火墙技术的基本原理篇8
关键词:互联网;防火墙;信息
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)35-7917-02
回顾人类社会的发展,我们可以简单笼统地将其归纳为符号时代,数字时代,信息时代,尤其是计算机技术的发展以及互联网的普及,更是将人类社会全面推向信息化的狂潮之中。在这样的发展趋势下,人类自身的日常生活发生了很多变化,其中人们的日常娱乐方式就是最明显例证,由单调的电视机、收音机转向因特网及基于互联网的智能手机,其中的影响可见一斑。
在20世纪,大量的信息基本上依托于诸如报纸、杂志、电视等传统的媒介存在与传播,但是进入二十一世纪以来,大量的信息转入互联网这个新兴的平台,并且凭借其自身所独有的高效性与高度的共享性使得信息的传播速度得到了空前的发展,实现了质的飞跃,深入分析我们不难发现,互联网可以给用户提供一个稳定、高效、开放的信息公布平台,与此同时其他用户可以各取所需,在互联网上搜索到各种各样大量的信息,然后进行筛选处理,最终得到所需要的信息。然而基于互联网的开放性特点,其中的信息质量良莠不齐,充斥着很多的垃圾数据,甚至会有一些病毒文件伺机攻击计算机终端或者网站,这严重威胁到了互联网的信息安全以及损害了用户的个人利益。随着计算机技术的不断完善,防火墙的出现可以说在一定程度上有效地解决了上述问题,为互联网安全提供了保障。
1 防火墙的基本概念以及分类
1.1 防火墙的基本概念
防火墙一词最早出现在英文中,即firewall,是一种很形象的叫法,其定义可以简单的概括为互联网系统中介于内部网络和外部网络之间的一种安全防护系统,这种安全防护作用可以为主动防护亦可被动防御,是一种主要目的在于确保信息安全的体系。防火墙在工作时,可以根据设计人员预先设计的安全准则以及识别条件,允许或者拒绝相关信息由外部网络进入内部网络,这就相当于在内外部网络之间设立了一道安全防护墙,此外防火墙不仅仅可以单纯的对外部网络中的不安全因素进行防护,也可以有效地限制内部网络中的不安全访问,例如可以事先制定规则来限制内部网络中计算机终端访问外部网络中的病毒文件,分时间访问外部网资源。
目前在面对日益严峻的网络安全形势,防火墙技术也在不断地完善与改进,防火墙也有单一的硬件形式发展成为依托于硬件存在的软件系统,再后来就形成了由硬件和软件组合所形成的综合的系统,这种综合的防护系统在internet和intranet之间搭建了一个security gateway,就是我们熟悉的安全网关,保护内部网计算机终端免遭非法用户的入侵,在很大程度上保护了外部网与内部网之间、公共网和专用网之间的沟通通道。防火墙的基本构成见图1。
1.2 防火墙的基本分类
时至今日,防火墙的发展已经经历了一个较长的过程,其发展历程可以大致地归纳为:基于硬件技术的防火墙,最常见的硬件是路由器设备;以用户为中心建立的防火墙应用工具;伴随着计算机操作系统的发展而逐步建立起来的防火墙技术,例如在常见的xp、windous7系统中开发的防火墙工具;拥有安全操作系统的防火墙,比较常见为netscreen。在每个发展阶段都涌现出很多产品,无论这些产品基于何种技术或者平台,我们都可以将其总结为:
①按照结构的不同可以将防火墙分为两类,即路由器和过滤器设备的组合体系、主机系统;
②从工作原理上进行分类,防火墙可以分为四大类,即专业的硬件防火墙、数据包过滤型、电路层网关和应用级网关;
③按照防火墙在网络中的位置来进行分类的话,其可以分为两种:分布式防火墙和边界防火墙,其中网络系统防火墙以及内部网络中的主机共同构成了前者,
④按照防火墙技术的发展先后顺序,防火墙技术可以分为:第Ⅰ代防火墙技术即pack filter。第Ⅱ代防火墙技术即我们所熟悉的组合式防火墙。第Ⅲ代防火墙技术即基于第Ⅱ代防火墙技术所完善改进而成的技术,例如防毒墙。第Ⅳ代防火墙技术,例如sonic wall。
3 防火墙的主要功能
无论是在外部网络中还是内部网络中,防火墙对于整个网络体系的安全防护作用都是至关重要的,是互联网与垃圾信息、病毒文件之间的有效屏障,其主要是保护特定的网络或者特定的网络中计算机终端免遭非法越权入侵以及内部网中的用户与外部进行非法通信。如上文所述,防火墙技术已经经过了四代的发展,技术在不断完善,但是其工作原理可以归纳为:将防护节点安置于内外部网络的链接端口,在这些断口处设定相关安全规则,一旦发生数据传输或者访问,这些数据就必须经过端口安全规则的检测认证,检测区是否对网络存在安全威胁,如果经检测有害,那么会立即阻断数据传输,起到了保护计算机网络的目的,与此同时防火墙系统要在网络受到攻击时及时做出警示,提醒计算机用户以及网络安全维护人员不安全信息,终止操作,消除威胁。其中值得注意的是,防火墙的响应时间也是至关重要的一环,因为在不同的网络之间的数据传输具有速度快、效率高、数量大、伪装性好的特点,因此,在众多信息中及时甄别出垃圾信息并及时按照既定程序阻断删除对于保护网络系统安全就显得尤为重要。防火墙的主要功能如图2所示。
3 防火墙的主要应用
众所周知,任何事物不可能存在绝对的安全与绝对的不安全,当下在市场上存在众多的防火墙技术的产品,先不谈质量参差不齐,即使企业或者个人用户购买到一款技术先进、性能可靠、安全指数较高的防火墙系统,在面对每天数量惊人的网络攻击时也很难保证整个网络系统绝对的密不透风,而且在实际的工作中,如果用户没有正确地根据实际情况配置计算机与调试硬件、软件相关参数,更是降低了防火墙的防护水平,得不到预期的效果。
任何一款防火墙技术软件发挥防护作用都大体上需要经过如下过程:
首先要经过正规的渠道购买正版的防火墙软件,按照使用说明书正确的安装整个系统,不能遗漏任何安装选项,否则就可能造成系统无法正常运行的状况;
其次就是要根据用户的实际情况设置系统参数,这一点至关重要,因为企业与企业所处的领域不同,因此会面对不同的种类
以及不同等级的安全威胁,有的企业可能会面临较多的信息泄露的危险,因此应该将防火墙的主要防护点侧重在越权访问以及非法窃取信息上,一般这种情况对企业的损失较大,因此防护等级较高,如果企业仅仅是防护病毒文件的入侵,那么就可以简单的限制内网用户访问外网资源即可。此外系统参数的设置也包括系统响应时间、预警信息的方式、有害文件的处理方式等等,这些参数也应该严格按照使用说明根据安全防护等级设置,如果我们将安全防护等级设置的过高,很有可能会把一些有效信息过滤掉,影响企业的正常运转和人员的正常工作;
最后就是高级功能的设置,很多软件提供给用户附加的服务,例如网络安全状况的时时监测、防护日志的查看、系统漏洞的提醒等等,用户可以根据实际需要进行设置。
参考文献:
[1] 诸海生,董震.计算机网络应用基础 [M].北京:电子工业出版社,2003:252-256.
[2] 孙学军,喻梅.计算机网络 [M].北京:电子工业出版社,2003:294-299.