防火墙新技术(精选12篇)
防火墙新技术 篇1
防火墙技术是基础性的计算机技术之一, 其中主流的状态检测技术又起到关键性的作用, 对状态检测包进行原理分析和实例分析一直是这一领域的重点内容。状态检测包技术与传统包过滤技术不同, 前者有更大的技术优势, 在此基础上, 基于其连接和数据包内容分析的实现方法, 产生了深度包检测和安全设备联动这两种新技术。
一、状态检测
状态检测又称动态包过滤检测, 区别于以往的传统过滤包检测, 是其功能上的拓展, 并取代它成为主流的的防火墙技术。状态检测包过滤防火墙又可以称之为第三代防火墙。相较于传统的静态包过滤技术, 这一代防火墙更加注重多个数据包的整体分析, 在根据其包头信息进行匹配时, 并不固定, 而是灵活应对, 以防止在过滤包遇到利用动态端口的应用协议时, 因为传统的静态包过滤而发生分析上的困难。
二、深度包检测技术
深度包检测技术相比较于传统的网络层包过滤技术来讲, 有着更加明显的优势, 其表现在于:传统的网络层包过滤技术主要应用与网络层面, 所分析的数据信息大部分是包头信息, 也就是数据信息本身, 而并没有对数据包内的具体内容进行分析。这种方法在防火墙技术发展之初是非常有效的, 但是随着网络服务和协议越来越多样化, 越来越复杂化, 这种方法所提供的包头信息不能够满足防火墙技术发展的需要, 不能为网络提供足够的安全性与可用性。
深度包检测技术正是在这种情况下发展起来的, 它对数据包的分析不仅仅局限于包头信息, 而是具体分析数据包的内容, 对于各种应用协议的流程和缺陷做出反馈, 进而提出针对性的检测方式与保护措施。具体来讲, 深度包检测是一种关联性的技术, 它将多个数据包联接起来, 形成一个数据流, 在实时检测异常行为的同时, 检测整体的数据流状态。需要特别提到的是, 这种检测技术对于分析速度的要求极高, 对于应用浏览的检测和重组要实时更新, 最大限度地避免延时。
(一) 会话终止部分
深度包检测技术区别于传统的包顾虑技术, 不再以数据包为分析单位, 在进行数据流控制的过程中, 不再通过对单个数据包的丢弃来实现过滤, 避免因此带来的网络中断, 用最小的运行成本达到过滤的目的。TCP传输连接有超时重传的机制, 其他大部分的应用协议的运行机制也基本相似, 深度包检测技术很好地应用这一机制, 基于连接, 根据特定的协议, 采用最合理、最安全、最有效的方式来终止整个会话, 例如一个TCP连接, 或者是一整个的应用层次的会话。
(二) 内容过滤部分
防火墙技术所要防范的恶意数据, 基本包含在数据包的具体内容中, 而不是包头信息, 这些而恶意数据通过刻意构造的URL、破坏性控件、病毒等形式, 对整个网络构成危害。深度包检测正是针对这一问题, 发挥其自身的运行速度优势, 对恶意数据进行分析, 对内容进行过滤, 检测及重新组装应用流量, 最大限度地避免延时。
(三) 加密数据分析部分
这一部分是深度包检测技术的重点内容, 因为现在的安全应用中, 大部分都会使用SSL技术, 来确保通信的保密性, 或者用IPSEC协议, 通过公共网络提供VPN的加密连接。这些加密的数据流需要特殊的加密技术, 也就是端到端的加密方式, 但是, 这种加密方式有其弊端, 对中途拦截的防火墙和被动探测器来讲, 这种保护方式并不完善, 会造成检测系统被入侵。
针对上述问题, 需要对数据流进行解码, 解码之后的数据内容与内部网络的安全策略设定密切相关, 这样所形成的防火墙更加牢靠, 各个不容易破解, 因为只有具有了更高安全级别, 才可以对加密的数据流进行解密。深度包检测技术是防火墙技术发展的关键性内容, 面对网络环境下越来越大的攻击危险, 需要深度包检测防火墙不断升级, 以应对危机四伏的网络环境。因此, 我们需要改善传统的检测技术, 添加特征检测等功能, 更准确地阻拦恶意信息, 阻挡异常行为的发生。
三、安全设备联动技术
防火墙是内部网络与公共网络之间重要的, 也是唯一的通道, 这个特殊的位置, 使得防火墙成为重要的访问可控制节点.也成为进行查寻恶意信息和网络监控的理想位置, 并成为网络安全审计工作和网络数据收集的重要场所。如今, 网络环境越来越多样, 也越来越复杂, 随之而来的网络攻击和破坏行为的方法更是层出不穷, 通过单个节点所构成的安全防护已经不能满足安全保护的需求。在这种情况下, 我们提倡建立以防火墙为核心的网络安全体系, 也就是安全设备的联动技术。
对于被入侵系统的保护并不简单是检测技术的应用, 而是在发生入侵行为之后, 对入侵检测系统本身的对入侵行为及时遏止。为了达到这一目的, 处于旁路侦听的入侵检测系统所形成的防护体系是不全面的, 而主链路所连接的设备并不充足, 不能够对所有入侵行为进行防护。安全设备的联动技术就是联合相关的安全产品, 进行整体的入侵检测和病毒检测, 各取所需, 建立起一个安全的、整体的、有效的防范体系。
具体来讲, 主要有两种方法:第一种是直接运用入侵病毒, 将对病毒的检测放入到防火墙之中, 形成自体的病毒检测功能和体系, 发挥安全检测设备的防范功能;第二种方法是把各个检测产品分立, 再运用相关的手段进行联接和整合, 换句话说, 也就是各个检测产品各司其事, 专门防范某一类安全事件, 一旦发生安全事件, 马上通知给防火墙, 通过防火墙进行分析判断。进行过滤和防范。这两种方法中, 第二种方法的使用更加广泛, 在其应用过程中, 存在一些用于安全产品之间协同工作的联动模式及协议。
结语
综上所述, 本文从防火墙技术的状态检测入手, 具体探讨了防火墙发展趋势的两种主要新技术:深度包检测技术和安全设备联动技术。
参考文献
[1]张晶.网络安全与防火墙设计及实现[D].中国科学院成都计算机应用研究所, 2011.
[2]金晓倩.基于计算机防火墙安全屏障的网络防范技术[J].素质教育论坛, 2010 (11) .
[3]于婷婷.浅谈Internet防火墙技术[J].计算机光盘软件与应用, 2012 (04) :55-56.
防火墙新技术 篇2
安装完后要重起,重起后打开天网防火墙就能起到作用了。默认情况下,它的作用就很强大了。但有时它苛刻的IP规则也带来了很多不便,后面再说。所以,如果没什么特殊要求的,就设置为默认就OK了,安全级别为中就好。
一、普通应用(默认情况)
下面来介绍天网的一些简单设置,如下图一是系统设置界面,大家可以参照来设置:图一
此主题相关图片如下:
【
下面是IP规则,一般默认就可以了,其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的,因为我们再介绍,这里是默认情况就不多说了。图二
此主题相关图片如下:
下面是各个程序使用及监听端口的情况,可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。图三
此主题相关图片如下:
再看下图就是日志,上面记录了你程序访问网络的记录,局域网,和网上被IP扫描你端口的情况,供参考以便采取相应对策,由于是默认就不多说了,日志上基本都是拒绝的操作。图四
此主题相关图片如下:
以上是天网在默认下的一些情况,只要你没什么特殊要求,如开放某些端口或 屏蔽某些端口,或某些IP操作等等,默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法,大家可以依次类推,完成你想要的相关操作。
二、防火墙开放端口应用
如果想开放端口就得新建新的IP规则,所以在说开放端口前,我们来说说怎么新建一个新的IP规则,如下图五,在自定义IP规则里双击进行新规则设置。图五
此主题相关图片如下
点击增加规则后就会出现以下图六所示界面,我们把它分成四部分。图六
此主题相关图片如下:
1)图六1是新建IP规则的说明部分,你可以取有代表性的名字,如“打开BT6881-6889端口”,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。
2)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
3)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。
4)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,就看你自己想怎么样了,具体看后面的实例。
如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶,这就完成了新的IP规则的建立,并立即发挥作用。
网络防火墙技术发展 篇3
关键词:网络;防火墙
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2011) 03-0000-01
Network Firewall Technology Development
Chen Xi
(Baoding Branch of China Tietong,Baoding71000,China)
Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.
Keywords:Network;Firewall
網址对于网络安全来说防火墙是主要的一个防御机制,在整个网络系统中起到至关重要的作用。防火墙的技术、自身的功能、保护能力、网络结构、安全策略等因素,是网络安全性的决定性因素,而在网络迅猛发展的今天,对网络安全和防护的要求就越来越迫切,网络防火墙被用作为加强控制网络之间的互访,严防外部网络用户恶意通过外网入侵内部网络,并对网络之间的数据包的传输进行实时监控,判断网络之间通信的合法性,以及网络运行的状态。
一、防火墙的类型
网络在人们的平常生活中越来越普及化,网络的安全就越来越受到了人们的重视,防火墙成为网络安全的一个重要保障。防火墙的种类多样化,根据应用技术的不同,可分为一下几类:
(一)防火墙的初级产品:包过滤型防火墙它的核心为传输技术,通过读取数据包中的地址信息来辨别数据包的合法性,辨别其来自的网站是否安全,如果是危险的数据包,防火墙最自动将其抑制,包过滤技术具有简单实用的优点,而且成本低,经常是以较小的代价实现对系统的保障,但是其常常无法识别应用层的恶意攻击。
(二)网络地址转化(network address translation)NATNAT的主要技术是将IP地址转化为临时的、注册的外部IP地址,同时允许私有IP地址用户访问因特网,系统将源端口和源地址映射为一个伪装的地址和端口,用伪装的地址与端口与外网建立连接,从而以达到隐藏真实的IP地址。
(三)代理型防火墙代理型防火墙亦可称作为代理服务器,它是一种安全性相对较高的产品,其位于服务器与用户级之间,对于两者之间的数据交流可以起到很好的监控和阻拦危险数据的作用,避免了外部的一些恶意攻击,为网络与用户之间建立了一条有效安全的绿色通道,其优点是安全性较高,对应用层可以做到有效的扫描和侦测,对于抑制应用层的病毒侵入和感染十分有效,劣势就是管理起来相对复杂。
(四)监测型防火墙监测型防火墙是一种新的产品,它对网络各层的数据予以主动的、实时的监控,对于各层中的恶意入侵和非法操作的监控、判断更为行之有效,而且防范能力也得到了大幅度的提升,其优点它的防御能力已完全超越了前几种类型防火墙,但劣势也比较明显,成本高,管理困难。
二、在网络安全的五个体系中防火墙处于五层中的最低层,负责网络数据的安全传输与认证
由于网络的全球化和重要性,网络安全的重要性也随之深入人心。从发展的角度看,防火墙技术正在向其它各层的网络安全延伸。由于网络病毒的不断升级,随之其防火墙的技术与职能也在迅速的拓展。
(一)向着多级过滤技术发展网络会向着多级过滤技术发展,多级过滤技术的定义是:采用多级过滤措施,在分组过滤(网络层)一级,对所有的源路由分组和假冒的IP源地址进行过滤;应遵循过滤规则,过滤掉所有(传输层)一级,违反规则的的协议和有害数据包;在应用网关(应用层)一级,能利用不同的网关,操控和监测到Internet提供的所有服务。我们可以通过这个技术的理解上开发出更多的扩展技术。
(二)动态封包过滤技术动态封包过滤技术与传统的数据包过滤技术相比较:传统的数据包技术职能检测到单个的数据包的包头和单一的判断信息是否转发或丢弃,动态数据包过滤技术则是着重于连续封闭包包间的关联性以及其出入的检测;过滤;加密解密或者传输,并作进一步的用户身份认证,他能够深入检查出数据包,查出内部存在的恶意行为,识别恶意数据流量,阻断恶意攻击的出现,并且具备识别黑客的非法扫描,有效阻断非法的欺骗信息。
三、网络防火墙产品发展趋势
网络信息技术的飞速发展,硬件设施的不断更新,随之带来防火墙产品的不断换代以及产品技术的迅速进展,数据的安全、身份的认证以及病毒阻控和入侵检测等成为了防火墙的发展方向,其发展趋势主要有:
(一)模式转变。传统的防火墙主要是用来把数据流,形成分隔开来,从而划分出安全的管理区。普遍位于网络的边缘。而传统的防火墙设计缺乏对内网恶意攻击者的防范,而新的防火墙产品以网络节点为保护对象,最大限度的保护对象,提高网络安全级别,增强保护作用。
(二)技术整合。通过对防火墙技术的了解。可以更加清楚的认识各类技术的优缺点。这对于今后防火墙的技术整起到了促进的作用。
(三)性能提高。随着网络的飞速发展,千兆网络也逐渐在普及,在未来防火墙产品的发展上将会有更强处理功能的防火墙问市。在硬件上,千兆防火墙的主要选择将会为网络处理器(Network Processor)和专用集成电路(ASIC)技术。可以通过优化存储器等资源,使防火墙达到线速千兆。在软件上为了能够达到防火墙在性能上的要求,未来将会融入更多的先进技术理念并应用到实践中去,从而做到与性能相匹配。
四、结束语
在网络已成为人们普遍使用工具的当下,网络安全性已成为人们探讨的焦点。而作为保护网络安全性手段之一的防火墙技术已成为人们普遍使用的手段。不仅针对于个人,也保护着企业内部的网络安全。随着网络的安全性不断的受到侵害,安全性也在不断的更新。未来多级过滤技术、动态封包过滤技术将会运用到实战中来。防火墙技术也将更加多元化,更加方便、快捷、安全。能够使防火墙技术的不断完善这不仅关系到某个领域,更会涉及到信息安全的未来。
参考文献:
[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001:104
[2]爱博科研究室.网络攻防零距离[M].上海:上海科学技术出版社,2003:11
防火墙技术研究 篇4
一、防火墙的基本概念
防火墙是一个系统或一组系统, 它在企业内网与因特网间执行一定的安全策略, 所有从因特网流入或流向因特网的信息按照此策略来实施检查, 以决定网络之间的通信是否被允许。防火墙加强了网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 以保护内部网络操作环境的特殊网络互联设备。
从理论上看, 防火墙处于网络安全的最底层, 负责网络间的安全认证与传输, 但随着网络安全技术的整体发展和网络应用的不断变化, 现代防火墙技术已经逐步走向网络层之外的其他安全层次, 不仅要完成传统防火墙的过滤任务, 同时还能为各种网络应用提供相应的安全服务:提供网络地址转换 (NAT) 功能, 有助于缓解IP地址资源紧张的问题, 同时, 可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况, 可以确认因特网连入的代价、潜在的带宽瓶颈;在其上可以配置相应的WWW和FTP服务, 使因特网用户仅可以访问此类服务, 而禁止对保护网络的其他系统的访问等。
二、防火墙的基本类型
防火墙的基本类型包括包过滤、网络地址转化—NAT、应用代理和状态检测。
1. 包过滤
包过滤是防火墙的初级类型, 依靠自身的数据安全保护机制来控制流出和流入网络的数据。它通常由定义的各条数据安全规则所组成, 防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址薄进行设置规则。其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的, 数据被分割成为一定大小的数据包, 每一个数据包中都会包含一些特定信息, 如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点, 一旦发现来自危险站点的数据包, 防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。
2. 网络地址转化—NAT
网络地址转换是一种用于把内部IP地址转换成临时的、注册的外部IP地址。网络地址转换允许具有私有IP地址的内部网络通过地址转换访问因特网, 用户不许要为其网络中每一台机器取得注册的IP地址。全网卡访问外部网络时, 将产生一个映射记录, 系统将外出的源地址和源端口映射为一个伪装的地址和端口, 让这个伪装的地址和端口通过非安全网卡与外部网络连接, 这样对外就隐藏了真实的内部网络地址。使得有限的外网IP就能满足内网用户对外网的访问, 同时还能够避免受到来自外部其他网络的非授权访问或恶意攻击。缓解了地址空间的短缺问题, 节省了资源, 降低了成本。在外部网络通过非安全网卡访问内部网络时, 它并不知道内部网络的连接情况, 而只是通过一个开放的IP地址和端口来请求访问。
3. 应用代理
代理型防火墙的优点是安全性较高。应用代理完全接管了用户与服务器的访问, 把用户主机与服务器之间的数据包的交换通道给隔离起来。应用代理不允许外部主机连接到内部的网络, 只允许内部主机使用代理服务器访问Internet主机, 同时只有被认为"可信任的"代理服务器才可以允许通过应用代理。在实际的应用中, 应用代理的功能是由代理服务器来完成的。
4. 状态检测
状态检测防火墙是新一代的防火墙技术, 由Check Point公司引入。它监视每一个有效连接的状态, 并根据这些信息决定网络数据包是否能够通过防火墙。通过状态检测技术, 动态地维护各个连接的协议状态。状态检测在包过滤的同时, 检查数据包之间的关联性和数据包中的动态变化。
三、防火墙的未来发展方向
在防火墙性能和功能不断发展的同时, 大多数业内专家认为, 以下五个方面将是未来防火墙的发展方向。
1. 防火墙的性能将不断突破。
随着网络应用的不断丰富, 网络带宽需求会不断的增长, 并对防火墙的性能提出更高的要求, 满足千兆、万兆以及更高的带宽要求是防火墙发展的一个方向。
2. 防火墙将不断的深入应用防护。
随着网络安全技术的发展, 网络层和操作系统的漏洞将越来越少, 但应用层的安全问题却越来越突出, 防火墙将会把更多的注意力放在深度应用防护上, 不断挖掘应用防护的深度和广度。
3. 防火墙将支持更多的应用层协议。
对应用协议支持的广度, 也是防火墙的发展趋势, 它将支持更多新的应用协议, 使更多的应用程序能和防火墙协同工作。
4. 防火墙将作为企业安全管理平台的一个组件。
随着安全管理平台的发展, 未来企业所有的安全设备将由安全管理平台统一调度和管理, 防火墙需要向安全管理平台提供安全策略管理接口、安全事件管理接口、安全审计接口。
5. 防火墙将更可靠、更智能化。一方面, 防火墙越来越稳定可靠, 同时也更趋于智能化, 并将解决IPV6未来会出现的安全问题。
现有防火墙技术仍无法给我们一个相当安全的网络。攻击时的变数太大, 所以对网络安全的需求对防火墙提出了更高的要求, 在防火墙目前还不算长的生命周期中, 虽然问题不断, 但是防火墙也从具有普通的过滤功能, 逐步丰富了自身的功能, 担当了更重的任务。未来, 防火墙将成为网络安全技术中不可缺少的一部分。
参考文献
[1]黎连业、张维, 防火墙及其应用技术[M], 北京:清华大学, 2004.
[2]陈翔、高可用, 强管理的新一代防火墙[J], 计算机世界, 2006.
防火墙技术论文 篇5
关键词:计算机网络安全;防火墙;计算机自我防御
0引言
计算机网络安全主要指的是网络信息传输的安全性和保密性,防止系统安装的病毒软件或者外界强制攻击造成的个人信息泄密。开启防火墙的计算机不管是系统数据的安全还是日常运行,都会有一定的保障,现代我国的计算机网络安全保护技术有很多,本文主要讲解的方向就是防火墙,分析防火墙在计算机网络安全保护的作用和所处的位置,直观的理解防火墙--在计算机在进行网络互动的时候实施信息保护,先排除一些自弹危险窗口和自动下载病毒,再而保护整个计算机的操作系统,设置监管节点。防火墙在计算机网络安全保护中有着至关重要的作用。
1计算机网络存在的安全问题
1.1概述
我国现在的计算机都或多或少都存在一些安全问题,如访问系统的监管能力不强,没有一套针对性的措施来避免计算机网络安全上造成的损失。现代的一些入门防护措施只能对一些旧型的入侵进行简单防护,一旦出现稍微复杂的系统,就极可能被入侵,从而造成计算机系统的损坏和个人信息的泄露。现在很多从事秘密工作的人员对于计算机网络安全没有一个较为完善的概念,没有对计算机进行有效的网络安全防护,就很容易出问题,而等到发现问题以后再想办法为时已晚,无法补救,这样的情况造成的损失通常都是很严重的[1]。
1.2对于计算机安全系统防御力不高方面
首先,对于我国的计算机系统来说,其对网络攻击的防御效果不佳,安全防范体系并不完善,防御系统升级调整不及时,由此导致网络安全问题十分严重。目前,网络病毒与网络攻击十分猖獗,网络攻击大多是利用计算机或网络防御体系中的漏洞,进行隐秘是或者毁灭性的入侵,从而达到破坏或者盗取信息的目的。目前,最常见的网络攻击方式有木马病毒攻击、IP攻击、端口攻击、拒绝服务攻击。
1.3对安全监测数据信息上存在的问题方面
安全监测数据信息上存在的问题主要是由于系统的访问存在一定的缺陷,导致系统在访问控制系统时只能够解决程序内部设定的问题解决,对于新出现的安全问题不能进行及时的预警和解决,导致实际的数据安全受到一定的威胁,且计算机网络系统出现问题之后,往往会对原本的计算机处理系统造成严重的威胁,给计算机内部数据造成更加严重的威胁。例如,20xx年出现的“敲诈者病毒”、“勒索病毒”给人们的财产安全带来重大威胁。然而,大多数杀毒软件都没有做好数据监测工作,只是在事后制定防御机制,而不能有效改变这一问题。对此,相关技术人员必须树立正确的思想意识,加强系统防护。严格按照相关规定对数据进行监测,一旦发现问题及时启动预警防御措施。
2针对计算机网络信息安全对防火墙技术的应用分析方面
对于计算机的网络信息系统安全方面存在的问题,要建立起科学的防火墙技术,利用网络防火墙保证计算机网络系统的安全工作。计算机网络信息安全的保障思路,首先要考虑到的是数据加密的方法对于数据安全性的促进作用,在实际的操作当中,可以将数据进行加密,结合计算机网络防火墙实现对相应数据的强化保护[2]。对于实际的数据加密的方式,主要是通过网络连接和相应的端口加密来进行的,因此需要网络安全维护程序当中的控制端与协议类型符合实际的网络数据筛选条件,以实现对数据的实时转发。
3防火墙的种类及具体的使用方面
3.1对于包过滤防火墙技术的叙述
包过滤技术主要是指有选择性的对信息进行合理的判断,分辨信息的实际意义,并拒绝不良信息传输的技术。包过滤防火墙主要通过网络参考模型中的数据传输与控制,来实现相应计算机网络的保护。例如,网络传输工作当中,在对网络传输的目的IP进行相应的保护工作时,能够主动获取信息传输中的IP,并对其中的数据包进行必要的分析与识别,以保证正确信息传输的安全性和可靠性。另一方面,包过滤防火墙技术可以在计算机的内部形成新的监测网,从内到外对信息进行全面的控制和监督,从而实现过滤数据、防御攻击的目的[3]。另外,实际的包过滤防火墙技术往往应用在路由器和电脑的主机上,它可以通过实际的需求选择内网封闭或者外网开放的应用形式来实现对数据的监控管理。
3.2应用型防火墙与网路型防火墙方面
对于应用型防火墙和网络型防火墙的运用来说,网络型防火墙主要是通过网络的IP端口地址转化、注册来确保与外网的连接正确,加强对网络的实时控制。在实际的计算机访问网络的时候,即内部网络与外部网络沟通的时候,网络防火墙发挥主要作用,它能够对自动的网络终端地址和相应的端口进行监督、分析、管理,通过改变终端地址和外界网络与实际端口的连接来保证网络得到有效的控制。计算机的防火墙是为了保护计算机各项工作稳定进行的基础,只有建立完善计算机防火墙,才能够保证计算机各项数据的安全性,保证相应用户的各项隐私。所有数据要进入系统必须经过防火墙的筛选与过滤,这就给防火墙保护功能的发挥提供了可能,例如通过对某一频繁发送信息的IP进行锁定,以抵御不法分子的攻击。多防火墙联合防御是提高网络安全的重要方法。该技术方法结合了多种防火墙系统,对网络防火墙采用多种类型共同配置的方式配置防火墙,在计算机的内部将防火墙的工作内容分层次、分等级的设置,以保证相互之间的工作不受冲突。多个防火墙组成的安全系统可以监控到不同区域的安全问题,各个防火墙通过相互之间的转化,对网络的不良信息进行分层次的过滤,达到提升网络系统整体安全的目的。
4计算机网络信息安全中防火墙技术的有效运用
计算机网络的系统安全主要靠对整体网络的实时监控来实现,简单来说就是将先进的科学技术融入到计算机网络系统当中,然后利用这些技术手段实现对网络的全面管理,从而保证计算机用户相关数据的机密性,保证相关数据的安全。在计算机实际使用的过程中,由于使用者之间存在一定的差异,他们对计算机安全防护墙的认识也并不全面。例如,计算机网络使用者会认为防火墙的设置保护的是网络形式的隐私和相应信息,同时认为防火墙能够保证网络不受外界各个因素的影响而安全运行。在网络系统的专业人员看来,防火墙技术对维护网络信息的安全具有一定的促进作用,其在网络系统发生异常或者出现问题时,能够保护网络信息。对于网络信息的交流而言,信息的传送方可以将相应的信息加密处理,建立全面的安全网络系统规则,从而实现计算机网络与外界连接传输信息的机密性和安全性,保证在不法分子入侵系统时,无法窥探到信息的具体内容。计算机的网络防火墙技术在维护计算机网络信息安全上发挥了巨大的作用:
(1)计算机网络防火墙能够对存在风险的文件和信息进行有效的分析、研究、过滤,确认文件安全后传输到计算机当中,防止计算机被病毒侵入;
(2)计算机网络防火墙能够在一些没有得到正确授权的登入者登入时,拒绝登入,及时防范不法分子侵入计算机盗取信息;
(3)计算机网络防火墙也可以规范计算机用户本身的操作,对于一些违规的和不安全的网站,能够及时进行屏蔽,规范用户安全、合法地使用计算机网络。实际的工作当中,计算机网络防火墙对于用户来说,既是保障计算机网路安全的一种有效手段,又是规范用户使用计算机网络的一种行之有效的方式;
(4)对于一些企业或有工作需要的个人来说,计算机上涉及大量的数据,计算机网络防火墙的存在使得用户数据文件的安全得到保障,避免用户数据的安全受到威胁,避免文件被盗。计算机网络防火墙是保障计算机网络安全的一项基本措施,因此,要不断的将先进的技术融入到计算机网络防火墙的建设当中,已对其不断的进行优化管理,充分发挥计算机网络防火墙的真正作用。
5结论
综上所述,对于计算机网络信息安全中防火墙技术的有效运用与分析要从实际的科学技术出发,将先进的科学技术与实际的计算机网络防火墙相结合,建立安全网络信息安全管理系统,使计算机用户的实际信息得到可靠的保护;将网络安全管理与防火墙相结合,对网络数据进行必要的检查的同时,注重对系统本身的监控管理,从而不断的提高计算机网络信息的安全性。
参考文献:
[1]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑(理论版),20xx(9):193-194.
[2]谢平.计算机网络信息安全中防火墙技术的有效运用研究[J].通讯世界,20xx(19):97-98.
网络安全之防火墙技术 篇6
关键词:网络安全 防火墙
1 概论
当今社会互联网高度发达,几乎全世界的计算机都通过因特网联系在了一起。网络安全也成了互联网用户每时每刻要面对的问题。现在,网络安全已经成了专门的技术。保证网络安全有很多种措施,包括防火墙技术、数字签名、数据加密解密技术、访问控制、身份认证技术等,其中防火墙技术使用最广泛,实用性最强。
2 防火墙技术
防火墙技术是一个由硬件设备和软件组合而成,在内部网和外部网之间的界面上构造的保护屏障,是形象的说法。防火墙既可以是一个硬件设备也可以是运行在一般硬件上的一套软件。防火墙能加强网络之间访问控制,防止外网用户以非法手段访问内部网络,保护内部网络环境。防火墙能很好的保护用户,入侵者只有穿过防火墙,才能接触到用户计算机。防火墙可以阻挡大部分的网络进攻,能满足绝大多数用户的需要。
3 防火墙分类
3.1 从实现方式上分 从实现方式上防火墙可以分为软件防火墙和硬件防火墙两类。软件防火墙以纯软件的方式实现,只能通过软件设置一定的规则来限制外网用户非法访问内部网络。软件防火墙功能相对简单,价格便宜,广泛应用于小型企业及个人用户。硬件防火墙指通过软硬件的结合的方式来隔离内部外部网络,效果很好,但是价格昂贵,只适用于大型企事业单位。
3.2 从架构上分 防火墙从架构上分可以分为通用CPU架构、ASIC架构和网络处理器(NP)架构三种。
通用CPU架构以基于Inter X86架构的防火墙为代表。其特点是灵活性高和可扩展性好。由于PCI总线速度较低,CPU处理能力弱,通用CPU架构防火墙的数据吞吐量较低,和理论值2Gbps有很大差距。该架构的防火墙通常作为百兆级防火墙。
ASIC(Application Specific Integrated Circuit专用集成电路)技术是高端网络设备广泛采用的技术。其采用了多总线技术、数据层面、控制层面分离与硬件转发模式等技术。ASIC架构防火墙解决了宽带容量和性能不足的问题,稳定性也得到了很好的保证。ASIC架构防火墙是世界公认的满足千兆骨干级网络应用的技术方案,线速可达千兆。ASIC技术的优势体现在对网络层的数据转发,而对应用层的数据处理不占优势。
网络处理器(NP)是专门为处理数据包而设计的可编程处理器,它具有高处理能力、开放的编程接口、完全的可编程性、简单的编程模式等优点。
NP内含多个数据处理器,可以并发处理数据。数据处理能力较通用处理器强大很多,处理一般性任务时可以达到线速。网络处理器架构下的产品成本比通用CPU架构的成本要高,而处理能力比ASIC价格低。但是网络处理器架构防火墙集成度高由于有多个数据处理器,能够胜任高速数据处理。
3.3 从技术上分 目前有很多种防火墙技术,根据采用技术的不同,总体可以分为两大类:包过滤型和应用代理型。
3.3.1 包过滤型防火墙 包过滤型防火墙是最原始的防火墙,作用在网络层和传输层,技术依据是数据在网络中采用分组传输技术。数据在网络中传输前先被划分为多个数据包,每个数据包都包含一些特定信息,如数据源地址,目的地址、协议类型、端口号等标志。防火墙根据这些信息判断数据是否安全。满足防火墙过滤条件的数据包被转发到相应的目的地址,其余数据包则被丢弃。
在包过滤防火墙的发展过程中,出现了第一代静态包过滤型防火墙第二代动态包过滤型防火墙。
静态包过滤防火墙根据管理员预先定义好的数据过滤规则检查每个数据包,与过滤规则匹配成功则丢弃,否则让其通过。过滤规则基于数据包中的特定信息,如数据源地址,目的地址、协议类型、端口号等。
动态包过滤型防火墙的包过滤规则采用动态设置的方法,解决了静态包过滤型防火墙出现的问题。该技术后来发展成为状态监测(Stateful Inspection)包过滤技术。采用这种技术的防火墙利用状态表跟踪所有的网络会话状态,不仅根据规则表检查每一个包,还根据会话所处的状态检查数据包。状态检测防火墙规范了网络层和传输层的数据传输行为,增强了控制能力。状态检测防火墙对通过其建立的每一个连接都进行跟踪,并且可根据需要在过滤规则中动态地增加或更新条目。
包过滤技术既简单实用,又能适用于所有的网络服务,基本上能满足大多数企业的安全要求。但是包过滤技术也有它的缺点。该技术是基于网络层的安全技术,只能根据数据包的数据来源、目标地址和端口号等信息判断是否安全。对于应用层的入侵,如恶意软件以及文件附带的病毒则无能为力。因为伪造IP地址,骗过包过滤型防火墙对于有经验的黑客来说并不是一件难事。为特定服务开放的端口存在着一定的受攻击风险。
3.3.2 应用代理型防火墙 应用代理型防火墙工作在应用层。它通过对各种应用服务编制专门的代理程序,实现监控应用层通信流的作用。
在代理型防火墙技术的发展过程中,出现了第一代应用网关型代理防火和第二代自适应代理防火墙。
应用网关型防火墙有时也被称为代理服务器,其安全性远高于包过滤型防火墙。该防火墙位于服务器与客户机之间,对于服务器来说,它相当于客户机;对于客户机来说,它相当于服务器。从客户机发出的数据包经过防火墙处理后,可以隐藏内部网结构。由于外部客户机与内部服务器之间没有直接通信,所以外部的行为一般不会影响内部服务器。这种类型的防火墙被公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
自适应代理型防火墙是一种新型防火墙,近年来得到了广泛的应用。它既具有包过滤防火墙的高速度的优点又具有代理類型防火墙的安全性的优点,能在不降低安全性的基础上将防火墙的性能提高数倍。自适应代理型防火墙的基本组成要素包括动态包过滤器和自适应代理服务器。
应用代理型防火墙是为防范应用层攻击设计的,它可以筛选保护OIS网络模型中的任意层数据通信。应用代理型防火墙有以下优点:隐藏内部IP;限制某些协议的传出请求;指定对连接的控制;能够记录连接日志,对追踪攻击和非法访问很有用。
应用代理防火墙的缺点:用户每次连接都要认证,带来不便;用户系统须定制;速度相对较慢,当网络通信速率较高时,就会影响内外部通信,但通常情况下不会很明显。
4 结束语
防火墙系统只是一种网络安全防护手段,并不能保证网络安全万无一失。它只能防护经过自身的非法访问和攻击,某些恶意的访问可以通过客户机的软件绕过放过防火墙,传输非法数据。另外对于数据驱动式攻击、带病毒的数据防火墙都不能直接拦截。
单纯的防火墙技术逐渐不能满足人们对网络安全的需要,防火墙技术的改进及与其他网络安全技术结合使用已经成为网络安全的重要手段。主要的技术手段有:多级过滤技术、分布式防火墙、入侵检查系统、入侵防御系统。
随着计算机技术的发展,防火墙技术会不断的向前发展,网络安全问题也会不断涌现。只有不断改进安全策略,才能保证网络安全稳定的发展。
参考文献:
[1]伍锦群.防火墙技术的探讨[J].长春理工大学学报.2008,(03).
[2]庄健平.防火墙技术与网络安全[J].电脑编程技巧与维护.2010,(22).
[3]黄惠烽.计算机网络安全与防火墙技术[J].科技信息,2007,(08).
防火墙技术分析 篇7
1 包过滤技术
包过滤就是根据数据包头信息和过滤规则决定是否允许数据包通过防火墙。当数据包到达防火墙时,防火墙就检查数据包包头的源地址、目的地址、源端口、目的端口及其协议类型。若是可信连接,就允许通过,否则就丢弃。
包过滤防火墙是基于子过滤规则来实现的,实现步骤为:建立安全策略,写出所允许的和禁止的任务,将安全策略转化为数据包的包过滤规则。过滤规则的设计可以按IP地址过滤,也可以按封装的协议类型过滤或端口号过滤,也可以将上述几种方式组合起来制定过滤规则。数据包过滤规则具体体现在过滤规则表上,过滤规则表定义了各种规则来表明同意或拒绝包的通过。
包过滤最大的优点是对用户透明,传输性能高。但由于安全控制层次在网络层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。另外包过滤防火墙只按照规则丢弃数据包,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。
2 应用代理技术
应用层代理防火墙也叫应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质不同。代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。
代理服务技术的防火墙可以实现对应用层协议的分析工作,整个代理防火墙把自身映射为一条透明线路,但是这个连接的数据收发实际上是经过了代理防火墙转向的,而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。
由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。
代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,一旦数据交换过于频繁,代理防火墙很可能成为整个网络的瓶颈。
3 状态检测技术
状态检测防火墙也叫自适应防火墙或动态包过滤防火墙。状态检测防火墙在包过滤的同时,检查数据包之间的关联性和数据包中动态变化的状态码。它有一个检测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态保存作为以后执行安全策略的参考,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密处理等动作。
状态检测防火墙只是在网络层和传输层检测数据包,功能比较有限。只要数据包的目的地址和源地址是合法的就不再对其进行检测,对网络提供的保护仅限于此。它是目前使用最为广泛的防火墙,用来防护黑客攻击,但在专门针对应用层的Web攻击中其有效性却越来越低。
4 自适应代理技术
自适应代理防火墙一般是通过应用层验证新的连接,同时具有代理防火墙和状态检测防火墙的特性。防火墙能够动态地产生和删除过滤规则。由于这种防火墙将后续的安全检查重定向到网络层,使用包过滤技术,因此对后续的数据包的应用层数据没有进行有效地检查。同样,由于使用了代理技术,而代理技术不能检测未知的攻击行为。
5 内容过滤技术
内容过滤技术是建立在包过滤技术基础之上的。内容过滤不仅对数据包进行地址、协议、端口等信息的过滤,更重要的是对数据包中传递的内容信息进行检索过滤,这样有效的防止了各种网络危险,使得网络安全上升了一个台阶。
内容过滤技术一般包括URL过滤、关键词匹配、图像过滤、模版过滤和智能过滤等。目前内容过滤技术还处于初级阶段,图像过滤和模版过滤还处于理论研究阶段,许多技术瓶颈尚未解决,实际应用并不多见。智能过滤同样只限于研究领域,没有大量应用。相比之下,URL过滤和关键词匹配基本成熟。其中,URL过滤己经成为内容过滤产品的基本功能,但其主要用途在于访问控制而不是内容安全。所以,提供关键词过滤或应用层命令、病毒、攻击代码扫描和垃圾邮件过滤的功能是防火墙的发展趋势。
6 防火墙的优点与不足
6.1 防火墙的优点
过滤易受攻击的服务:防火墙将那些安全程度很低的服务隔离在受保护子网外,以防护那些有用的服务被外部攻击者所利用,降低使用风险,简化安全管理,提高内部网的安全性。
控制访问:防火墙能控制对网点系统的访问。
集中的安全性:将需要改动的软件与附加的安全软件集中放置在防火墙系统中。
执行网络政策:用户通过防火墙可执行既定的网络访问政策。
封锁域名信息:可防止攻击者从域名中获取有关信息。
监控网络使用状态:防火墙能提供网络访问记录,并随时对可疑活动进行报警。
6.2 防火墙的不足
防火墙不能防范不经过防火墙的攻击。第一,内部知情者对系统的破坏对防火墙来说无能为力;第二,网内用户通过PPP或SLIP不受限制地对外拨号,与Internet直接连接,形成了一个潜在的攻击渠道。
防火墙不能防范数据驱动型的攻击。有些数据从表面上看不出异常,当被发送或复制到主机上并被执行时,就会发生数据驱动攻击。现在很多流行的网络黑客攻击或者病毒程序都是使用数据驱动方式在Internet中进行传播的。
防火墙不能防范计算机病毒的破坏。现在的计算机病毒可以感染各类文件,防火墙很难做到逐个扫描查找病毒,这样做会大大降低系统通信效率。
防火墙不能防备全部的威胁。防火墙是一种被动的防护手段,它只能用来防备己知的威胁。一个优秀的防火墙设计方案可以提前防备新的可能威胁,但是绝对没有任何一个防火墙能够自动的防御所有的新的威胁。
摘要:深入分析防火墙技术,并对现有防火墙的优缺点加以总结。
关键词:防火墙,防火墙技术
参考文献
[1]郭乐群.基于策略防火墙的设计与实现[J].通信技术,2001,2(2).53-55。
[2]徐斌,徐悦.防火墙技术与Internet信息安全[J].现代电子技术,2001(1):55-59.
[3]陈伟,汪琼.网络安全与防火墙技术[J].东莞理工学院学报,2002,6(1).19-23.
探析网络防火墙技术 篇8
随着计算机网络的迅猛发展, 人类社会进入了信息网络时代。人们在享受网络带来的各种便利的同时, 也被网络安全这个世界性的难题所困扰。由于网络的开放性、互联性和终端分布不均性, 导致了网络容易受到各种各样的安全威胁。
二、防火墙的分类
防火墙技术大致可分为三大类, “包过滤”、“应用代理”和“状态监视”, 无论一个防火墙的实现过程多么复杂, 归根结底都是在这三种技术的基础上进行功能扩展的。
1、包过滤技术
包过滤是最早使用的一种防火墙技术, 它的第一代模型是“静态包过滤”, 使用包过滤技术的防火墙通常工作在OSI模型中的网络层上, 后来发展更新的“动态包过滤”增加了传输层, 它把这两层作为数据监控的对象, 对每个数据包的头部、协议、地址、端口、类型等信息进行分析, 并与预先设定好的防火墙过滤规则进行核对。适当的设置过滤规则可以让防火墙工作得更安全有效, 但是这种技术只能根据预设的过滤规则进行判断, 一旦出现一个没有在设计人员意料之中的有害数据包请求, 整个防火墙的保护就相当于摆设了。
动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上, 会对已经成功与计算机连接的报文传输进行跟踪, 并且判断该连接发送的数据包是否会对系统构成威胁, 一旦触发其判断机制, 防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改, 从而阻止该有害数据的继续传输, 但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理, 所以与静态包过滤相比, 它会降低运行效率。
2、应用代理技术
“应用代理”技术的防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器, 但是它并不是单纯的在一个代理设备中嵌入包过滤技术, 而是一种被称为“应用协议分析”的新技术。
整个代理防火墙把自身映射为一条透明线路, 在用户方面和外界线路看来, 它们之间的连接并没有任何阻碍, 但实际上是经过了代理防火墙转向的, 当外界数据进入代理防火墙的客户端时, “应用协议分析”模块便根据应用层协议处理这个数据, 通过预置的处理规则查询这个数据是否带有危害, 由于这一层面对的已经不再是组合有限的报文协议, 所以防火墙不仅能根据数据层提供的信息判断数据, 更能像管理员分析服务器日志那样“看”内容辨危害。
但是, 代理型防火墙的结构特征偏偏正是它的最大缺点, 由于它是基于代理技术的, 通过防火墙的每个连接都必须建立在为之创建的代理程序进程上, 而代理进程自身是要消耗一定时间的, 更何况代理进程里还有一套复杂的协议分析机制在同时工作, 于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象, 而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工, 整个网络可能就会因此瘫痪了。
3、状态监视技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术, 与之类似的有“深度包检测”技术。这种防火墙技术通过一种被称为“状态监视”的模块, 在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测, 并根据各种过滤规则作出安全决策。
“状态监视”技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上, 进一步发展了“会话过滤”功能, 在每个连接建立时, 防火墙会为这个连接构造一个会话状态, 里面包含了这个连接数据包的所有信息, 以后这个连接都基于这个状态信息进行。状态监视可以对包内容进行分析, 从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点, 而且这种防火墙不必开放过多端口, 进一步杜绝了可能因为开放端口过多而带来的安全隐患。
三、防火墙技术发展趋势
伴随着Internet的飞速发展, 防火墙技术的更新步伐必然会加强, 下面诸点可能是该技术下一步的走向和选择:
1、防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2、过滤深度会不断加强, 从目前
的地址、服务过滤, 发展到URL (页面) 过滤、关键字过滤和对Active X、Java等的过滤, 并逐渐有病毒扫描功能。
3、利用防火墙建立专用网是较长
一段时间用户使用的主流, IP的加密需求越来越强, 安全协议的开发是一大热点。
4、单向防火墙 (又叫做网络二极管) 将作为一种产品门类而出现。
5、对网络攻击的检测和各种告警将成为防火墙的重要功能。
6、安全管理工具不断完善, 特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
网络防火墙技术浅析 篇9
1 防火墙基本概念
防火墙最初是指建筑大厦里用来防止火灾发生时火势蔓延而设置的隔断墙, 这里引申为对内部网络安全进行保护的防护墙, 二者的原理是很相近的。顾名思义, 防火墙就是用来阻挡外部不安全因素影响的内部网络屏障, 其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合, 使Internet之间建立起一个安全网关, 从而保护内部网免受非法用户的侵入, 防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成, 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
2 防火墙技术分类
从实现原理上分, 防火墙的技术包括四大类:网络级防火墙 (也叫包过滤型防火墙) 、应用级网关、电路级网关和规则检查防火墙。
2.1 网络级防火墙, 也叫包过滤型防火墙, 一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发。防火墙检查每一条规则直至发现包中的信息与某规则相符。
2.2 应用级网关, 应用级网关能够检查进出的数据包, 通过网关复制传递数据, 防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关有较好的访问控制, 是目前最安全的防火墙技术, 但实现困难, 而且有的应用级网关缺乏“透明度”。
2.3 电路级网关, 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息, 这样来决定该会话是否合法, 电路级网关是在OSI模型中会话层上来过滤数据包。
2.4 规则检查防火墙, 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点, 不依靠与应用层有关的代理, 而是依靠某种算法来识别进出的应用层数据, 这些算法通过已知合法数据包的模式来比较进出数据包。
3 防火墙基本功能
3.1 网络安全的屏障
一个防火墙能极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙, 所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
3.2 强化网络安全策略
通过以防火墙为中心的安全方案配置, 能将所有安全软件 (如口令、加密、身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更经济。
3.3 监控审计
如果所有的访问都经过防火墙, 那么, 防火墙就能记录下这些访问并作出日志记录, 同时也能提供网络使用情况的统计数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测和攻击的详细信息。另外, 收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击, 并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
3.4 防止内部信息的外泄
通过利用防火墙对内部网络的划分, 可实现内部网重点网段的隔离, 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。使用防火墙就可以隐蔽那些透漏内部细节如Finger, DNS等服务。除了安全作用, 防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。
3.5 数据包过滤
网络上的数据都是以包为单位进行传输的, 每一个数据包中都会包含一些特定的信息, 如数据的源地址、目标地址、源端口号和目标端口号等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的网络, 并与预先设定的访问控制规则进行比较, 进而确定是否需对数据包进行处理和操作。数据包过滤可以防止外部不合法用户对内部网络的访问, 但由于不能检测数据包的具体内容, 所以不能识别具有非法内容的数据包, 无法实施对应用层协议的安全处理。
3.6 网络IP地址转换
网络IP地址转换是一种将私有IP地址转化为公网IP地址的技术, 它被广泛应用于各种类型的网络和互联网的接人中。网络IP地址转换一方面可隐藏内部网络的真实IP地址, 使内部网络免受黑客的直接攻击, 另一方面由于内部网络使用了私有IP地址, 从而有效解决了公网IP地址不足的问题。
3.7 虚拟专用网络
虚拟专用网络将分布在不同地域上的局域网或计算机通过加密通信, 虚拟出专用的传输通道, 从而将它们从逻辑上连成一个整体, 不仅省去了建设专用通信线路的费用, 还有效地保证了网络通信的安全。
3.8 日志记录与事件通知
进出网络的数据都必须经过防火墙, 防火墙通过日志对其进行记录, 能提供网络使用的详细统计信息。当发生可疑事件时, 防火墙更能根据机制进行报警和通知, 提供网络是否受到威胁的信息。
4 防火墙的局限性
防火墙虽然具备着众多的优点, 但也并非无懈可击, 它在安全方面还存在着局限性:防火墙不能防范不经过防火墙的攻击;防火墙不能解决来自内部网络的攻击和安全问题;防火墙不能防止策略配置不当或错误配置引起的安全威胁;防火墙不能防止可接触的人为或自然的破坏;防火墙不能防止利用标准网络协议中的缺陷进行的攻击;防火墙不能防止利用服务器系统漏洞所进行的攻击;防火墙不能防止受病毒感染的文件的传输;防火墙不能防止数据驱动式的攻击;防火墙不能防止内部的泄密行为;防火墙不能防止本身的安全漏洞的威胁。因此防火墙的设定并非是一劳永逸的工作, 相关安全负责人在设定好防火墙后一定不可大意, 应该时时具有居安思危的意识, 努力把其他的一些安全防御技术与防火墙配合使用, 以增强网络信息的安全性。
参考文献
[1]黎连业, 张维.防火墙及其应用技术[M].北京:清华大学出版社.
[2]程代伟.网络安全完全手册[M].北京:电子工业出版社.
浅谈防火墙技术 篇10
随着网络技术的发展, 因特网已经走进千家万户。因而, 网络的安全将成为人们最为关注的问题。目前, 保护内部网免遭外部入侵的比较有效的方法为防火墙技术。
2、防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的那道墙, 这道墙可以防止火灾发生的时候蔓延到别的房屋。再电脑术语中我们可以类比来理解, 在网络中, 所谓"防火墙", 是指一种将内部网和公众访问网 (如Internet) 分开的方法, 它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度, 它能允许你"同意"的人和数据进入你的网络, 同时将你"不同意"的人和数据拒之门外, 最大限度地阻止网络中的黑客来访问你的网络。换句话说, 如果不通过防火墙, 公司内部的人就无法访问Internet, Internet上的人也无法和公司内部的人进行通信。3、防火墙的功能
2.1 防火墙是网络安全的屏障
2.2 对网络存取和访问进行监控审计
2.3 防止内部信息的外泄
4、防火墙的基本类型
如今市场上的防火墙林林总总, 形式多样。有以软件形式运行在普通计算机之上的, 也有以固件形式设计在路由器之中的。总的来说可以分为三种:包过滤防火墙、代理服务器和状态监视器。
4.1 包过滤防火墙 (IPFilting Firewall) :
包过滤防火墙经历了两代:
4.1.1 静态包过滤防火墙:
静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号, 端口号及其它的包头信息, 并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配, 其中:如果信息包中存在一点与过滤规则不符合, 那么这个信息包里所有的信息都会被防火墙屏蔽掉, 这个信息包就不会通过防火墙。相反的, 如果每条规都和过滤规则相匹配, 那么信息包就允许通过。静态包的过滤原理就是:将信息分成若干个小数据片 (数据包) , 确认符合防火墙的包过滤规则后, 把这些个小数据片按顺序发送, 接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙, 对用户是透明的, 它不需要用户的用户名和密码就可以登录, 它的速度快, 也易于维护。但由于用户的使用记录没有记载, 如果有不怀好意的人进行攻击的话, 我们即不能从访问记录中得到它的攻击记录, 也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的, 对于恶意的攻击者来说是攻破它是非常容易的。其中"信息包冲击"是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包, 一旦有一个包通过了防火墙, 那么攻击者停止再发测试IP地址的信息包, 用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。
4.1.2 动态包过滤防火墙:
静态包过滤防火墙的缺点, 动态包过滤防火墙都可以避免。它采用的规则是发展为"包状态检测技术"的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目, 在这点上静态防火墙是比不上它的, 它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于, 它的内外网之间不存在直接的连接, 一般由两部分组成:服务器端程序和客户端程序, 其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。包过滤路由器的弊端也是很明显的, 通常它没有用户的使用记录, 这样我们就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防炎墙对黑客来说是比较容易的, 他们在这一方面已经积了大量的经验。"信息包冲击"是黑客比较常用的一种攻击手段, 黑客们对包过滤式防火墙发出一系列信息包, 不过这些包中的IP地址已经被替换掉了 (Fake IP) , 取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙, 黑客便可以用这个IP地十来伪装他们发出的信息。在另一些情况下黑客们使用一种他们自己编制的路由器攻击程序, 这种程序使用路由器协议 (R outing Inform ation Protcol) 来发送伪造的路由信息, 这样所有的包都会被重新路由到一个入侵者所指定的特别地址。对付这种路由器的另一种技术被称之为"同步淹没", 这实际上是一种网络炸弹。攻击者向被攻击的计算机发出许许多多个虚假的"同步请求"信号包, 当服务器响应了这种信号包后会等待请求发出者的回答, 而攻击者不做任何的响应。如果服务器在45秒钟里没有收到反应信号的话就会取消掉这次请求。但是当服务器在处理成知上万个虚假请求时, 它便没有时间来处理正常的用户请求, 处于这种攻击下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的, 通常它没有用户的使用记录, 这样我们就不能从访问记录中发现黑客的攻击记录。此外, 配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络, 但也不告诉你何人进入你的系统, 或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问, 却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤, 即不能鉴别不同的用户和防止IP地址盗用。包过滤型防火墙是某种意义上的绝对安全的系统。
4.2 代理服务器 (Proxy Server) :
代理服务器通常也称作应用级防火墙。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络, 对于这样的企业来说应用级防火墙是更好的选择。所谓代理服务, 即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的, 这样便成功地实现了防火墙内外计算机系统的隔离。代理服务是设置在Internet防火墙网关上的应用, 是在网管员允许下或拒绝的特定的应用程度或者特定服务, 同时, 还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务, 如超文本传输 (H TTP) 、远程文件传输 (FTP) 等。代理服务器通常拥有高速缓存, 缓存中存有用户经常访问站点的内容, 在下一个用户要访问同样的站点时, 服务器就用不着重复地去抓同样的内容, 既节约了时间也节约了网络资源。
下面简单介绍几种代理服务器的设计实现方式:
4.2.1 应用代理服务器 (A pplication G ateway Proxy)
应用代理服务器可以在网络应用层提供授权检查及代理服务。当外部某台主机试图访问 (如Telnet) 受保护网时, 它必须先在防火墙上经过身份认证。通过身份认证后, 防火墙运行一个专门为Telnet设计的程序, 把外部主机与内部主机连接。在这个过程中, 防火墙可以限制用户访问的主机、访问的时间及访问的方式。同样, 受保护网络内部用户访问外部网时也需先登录到防火墙上, 通过验证后才可使用Telnet或FTP等有效命令。应用网关代理的优点是既可以隐藏内部IP地址, 也可以给单个用户授权, 即使攻击者盗用了一个合法的IP地址。他也通不过严格的身份认证。因特网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明, 用户每次连接都要受到"盘问", 这给用户带来许多不便。而且这种代理技术需要为每个应用网关写专门的程序。
4.2.2 回路级代理服务器
回路级代理服务器也称一般代理服务器, 它适用于多个协议, 但无法解释应用协议, 需要通过其他方式来获得信息。所以, 回路级代理服务器通常要求修改过的用户程序。其中, 套接字服务器 (Sockets Server) 就是回路级代理服务器。套接字 (Sockets) 是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时, 在防火墙上的套接字服务器检查客户的U ser ID、IP源地址和IP目的地址, 经过确认后, 套服务器才与外部的段服务器建立连接。对用户来说, 受保护网与外部网的信息交换是透明的, 感觉不到防火墙的存在, 那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持"Socketsifide A PI"受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
4.2.3 代管服务器
代管服务器技术换言之就是把不安全的服务, 诸如FTP、Telnet等放到防火墙上, 使它同时充当服务器, 对外部的请求作出回答。与应用层代理实现相比, 代管服务器技术不必为每种服务专门写程序。而且, 受保护网内部用户想对外部网访问时, 也需先登录到防火墙上, 再向外提出请求, 这样从外部网向内就只能看到防火墙, 从而隐藏了内部地址, 提高了安全性。
4.2.4 IP通道 (IPTunnels)
如果某公司下属的两个子公司相隔较远, 通过Internet进行通信时, 可以采用IPTunnels来防止Internet上的黑客截取信息, 从而在Internet上形成一个虚构的企业网。
4.2.5 网地址转换器 (N etwork A ddress Translate)
当受保护网连到Internet上时, 受保护网用户若要访问Internet, 必须使用一个合法的IP地址。但由于合法Internet IP地址有限, 而且受保护网络往往有自己的一套IP地址规划。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时, 防火墙态地从地址集中选一个未分配的地址分配给该用户, 该用户即可使用这个合法地址进行通信。同时, 对于内部的某些服务器如W eb服务器, 网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾, 又对外隐藏了内部主机的IP地址, 提高了安全性。
4.2.6 隔离域名服务器 (Split D om ain N am e Sever)
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离, 使外部网的域名服务器只能看到防火墙的IP地址, 无法了解受保护网络的具体情况, 这样可以保证受保护网络的IP地址不被外部网络知悉。
4.2.7 邮件转发技术 (M ailforwarding)
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时, 从外部网络发来的邮件, 就只能送到防火墙上。这时防火墙对邮件进行检查, 只有当发送邮件的源主机是被允许通过的, 防火墙才对邮件的目的地址进行转换, 送到内部的邮件服务器, 由其进行转发。代理服务器像真的墙一样挡在内部用户和外界之间, 特别是从外面来的访问者只能看到代理服务器而看不见到任何的内部资源, 诸如用户的IP等。而内部客户根本感觉不到它的存在, 可以自由访问外部站点。代理可以提供极好的访问控制、登录能力以及地址转换功能, 对进出防火墙的信息进行记录, 便于管理员监视和管理系统。但代理服务器同时也存在一些不足, 特别是它会使网络的访问速度变慢, 因为它不允许用户直接访问网络, 而代理又要处理入和出的通信量, 因此每增加一种新的媒体应用, 则必须对代理进行设置。笔者在一套办公应用软件的设计方面, 就因为代理服务器的原因折腾了很长时间, 结果还是由于设置与容错方面的问题暂时搁浅了。
4.3 状态监视器 (Stateful Inspection) :
状态监视器作为防火墙技术其安全特性最佳, 它采用了一个在网关上执行网络安全策略的软件引擎, 称之为检测模块。检测模块在不影响网络正常工作的前提下, 采用抽取相关数据的方法对网络通信的各层实施监测, 抽取部分数据, 即状态信息, 并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序, 并可以很容易地实现应用和服务的扩充。与其它安全方案不同, 当用户访问到达网关的操作系统前, 状态监视器要抽取有关数据进行分析, 结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定, 安全报警器就会拒绝该访问, 并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测
R em ote Procedure Call和U ser D atagrqam Protocol类的端口信息。
问题当然也有, 即状态监视器的配置非常复杂, 而且会降低网络的速度。
5、技术展望
防火墙作为维护网络安全的关键设备, 在目前采用的网络安全的防范体系中, 占据着举足轻重的位置。伴随计算机技术的发展和网络应用的普及, 越来越多的企业与个体都遭遇到不同程度的安全难题, 因此市场对防火墙的设备需求和技术要求都在不断提升, 而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高, 否则将会在面对新一轮入侵手法时束手无策。
多功能、高安全性的防火墙可以让用户网络更加无忧, 但前提是要确保网络的运行效率, 因此在防火墙发展过程中, 必须始终将高性能放在主要位置, 目前各大厂商正在朝这个方向努力, 而且丰富的产品功能也是用户选择防火墙的依据之一, 一款完善的防火墙产品, 应该包含有访问控制、网络地址转换、代理、认证、日志审计等基础功能, 并拥有自己特色的安全相关技术, 如规则简化方案等, 明天的防火墙技术将会如何发展, 让我们拭目以待。
摘要:文中就信息网络安全问题, 论述了网络防火墙安全技术的分类及其主要技术特征。
关键词:网络安全,防火墙,数据包过滤,网络服务
参考文献
[1].朱雁辉.WINDOWS防火墙与网络封包截获技术[M].北京:电子工业出版社, 2002
[2].常红等.网络完全技术与反黑客[M].长春:冶金工业出版社, 2001
[3].袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社, 2002
[4].东方龙马防火墙技术白皮书[M].北京:东方龙马公司, 2001
防火墙新技术 篇11
发展轨迹
HIPS(主机入侵防御体系),被网友俗称为“系统防火墙”(非XPSP2防火墙),是通过判断规则、拦截行为等方式,为系统加载的一层“保护膜”。网络防火墙与HIPS的区别是,当程序需要上网时会被网络防火墙拦截询问是否放行,拦截平台仅限于互联网出口与入口;而HIPS对应范围更广,通过AD+RD+FD防御体系,阻止程序调用危险的API。
主动防御与HIPS的发展
谈到HIPS不得不谈它与主动防御之间的关系。大约在3、4年前。杀毒软件压根没有HIPS主动防御,顶多就是一个再简单不过的文件监控。经历了熊猫烧香的洗礼后逐渐受人重视,业内非常看好由微点带来拦截、分析、清除体系。2007年,主动防御技术得到了蓬勃发展,2008年主动防御已经遍地开花,最后还成了不少厂家的宣传口号。
主动防御与HIPS的关系类似于集合中的交集、并集,它们有太多相似之处,通常情况下的不同之处在于,主动防御能删除木马病毒、注册表残留“自行善后”。关于主动防御与HIPS的技术帖网上很多,而我这里只想强调的因素是“人”。
从用户的角度去看待主动防御与HIPS
从入门难度上讲,HIPS大于主动防御。HIPS对于用户积累有要求,相应的用户入手难度会增大。但我们要看到,软件BUG纰漏难免,智能化较高的主动防御未必能超过高手使用HIPS自我判断。
从操作易用上就很难判断了!你可以说,我用HIPS新手模式啊,我用的是智能型的HIPS。有些软件的主动防御功能的繁琐是客观存在的,甚至超过了常用的HIPS!另一方面,即使两款均有主动防御技术的软件,也未必有同样好的操作体验!为何呢?
浅谈防火墙技术 篇12
防火墙是指设置在不同网络 (如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 能根据企业的安全政策控制 (允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。
防火墙可以强化网络安全:通过以防火墙为中心的安全方案配置, 能将所有安全软件 (如口令、加密、身份认证、审计等) 配置在防火墙上;对网络存取和访问进行监控审计:如果所有的访问都经过防火墙, 那么, 防火墙就能记录下这些访问并作出日志记录, 同时也能提供网络使用情况的统计数据;防止内部信息的外泄:通过利用防火墙对内部网络的划分, 可实现内部网重点网段的隔离, 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
2. 防火墙技术的分类及特点
2.1 包过滤防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网络包, 或者丢弃, 或者放行, 取决于所建立的一套规则。这称为包过滤防火墙。
本质上, 包过滤防火墙是多址的, 表明它有两个或两个以上网络适配器或接口。包过滤防火墙检查每一个传入包, 查看包中可用的基本信息 (源地址和目的地址、端口号、协议等) 。然后, 将这些信息与设立的规则 (多个复杂规则的组合也是可行的) 相比较。。如果允许Web连接, 但只针对特定的服务器, 目的端口和目的地址二者必须与规则相匹配, 才可以让该包通过。
包过滤防火墙是两个网络之间访问的唯一来源, 它对每条传入和传出网络的包实行低水平控制, 识别和丢弃带欺骗性源IP地址的包。但是包过滤防火墙很复杂, 人们经常会忽略建立一些必要的规则, 或者错误配置了已有的规则, 在防火墙上留下漏洞, 不能防范黑客攻击, 不能处理新的安全威胁。包过滤防火墙技术虽然可以对网络安全进行基本的控制, 但技术层面太过初级, 就好比一位保安只能根据访客来自哪个省市来判断是否允许他 (她) 进入一样, 难以履行保护内网安全的职责
2.2 状态检测防火墙
状态检测防火墙:用了一个在网关上执行网络安全策略的软件模块, 称之为监测引擎。监测引擎在不影响网络正常运行的前提下, 采用抽取有关数据的方法对网络通信的各层实施监测, 抽取状态信息, 并动态地保存起来作为以后执行安全策略参考。监测引擎支持多种协议和应用程序, 并可以很容易地实现应用和服务的扩充。通过状态检测技术动态记录、维护各个连接的协议状态, 并在网络层和IP之间插入一个检查模块, 对IP包的信息进行分析检测, 决定是否允许通过。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数, 而不关心数据包连接状态变化的缺点, 在防火墙的核心部分建立状态连接表, 并将进出网络的数据当成一个个的会话, 利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表, 更考虑了数据包是否符合会话所处的状态, 因此提供了完整的对传输层的控制能力。
状态检测防火墙检查IP包的每个字段, 并遵从基于包中信息的过滤规则。识别带有欺骗性源IP地址包, 记录有关通过的每个包的详细信息。但是状态检测防火墙对信息的记录、测试和分析工作可能会造成网络连接的某种迟滞, 特别是在同时有许多连接激活的时候, 或者是有大量的过滤网络通信的规则存在时。
网关防火墙的一个挑战就是能处理的流量, 状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术, 使防火墙性能大幅度提升, 能应用在各类网络环境中, 尤其是在一些规则复杂的大型网络上。
2.3 应用程序代理防火墙
由于包过滤技术无法提供完善的数据保护措施, 而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害 (如SYN攻击、ICMP洪水等) , 因此人们需要一种更全面的防火墙保护技术, 在这样的需求背景下, 采用“应用代理” (Application Proxy) 技术的防火墙诞生了。我们都知道, 一个完整的代理设备包含一个服务端和客户端, 服务端接收来自用户的请求, 调用自身的客户端模拟一个基于用户请求的连接到目标服务器, 再把目标服务器返回的数据转发给用户, 完成一次代理工作过程。那么, 如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙, 这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器 (Transparent Proxy) , 但是它并不是单纯的在一个代理设备中嵌入包过滤技术, 而是一种被称为“应用协议分析” (Application Protocol Analysis) 的新技术。
应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反, 它是接受来自内部网络特定用户应用程序的通信, 然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信, 所以服务器不能直接访问内部网的任何一部分。
应用程序代理防火墙通过限制某些协议的传出请求, 来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接, 包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件是很有用的。但是必须在一定范围内定制用户的系统, 这取决于所用的应用程序, 一些应用程序可能根本不支持代理连接。
3. 防火墙技术的局限
尽管利用防火墙可以保护安全网免受外部黑客的攻击, 但其目的只是能够提高网络的安全性, 不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁, 如防火墙不能防范不经过防火墙的攻击。例如, 如果允许从受保护的网络内部向外拨号, 一些用户就可能形成与Internet的直接连接。另外, 防火墙很难防范来自于网络内部的攻击以及病毒的威胁。由于防火墙技术的自身不断发展, 其自身问题和漏洞也使其具有局限性。
4. 防火墙技术的发展趋势
防火墙作为维护网络安全的关键设备, 在目前采用的网络安全的防范体系中, 占据着举足轻重的位置, 在网络安全中所扮演的重要角色是不可撼动的。但是伴随计算机技术的发展和网络应用的普及, 防火墙技术的局限性也出现在人们面前, 而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高, 因此需要将更多的防攻击技术融入到防火墙技术体内, 让防火墙技术向更加行业化的方向发展, 实现网络安全设备之间的联动。
参考文献
[1]姜文红.网络安全与管理[M].北京:清华大学出版社, 2007.
[2]荣海迅.防火墙技术及其发展趋势剖析[J].淮北职业技术学院学报, 2008, (3) .