防火墻技術(shù)
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇防火墻技術(shù)范文,相信會(huì)為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
防火墻技術(shù)范文第1篇
隨著計(jì)算機(jī)和網(wǎng)絡(luò)在社會(huì)中的應(yīng)用的不斷增多,計(jì)算機(jī)和網(wǎng)絡(luò)安壘技術(shù)正變得越來越重要,部門能夠使用的安全設(shè)備和軟件的不斷增多,大量數(shù)據(jù)紛紛涌人事件日志,致使網(wǎng)絡(luò)管理員的工作難度越來越高,負(fù)擔(dān)越來越重。
防火墻是一個(gè)由軟件和硬件設(shè)備組合而成,在網(wǎng)絡(luò)之間實(shí)施訪問控制的一個(gè)系統(tǒng),通過執(zhí)行訪問控制策略,限制兩個(gè)網(wǎng)絡(luò)之間數(shù)據(jù)的自由流動(dòng),通過控制和檢測網(wǎng)絡(luò)之間的信息交換和訪問行為實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。
網(wǎng)絡(luò)防火墻是加強(qiáng)網(wǎng)絡(luò)之間訪問控制的設(shè)備,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)人內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。
1.防火墻一般有三個(gè)特性:
所有的通信都經(jīng)過防火墻
防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量
防火墻能經(jīng)受的住對其本身的攻擊
我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖,防火墻可以是一臺(tái)有訪問控制策略的路由器(Route+ACL),一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī),服務(wù)器等,被配置成保護(hù)指定網(wǎng)絡(luò),使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界,例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻,將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。
2.防火墻將保護(hù)以下三個(gè)主要方面的風(fēng)險(xiǎn):
機(jī)密性的風(fēng)險(xiǎn)
數(shù)據(jù)完整性的風(fēng)險(xiǎn)
用性的風(fēng)險(xiǎn)
3.防火墻的主要優(yōu)點(diǎn)如下:
防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安壘,并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。
防火墻可以限制某些特殊服務(wù)的訪問。
防火墻功能單一,不需要在安全性、可用性和功能上做取舍。
防火墻有審記和報(bào)警功能,有足夠的日志空間和記錄功能,可以延長安全響應(yīng)的周期。
4.防火墻也有許多弱點(diǎn):
不能防御已經(jīng)授權(quán)的訪問,以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊。
不能防御合法用戶惡意的攻擊,以及社交攻擊等非預(yù)期的威脅。
不能修復(fù)脆弱的管理措施和存在問題的安全策略。
不能防御不經(jīng)過防火墻的攻擊和威脅。
5.根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、型和監(jiān)測型。
包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。包過濾技術(shù)的優(yōu)點(diǎn)是簡單、實(shí)用和成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。
包過濾技術(shù)也有明顯的缺陷。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵人,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。
網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊的IP地址。
型
型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。其優(yōu)點(diǎn)是安壘性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
監(jiān)測型
監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品。
監(jiān)測型防火墻由于實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻:基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安壘性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。
6.防火墻的不足
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文伴,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
這樣各單位均通過其他手段進(jìn)行安全強(qiáng)化,如:入侵監(jiān)測、殺毒軟件、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)認(rèn)證等。
雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次。不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。
防火墻技術(shù)范文第2篇
關(guān)鍵詞:防火墻;包過濾;自適應(yīng);分布式防火墻
中圖分類號:TP309.5文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)20-5444-02
1 防火墻及其發(fā)展
1.1 防火墻的定義
防火墻的本義原是指古代人們之間修建的那道墻,這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。而這里所說的防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、檢測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。
1.2 防火墻的工作原理
所有的防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)要檢查 IP包頭,根據(jù)其IP源地址和目標(biāo)地址和目標(biāo)地址作出放行/丟棄決定。例如:兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻,防火墻的一端有臺(tái)UNIX計(jì)算機(jī),另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請求時(shí),PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來,協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里,然后通過PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。防火墻的目的和功能通常應(yīng)用防火墻的目的有一下幾個(gè)方面:限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò);過濾掉不安全的服務(wù)和非法;防止入侵者接近用戶的防御設(shè)施;限定人們訪問特殊站點(diǎn);為監(jiān)視局域網(wǎng)安全特工方便。
一般來說,防火墻具有以下幾種功能:1)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報(bào)警;2)允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò);3)利用NAT技術(shù),可以作為部署NAT的地點(diǎn),將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部IP地址對應(yīng)起來,用來緩解空間短缺的問題。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機(jī)構(gòu)的核算模式地宮部門級的計(jì)算。
2 防火墻技術(shù)
防火墻的安全技術(shù)包括過濾技術(shù)、技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT技術(shù)、分布式防火墻技術(shù)等。
2.1 包過濾防火墻數(shù)據(jù)
包過濾防火墻(Proxy)技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù),它通過設(shè)備對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇的控制和操作。包過濾操作可以在路由器上進(jìn)行,也可以在網(wǎng)橋,甚至在一個(gè)單獨(dú)的主機(jī)上進(jìn)行。數(shù)據(jù)包過濾是一個(gè)網(wǎng)絡(luò)安全保護(hù)機(jī)制,它通過控制存在與某一網(wǎng)段的網(wǎng)絡(luò)流量類型來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù),包過濾可以控制存在于某一網(wǎng)段的服務(wù)方式。不符合網(wǎng)絡(luò)安全的那些服務(wù)將被嚴(yán)格限制。
包過濾的缺點(diǎn):1)一些應(yīng)用協(xié)議不要合適于數(shù)據(jù)包過濾;2)不能徹底防止地址欺騙;3)數(shù)據(jù)包工具存在很多局限性包過濾防火墻技術(shù)有一定的優(yōu)點(diǎn),但包過濾畢竟是第一代防火墻技術(shù),本身存在較多缺陷,不能提供較高的安全性。在實(shí)際應(yīng)用中,現(xiàn)在很少把包過濾技術(shù)當(dāng)作單獨(dú)的安全解決方案,而是把它與其他防火墻技術(shù)揉合在一起使用。
2.2 防火墻
防火墻是一種針對特定的用戶層協(xié)議,它工作于應(yīng)用層。防火墻能在用戶層和應(yīng)用協(xié)議層提供訪問控制,是通過編程來弄清用戶應(yīng)用層的流量。服務(wù)器作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器,攔截住所有要求,也向客戶端轉(zhuǎn)發(fā)響應(yīng)。客戶(proxy client)負(fù)責(zé)內(nèi)部客戶端向外部服務(wù)器發(fā)出請求,當(dāng)然也向服務(wù)器轉(zhuǎn)發(fā)響應(yīng)。
技術(shù)的缺點(diǎn):1)對用戶不透明;2)服務(wù)通常要求對客戶、過程之一或兩者進(jìn)行限制;3)對于每項(xiàng)服務(wù)可能要求不同的服務(wù)器;4)速度較路由器慢。
2.3 分布式防火墻
分布式防火墻負(fù)責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù),所以"分布式防火墻"是一個(gè)完整的系統(tǒng),而不是單一的產(chǎn)品。
分布式防火墻的組成部分根據(jù)其所需完成的功能,新的防火墻體系結(jié)構(gòu)包含如下部分:1)中心管理(Central Management):這是一個(gè)防火墻服務(wù)器管理軟件,負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總;2)主機(jī)防火墻(Host Firewall):它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間,以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù);3)網(wǎng)絡(luò)防火墻(Network Firewall):它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間,以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。后者區(qū)別于前者的一個(gè)特征是需要支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議。
4 結(jié)束語
未來防火墻技術(shù)會(huì)全面考慮操作系統(tǒng)的安全、網(wǎng)絡(luò)安全、數(shù)據(jù)的安全、應(yīng)用程序的安全、用戶的安全,五者綜合應(yīng)用。與此同時(shí),網(wǎng)絡(luò)的防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù),如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等其自身結(jié)合起來。
參考文獻(xiàn):
[1] 董立軍,李立明,李峰.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2006.
[2] 楚狂.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京:人民政電出版社,2008.
防火墻技術(shù)范文第3篇
關(guān)鍵詞:防火墻;包過濾;服務(wù)器;狀態(tài)檢測
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2007)04-10942-01
1 引言
近年來,計(jì)算機(jī)網(wǎng)絡(luò)在全球得到了迅速的發(fā)展,其應(yīng)用涉及到社會(huì)的各個(gè)領(lǐng)域,人們的諸多活動(dòng)也越來越依賴于網(wǎng)絡(luò)。然而,網(wǎng)絡(luò)并非是安全的,由于網(wǎng)絡(luò)本身存在的安全缺陷,再加上黑客攻擊、病毒傳播以及各種各樣的威脅日益增多,使得網(wǎng)絡(luò)的安全防線十分脆弱。為了確保網(wǎng)絡(luò)系統(tǒng)的安全,目前人們研究并使用了多種安全防護(hù)措施,防火墻技術(shù)就是其中非常重要的一種防御手段。
2 防火墻的概念
防火墻是建立在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邊界上的一種網(wǎng)絡(luò)安全檢測系統(tǒng),它可以記錄進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)傳輸,并且能根據(jù)已經(jīng)制定好的安全策略,決定是否允許數(shù)據(jù)流通過。其目的是要防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制來強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。在這里內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的,外部網(wǎng)絡(luò)通常指的是Internet,被認(rèn)為是不安全的和不可信賴的。
一般來說,防火墻都具有以下這些功能:一是限制來自網(wǎng)絡(luò)外部的訪問,過濾掉不安全的服務(wù)和非法用戶,保護(hù)內(nèi)部網(wǎng)絡(luò)資源不受外部的入侵;二是提供集中管理方式,即將所有的安全軟件配置在防火墻上來保護(hù)內(nèi)部網(wǎng)絡(luò);三是盡可能對外隱藏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)、結(jié)構(gòu)和運(yùn)行狀況;四是能完整地記錄網(wǎng)絡(luò)訪問情況,一旦網(wǎng)絡(luò)發(fā)生了入侵或者遭到破壞,就可以通過對日志進(jìn)行審計(jì)和查詢以獲得相關(guān)信息。
防火墻作為內(nèi)部和外部網(wǎng)絡(luò)之間的一道屏障,兩種網(wǎng)絡(luò)之間的接口,必須滿足以下幾點(diǎn)才可以起作用:所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的通信都應(yīng)該通過防火墻;所有通過防火墻的通信必須經(jīng)過安全策略的過濾或者防火墻的授權(quán);理論上講,防火墻本身是不可進(jìn)入的。
3 防火墻的關(guān)鍵技術(shù)
3.1 包過濾技術(shù)
包過濾(Packet Filter)技術(shù)又稱為靜態(tài)數(shù)據(jù)包過濾,是最早出現(xiàn)的防火墻技術(shù),雖然防火墻技術(shù)發(fā)展到現(xiàn)在提出了很多新的理念,但是包過濾仍然是防火墻為系統(tǒng)提供安全保障的主要技術(shù),它可以阻擋攻擊,禁止外部/內(nèi)部訪問某些站點(diǎn)以及限制單個(gè)IP地址的流量和連接數(shù)。包過濾技術(shù)的原理是在網(wǎng)絡(luò)層中依據(jù)過濾規(guī)則和包頭信息選擇性地轉(zhuǎn)發(fā)或阻斷數(shù)據(jù)包。用戶可以根據(jù)自身的安全需求制定相關(guān)的規(guī)則,這些規(guī)則存儲(chǔ)在包過濾設(shè)備的端口中,當(dāng)數(shù)據(jù)包到達(dá)端口時(shí),防火墻會(huì)依據(jù)這些過濾規(guī)則,獨(dú)立地審查每個(gè)數(shù)據(jù)包的包頭,根據(jù)數(shù)據(jù)包的源地址、目的地址、所使用的TCP或UDP端口、包頭中的各種標(biāo)志位及用來傳送數(shù)據(jù)包的協(xié)議等因素來確定是允許該數(shù)據(jù)包通過還是刪除該數(shù)據(jù)包。
包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用,處理速度快,而且它對于用戶來說是透明的,合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí),根本感覺不到它的存在。同時(shí),包過濾技術(shù)的缺陷也很明顯的:一是安全性低,一般的包過濾防火墻對數(shù)據(jù)包數(shù)據(jù)內(nèi)容不做任何檢查,只檢查數(shù)據(jù)包頭信息,無法徹底防止地址欺騙;二是過濾規(guī)則很難配置,規(guī)則之間會(huì)存在沖突或漏洞,檢查起來相對困難;三是缺少日志功能,當(dāng)系統(tǒng)被滲入或被攻擊時(shí),很難得到大量的有用信息。
3.2 服務(wù)器技術(shù)
服務(wù)器(Proxy Server)在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查,并且在內(nèi)部用戶與外部主機(jī)進(jìn)行信息交換時(shí)起到中間轉(zhuǎn)發(fā)作用。當(dāng)內(nèi)部客戶機(jī)要使用外部服務(wù)器的數(shù)據(jù)時(shí)會(huì)向其發(fā)出訪問請求,服務(wù)器接收到該請求后會(huì)檢查其是否符合規(guī)定,如果規(guī)則允許,服務(wù)器會(huì)修改數(shù)據(jù)包中的IP地址,然后發(fā)送給外部服務(wù)器,此時(shí)會(huì)認(rèn)為是服務(wù)器發(fā)送訪問請求;同樣外部服務(wù)器返回的數(shù)據(jù)包會(huì)經(jīng)過服務(wù)器的檢測,得到允許后轉(zhuǎn)發(fā)給發(fā)送請求的客戶機(jī)。服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間,對于客戶機(jī)來說像是一臺(tái)真的服務(wù)器,對于外界的服務(wù)器來說它又是一臺(tái)客戶機(jī)。由于每個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要經(jīng)過服務(wù)器的介入和轉(zhuǎn)換,因此沒有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會(huì)話的機(jī)會(huì),從而確保內(nèi)部網(wǎng)絡(luò)安全。
服務(wù)器的優(yōu)點(diǎn)是有安全性好,能有效隔離內(nèi)外網(wǎng)的直接通信,實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾和日志功能。但是它也存在一些缺陷,首先它會(huì)使訪問速度變慢,因?yàn)檫M(jìn)出網(wǎng)絡(luò)的每次通信都必須經(jīng)過,而服務(wù)都要消耗一定的時(shí)間;其次,對于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)專門的軟件模塊來進(jìn)行安
全控制,而且,并不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用服務(wù)。
3.3 狀態(tài)檢測技術(shù)
狀態(tài)檢測(Stateful Inspection)防火墻又叫做動(dòng)態(tài)包過濾防火墻,是在傳統(tǒng)包過濾技術(shù)的基礎(chǔ)上進(jìn)行改進(jìn)的結(jié)果,傳統(tǒng)包過濾技術(shù)只能檢查單個(gè)的數(shù)據(jù)包并且安全規(guī)則是靜態(tài)的,而狀態(tài)檢測防火墻可以將前后數(shù)據(jù)包的上下文聯(lián)系起來,根據(jù)過去的通信信息和其他應(yīng)用程序獲得的狀態(tài)信息動(dòng)態(tài)生成過濾規(guī)則,并根據(jù)此規(guī)則過濾新的通信。而新的通信結(jié)束后新生成的過濾規(guī)則將自動(dòng)從規(guī)則表中刪除。
狀態(tài)檢測防火墻的理論基礎(chǔ)是使用客戶機(jī)/服務(wù)器模式進(jìn)行的連接具有連接狀態(tài),最典型的是TCP連接,TCP連接必須經(jīng)過3次握手,在這些不同的階段中其狀態(tài)是不一樣的,而狀態(tài)的轉(zhuǎn)換又有著其規(guī)律,因此防火墻通過TCP包頭的標(biāo)志位就可以確定連接處于何種狀態(tài),一旦發(fā)現(xiàn)所發(fā)送包和狀態(tài)不符,就可認(rèn)為是狀態(tài)異常的包進(jìn)行拒絕,而不必對IP地址或TCP端口進(jìn)行檢查。
狀態(tài)檢測防火墻中有一個(gè)規(guī)則集和一個(gè)狀態(tài)表(State Table)。狀態(tài)表中保留著當(dāng)前活動(dòng)的合法連接,它的內(nèi)容是動(dòng)態(tài)變化的。當(dāng)防火墻接收到初始化TCP連接的數(shù)據(jù)包時(shí),會(huì)根據(jù)事先設(shè)定的靜態(tài)規(guī)則集對此數(shù)據(jù)包進(jìn)行檢查,如果在檢查所有的規(guī)則之后,該數(shù)據(jù)包都沒有被允許通過,那么拒絕此次連接。如果該數(shù)據(jù)包被接受,則在狀態(tài)表中記錄下該連接的相關(guān)信息。對于隨后的數(shù)據(jù)包,就將其與狀態(tài)表里紀(jì)錄的連接內(nèi)容進(jìn)行比較,如果狀態(tài)表中存在此會(huì)話而且數(shù)據(jù)包狀態(tài)正確,則接受此數(shù)據(jù)包,否則丟棄。
這種方式的好處在于:不是每個(gè)數(shù)據(jù)包都要和安全規(guī)則比較,只有在新的請求連接的數(shù)據(jù)包到來時(shí)才進(jìn)行安全檢查,從而提高了系統(tǒng)的性能;而且狀態(tài)表是動(dòng)態(tài)的,保存了數(shù)據(jù)包的狀態(tài)信息,安全性高。
4 防火墻的局限性
雖然防火墻能夠提高網(wǎng)絡(luò)的安全性,但它并不是全能的,它也具有一定的局限性:
4.1 防火墻不能防范不通過它的連接。
防火墻一般位于內(nèi)部網(wǎng)絡(luò)的邊界上,監(jiān)控所有通過它的通信,如果信息能夠通過無線接入技術(shù)或撥號訪問等方式繞過防火墻進(jìn)出網(wǎng)絡(luò),那么防火墻就沒有任何用處。
4.2 防火墻不能防范全部的威脅。
防火墻是在已知的攻擊模式下制定相應(yīng)的安全策略的,因此能夠防范已知的威脅,對于全新的攻擊方式則難以有效。
4.3 防火墻不能防止感染了病毒的軟件或文件的傳輸。
雖然很多防火墻都會(huì)對通過的所有數(shù)據(jù)包進(jìn)行安全檢測,已決定是否允許其通過,但一般只會(huì)檢查數(shù)據(jù)包的包頭部分,對數(shù)據(jù)包的具體內(nèi)容不太關(guān)心。即使是最先進(jìn)的數(shù)據(jù)包過濾,在病毒防范上也是不適用的,因?yàn)椴《镜姆N類太多,操作系統(tǒng)也有多種,而且有很多方法可以將病毒在數(shù)據(jù)中隱藏起來,因此不能期望防火墻能替代殺毒軟件。要解決病毒問題還必須在每臺(tái)主機(jī)上安裝專門的殺病毒軟件。
4.4 防火墻不能防范內(nèi)部用戶的惡意行為。
由于內(nèi)部用戶進(jìn)行的偷竊數(shù)據(jù)或其它破壞行為都處于網(wǎng)絡(luò)內(nèi)部,其各種信息均不通過防火墻,因此防火墻無法阻止。
5 防火墻的發(fā)展方向
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,黑客攻擊、惡意軟件及病毒等各種安全威脅的進(jìn)一步升級,促使防火墻也在不斷發(fā)展。
5.1 目前的防火墻采取數(shù)據(jù)匹配檢查的方法,安全性越高,需要的計(jì)算量就越大,效率也就隨之降低。未來的防火墻要求是高安全性和高效率的統(tǒng)一。使用專門的芯片負(fù)責(zé)訪問控制功能,設(shè)計(jì)新的防火墻的技術(shù)構(gòu)架是未來防火墻的方向。
5.2 分布式防火墻。當(dāng)前的防火墻一般都是邊界防火墻,只能監(jiān)控通過防火墻的數(shù)據(jù),并且認(rèn)為內(nèi)部網(wǎng)絡(luò)是絕對安全的。然而事實(shí)并非如此,網(wǎng)絡(luò)上的很多災(zāi)難常常是由內(nèi)部用戶的無意或惡意行為造成的,于是提出了分布式防火墻的概念。分布式防火墻是一種全新的防火墻體系結(jié)構(gòu),包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理三個(gè)部分,對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的進(jìn)行安全防護(hù)。這種方式加強(qiáng)了對內(nèi)部網(wǎng)絡(luò)的監(jiān)控,構(gòu)建了一個(gè)全方位的保護(hù)體系。
5.3 聯(lián)動(dòng)防火墻。基于防火墻本身的局限性以及其他安全技術(shù)的成熟應(yīng)用,出現(xiàn)了聯(lián)動(dòng)防火墻的概念。將防火墻同其他安全設(shè)備進(jìn)行整合,充分發(fā)揮各自的優(yōu)勢,協(xié)同配合,架構(gòu)起立體的安全防范體系。例如將防火墻與防病毒產(chǎn)品聯(lián)動(dòng),可以在網(wǎng)關(guān)處對病毒進(jìn)行查殺,將病毒阻擋在網(wǎng)絡(luò)之外。此外防火墻與入侵監(jiān)測系統(tǒng)的聯(lián)動(dòng)也是非常重要的,因?yàn)閮煞N技術(shù)有很強(qiáng)的互補(bǔ)性。
5.4 智能防火墻。智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來對數(shù)據(jù)進(jìn)行識別,并達(dá)到訪問控制的目的。新的數(shù)學(xué)方法,消除了匹配檢查所需要的海量計(jì)算,高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值,直接進(jìn)行訪問控制。智能防火墻能解決普遍存在的拒絕服務(wù)攻擊(DDOS)的問題,病毒傳播的問題和高級應(yīng)用入侵的行為,比傳統(tǒng)的防火墻更安全,效率更高。
6 結(jié)束語
防火墻是網(wǎng)絡(luò)安全的屏障,能有效地提高網(wǎng)絡(luò)的安全性,但不要將網(wǎng)絡(luò)安全單純的依賴于防火墻,它僅是全面的安全策略中的一個(gè)重要組成部分,應(yīng)該和防病毒、入侵檢測、數(shù)據(jù)加密、身份認(rèn)證等安全防護(hù)技術(shù)結(jié)合起來,共同建立一個(gè)有效的安全防范體系。
參考文獻(xiàn):
[1]黎連業(yè),張維,向東明.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社,2004.7.
[2]胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.1.
[3]陳天洲,陳純,谷小妮.計(jì)算機(jī)安全策略[M].浙江大學(xué)出版社,2004.8.
防火墻技術(shù)范文第4篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻
1從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對所工作的操作系統(tǒng)平臺(tái)比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺(tái),沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價(jià)格相對比較高昂。
2從防火墻技術(shù)分
防火墻技術(shù)雖然出現(xiàn)了許多,但總體來講可分為“包過濾型”和“應(yīng)用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packetfiltering)型。
包過濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用,是因?yàn)樗皇轻槍Ω鱾€(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價(jià),是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。
在整個(gè)防火墻技術(shù)的發(fā)展過程中,包過濾技術(shù)出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過濾”和“第二代動(dòng)態(tài)包過濾”。
包過濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。但其弱點(diǎn)也是明顯的:過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC(遠(yuǎn)程過程調(diào)用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制,它只能依據(jù)包頭信息,而不能對用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
(2)應(yīng)用(ApplicationProxy)型。
應(yīng)用型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在型防火墻技術(shù)的發(fā)展過程中,它也經(jīng)歷了兩個(gè)不同的版本:第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。
類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過濾那樣,只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。
另外型防火墻采取是一種機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過服務(wù)器審核,通過后再由服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì),從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。
防火墻的最大缺點(diǎn)是速度相對比較慢,當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的服務(wù),在自己的程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間,所以給系統(tǒng)性能帶來了一些負(fù)面影響,但通常不會(huì)很明顯。
3從防火墻結(jié)構(gòu)分
從防火墻結(jié)構(gòu)上分,防火墻主要有:單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。
這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多(如下圖),同樣包括CPU、內(nèi)存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡,因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲(chǔ)防火墻所用的基本程序,如包過濾程序和服務(wù)器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機(jī)一樣,因?yàn)樗墓ぷ餍再|(zhì),決定了它要具備非常高的穩(wěn)定性、實(shí)用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機(jī)差不多的配置,價(jià)格甚遠(yuǎn)。
隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高,原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體,而是由多個(gè)軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。
原來單一主機(jī)的防火墻由于價(jià)格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡(luò)投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時(shí)購買路由器和防火墻,大大降低了網(wǎng)絡(luò)設(shè)備購買成本。
分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界,而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī),對整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中,通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡,這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的,都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣,僅對外部網(wǎng)絡(luò)發(fā)出的通信請求“不信任”。
4按防火墻的應(yīng)用部署位置分
按防火墻的應(yīng)用部署位置分,可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統(tǒng)的,它們于內(nèi)、外部網(wǎng)絡(luò)的邊界,所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型,價(jià)格較貴,性能較好。
個(gè)人防火墻安裝于單臺(tái)主機(jī)中,防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶,通常為軟件防火墻,價(jià)格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個(gè)軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾,又對網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴。
5按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因?yàn)榉阑饓νǔN挥诰W(wǎng)絡(luò)邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應(yīng)用所產(chǎn)生的延時(shí)也越小,對整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
參考文獻(xiàn)
[1]孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實(shí)訓(xùn)篇[M].北京:人民郵電出版社,2003,(10).
防火墻技術(shù)范文第5篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻 網(wǎng)絡(luò)處理器
Abstract:Personal transparent firewall can protect personal computer from being attacked and avoid that personal data is stilled。 Because small volume and used easily, it will be adopted for net protection。
Key words:Network security Firewall Network processor
前言
隨著計(jì)算器的普及,尤其網(wǎng)絡(luò)的普及,人們習(xí)慣使用個(gè)人計(jì)算機(jī)、智能終端處理、保存日常工作、生活的信息或資料。最近我國首個(gè)個(gè)人信息保護(hù)專項(xiàng)的國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已完成,正在報(bào)批【1】。“個(gè)人信息保護(hù)”國家標(biāo)準(zhǔn)將有利于人們重視個(gè)人信息安全問題。絕大數(shù)用戶忽視信息安全,停留于計(jì)算機(jī)病毒、木馬程序的概念,對黑客的能力一無所知。由于個(gè)人計(jì)算機(jī)和智能終端具有網(wǎng)絡(luò)通信和更新程序的功能,黑客可以通過操作系統(tǒng)或應(yīng)用軟件的漏洞或后門對個(gè)人計(jì)算機(jī)或智能終端進(jìn)行攻擊并埋下黑客軟件,或者利用用戶的好奇或無知在網(wǎng)上傳播黑客軟件。常聽到的黑客軟件主要是獲取賬號密碼。但不被人知道的黑客軟件更為可怕,它可能專門攻擊某個(gè)人使其個(gè)人計(jì)算機(jī)或智能終端的數(shù)據(jù)完全暴露在他的眼下。
不管是否安裝殺毒防毒軟件,只要運(yùn)行網(wǎng)絡(luò)監(jiān)測程序就可以發(fā)現(xiàn)許多網(wǎng)絡(luò)連接或網(wǎng)絡(luò)通信。可以說由于黑客攻擊的多樣性,安裝在個(gè)人計(jì)算機(jī)上的殺毒軟件只能降低黑客的可能性,難以抵擋黑客的入侵,對有針對性的黑客的所作所為無動(dòng)于衷。
雖然大部分單位會(huì)在互聯(lián)網(wǎng)接入口安裝企業(yè)級防火墻,但由于它僅防止來自互聯(lián)網(wǎng)的已知攻擊或人們熟知的攻擊,對內(nèi)網(wǎng)基本上不具備防范能力。
因此,為阻止黑客的入侵或攻擊,防止黑客獲取數(shù)據(jù),最有效辦法是在個(gè)人計(jì)算機(jī)外增加個(gè)人硬件防火墻。本文將介紹個(gè)人硬件透明防火墻。
1、透明防火墻
網(wǎng)絡(luò)安全技術(shù)中最常用是防火墻技術(shù),通過網(wǎng)絡(luò)訪問控制策略抵御外部攻擊。通常人們把使用防火墻技術(shù)僅用于抵御外網(wǎng)入侵的計(jì)算器稱為硬件防火墻,應(yīng)用在個(gè)人計(jì)算器上的防火墻技術(shù)稱為軟件防火墻。目前防火墻已經(jīng)成為計(jì)算器操作系統(tǒng)的一個(gè)組成部分,軟件防火墻的概念已成為歷史。
透明防火墻是一種專用網(wǎng)絡(luò)安全設(shè)備,它具有防火墻的各種功能,它特別之處是不影響網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),在網(wǎng)絡(luò)外側(cè)不能發(fā)現(xiàn)它的存在,黑客不可能對它發(fā)動(dòng)攻擊。透明防火墻具有更高的智能程度,在黑客攻擊過程仍確保主機(jī)的運(yùn)行。透明防火墻是單主機(jī)專用很容易判斷主機(jī)通信是否合理,因而能避免信息泄漏或削弱隱藏在主機(jī)的黑客軟件的活動(dòng)能力。
2、硬件結(jié)構(gòu)
個(gè)人透明防火墻是專門為個(gè)人計(jì)算機(jī)設(shè)計(jì)的透明防火墻,要求使用方便、便于攜帶。因此,個(gè)人透明防火墻硬件結(jié)構(gòu)緊湊,外表看有兩個(gè)網(wǎng)絡(luò)口,好像一個(gè)網(wǎng)絡(luò)聯(lián)機(jī)器,用戶只要把個(gè)人透明防火墻串在網(wǎng)在線,即一個(gè)網(wǎng)絡(luò)接口與計(jì)算機(jī)的網(wǎng)口連接,另一個(gè)與網(wǎng)絡(luò)連接,再通過usb接口向個(gè)人透明防火墻提供電源,個(gè)人透明防火墻就開始工作。
個(gè)人透明防火墻內(nèi)部由繼承網(wǎng)口的網(wǎng)絡(luò)處理器以及支持網(wǎng)絡(luò)處理器工作的DDR RAM和NAND FLASH組成。嚴(yán)格意義上個(gè)人透明防火墻是一個(gè)高度智能化的網(wǎng)橋。
3、透明防火墻算法
防火墻技術(shù)必須在操作系統(tǒng)的核心態(tài)實(shí)現(xiàn)。利用開源操作系統(tǒng)實(shí)現(xiàn)硬件防火墻具有較高的安全性,Linux是真正的開源操作系統(tǒng),因此大部分硬件防火墻選用Linux操作系統(tǒng)。操作系統(tǒng)實(shí)現(xiàn)防火墻技術(shù)是在網(wǎng)絡(luò)處理過程設(shè)立監(jiān)控點(diǎn),通過訪問策略決定信息包的去留。在Linux內(nèi)核中為實(shí)現(xiàn)防火墻功能增加網(wǎng)絡(luò)過濾的鉤子函數(shù)NF_HOOK。即,在網(wǎng)絡(luò)信息處理過程中可利用內(nèi)核其他功能或其他內(nèi)核模塊的其他功能提高網(wǎng)絡(luò)的安全性。Linux內(nèi)核為arp、bridge、decnet、ipv4、ipv6等網(wǎng)絡(luò)通信定義了標(biāo)識,對應(yīng)為NFPROTO_ARP、NFPROTO_BRIDGE、NFPROTO_DECNET、NFPROTO_IPV4、NFPROTO_IPV6。根據(jù)處理位置定義了5個(gè)標(biāo)識PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT、POST_ROUTING。在Linux的netfilter中已經(jīng)實(shí)現(xiàn)包過濾的防火墻算法,并結(jié)合iptables實(shí)現(xiàn)防火墻功能。大部分硬件防火墻就是利用Linux的netfilter和iptables實(shí)現(xiàn)的。
但要求非計(jì)算器專業(yè)人士直接使用iptables進(jìn)行設(shè)置是難度極高的,而且iptables采用鏈表方式,在鏈表較長的情況下運(yùn)行效率比較低,所以直接使用iptables作為透明防火墻效果一般;雖然linux已為ipv6設(shè)置NF_HOOK,但iptables并不真正支持ipv6,所以,僅靠iptables或iptables-ipv6還不能有效實(shí)現(xiàn)網(wǎng)絡(luò)安全。
從Linux的NF_HOOK分類可以看到只有bridge屬于結(jié)構(gòu)分類,其他為協(xié)議分類,因此在個(gè)人透明防火墻主要針對bridge進(jìn)行數(shù)據(jù)監(jiān)測最有成效。所有通過網(wǎng)橋的信息,不管使用什么協(xié)議,均可以在bridge的監(jiān)測點(diǎn)監(jiān)測。
4、用戶接口
為防止黑客通過http端口破壞透明防火墻的運(yùn)作,方便用戶設(shè)置和及時(shí)知道黑客可能的攻擊情況,透明防火墻采用獨(dú)立的控制軟件,把透明防火墻的監(jiān)測數(shù)據(jù)轉(zhuǎn)入個(gè)人計(jì)算機(jī)進(jìn)行處理,通過動(dòng)態(tài)追蹤方式實(shí)現(xiàn)通信審計(jì)工作。
結(jié)語
通過接入透明防火墻,有效隔離各種廣告信息,斷開計(jì)算機(jī)在啟動(dòng)過程形成的各個(gè)連接。通過接入透明防火墻的前后比對,發(fā)現(xiàn)接上透明防火墻后內(nèi)存剩余空間明顯增加。
