前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防火墻在網(wǎng)絡(luò)中的作用主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞 防火墻;網(wǎng)絡(luò)安全;技術(shù)研究
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2014)02-0116-01
信息時(shí)代的到來(lái),促使網(wǎng)絡(luò)已經(jīng)涉足到我國(guó)的各個(gè)領(lǐng)域,不論是運(yùn)行工作,還是機(jī)密防護(hù),都涉及到網(wǎng)絡(luò),網(wǎng)絡(luò)安全逐漸成為重點(diǎn)關(guān)注的內(nèi)容。為保障網(wǎng)絡(luò)安全,可利用防火墻的檢測(cè)、警示、防護(hù)作用,維持網(wǎng)絡(luò)環(huán)境的安全狀態(tài),避免惡意攻擊和病毒植入,近幾年,有關(guān)防火墻的新型技術(shù)不斷出現(xiàn),例如:加密、認(rèn)證等,嚴(yán)謹(jǐn)控制網(wǎng)絡(luò)環(huán)境,提高防火墻的把關(guān)工作。
1 防火墻簡(jiǎn)介
防火墻是針對(duì)網(wǎng)絡(luò)環(huán)境而言,網(wǎng)絡(luò)信息在交互的過(guò)程中,通過(guò)防火墻,實(shí)現(xiàn)由內(nèi)而外、自外而內(nèi)的保護(hù),例如:外部信息進(jìn)入內(nèi)部網(wǎng)絡(luò)環(huán)境時(shí),防火墻可以利用內(nèi)部的組件,對(duì)流通信息實(shí)行高質(zhì)量檢測(cè),符合內(nèi)部網(wǎng)絡(luò)要求時(shí),防火墻才可“放行”信息,如發(fā)現(xiàn)危險(xiǎn)信息,防火墻會(huì)主動(dòng)隔斷其與內(nèi)部的聯(lián)系,然后生成安全日志,防止同名惡意信息的再次攻擊,因此,防火墻本身具備高質(zhì)量的運(yùn)行系統(tǒng)。防火墻具備防御的性質(zhì),發(fā)揮限制信息的作用,而且防火墻干預(yù)的范圍非常廣,基本可以保護(hù)所控制的網(wǎng)絡(luò)整體,既要確保系統(tǒng)不被外界惡意信息攻擊,又要保障內(nèi)部信息的安全儲(chǔ)存,防止信息泄露,同時(shí)防火墻還可以起到隔離的作用,一方面有效分析運(yùn)行、傳遞的信息,另一方面限制信息往來(lái),體現(xiàn)防火墻獨(dú)立的信息處理能力。
2 防火墻在網(wǎng)絡(luò)安全中的要點(diǎn)
網(wǎng)絡(luò)安全技術(shù)中,防火墻具備不可缺少的一部分,同時(shí)期在對(duì)網(wǎng)絡(luò)信息進(jìn)行安全保護(hù)時(shí),表現(xiàn)出諸多要點(diǎn),必須做好防火墻要點(diǎn)分析的工作,才可發(fā)揮防火墻的保護(hù)作用。
2.1 防火墻的維護(hù)
防火墻是根據(jù)外界攻擊的類型、特性實(shí)行升級(jí)更新,在安裝后,需實(shí)行同步維護(hù),開(kāi)發(fā)者研發(fā)防火墻后,并不是可以一直維護(hù)網(wǎng)絡(luò)環(huán)境,需對(duì)其進(jìn)行有針對(duì)的更新,根據(jù)防火墻在使用中表現(xiàn)出的缺陷,進(jìn)行實(shí)質(zhì)修復(fù),所以使用者必須注重后期維護(hù),時(shí)刻跟蹤防火墻的狀態(tài),保障防火墻時(shí)刻處于最新型的保護(hù)狀態(tài)。
2.2 防火墻的配置
防火墻的配置,即是實(shí)現(xiàn)信息保護(hù)的策略,通過(guò)合理的配置,可以提高防火墻的防護(hù)能力,因此必須保障配置原則,首先需要分析網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)級(jí)別,采取合理的防護(hù)配置,避免高風(fēng)險(xiǎn)對(duì)應(yīng)低級(jí)配,然后分析網(wǎng)絡(luò)運(yùn)行要素,針對(duì)網(wǎng)絡(luò)需求,選擇合理的配置,再次明確策略,主要是根據(jù)網(wǎng)絡(luò)的危險(xiǎn)性,制定防火墻策略,實(shí)現(xiàn)最優(yōu)處理,最后搭配適宜,重點(diǎn)是實(shí)現(xiàn)網(wǎng)絡(luò)是防護(hù)的高度吻合性。
2.3 防火墻的失效處理
防火墻雖然可以起到防護(hù)作用,但是在一定程度上,有可能被惡意攻破,導(dǎo)致其處于失效狀態(tài),防火墻一旦失效,即表示其暫時(shí)失去防護(hù)能力,主要觀察防火墻的失效狀態(tài),看是否能夠自行恢復(fù)防御效果,一般防火墻會(huì)自動(dòng)重啟,逐步恢復(fù)失效前的能力,此時(shí)使用者可關(guān)閉防火墻內(nèi)的所有通道,禁止數(shù)據(jù)流通,對(duì)防火墻實(shí)行評(píng)估、檢測(cè),達(dá)到正常后,在投入使用。
2.4 防火墻的規(guī)則使用
防火墻在使用規(guī)則方面,遵循“四部曲”的工作流程,即策略、體系、規(guī)則和規(guī)則集。按照四項(xiàng)使用流程,在保障信息安全的基礎(chǔ)上,增加流通性,維護(hù)信息的真實(shí)性,體現(xiàn)防火墻的保護(hù)功能,其中最重要的是規(guī)則集,其可確保防火墻的狀態(tài),促使防火墻時(shí)刻處于信息檢查的狀態(tài),將出、入的信息如實(shí)記錄。
3 防火墻在網(wǎng)絡(luò)安全中的分類和功能
網(wǎng)絡(luò)是時(shí)刻處于不同類型的變動(dòng)狀態(tài)中,防火墻必須摸清網(wǎng)絡(luò)的變化特性,才可發(fā)揮防御功能,目前針對(duì)網(wǎng)絡(luò)的不同使用特性,防火墻出現(xiàn)不同性質(zhì)的分類,對(duì)防火墻的分類和功能做以下分析。
3.1 防火墻的分類
按照性質(zhì)可將防火墻分為三類:監(jiān)測(cè)型、型和過(guò)濾型,分析如下。
1)監(jiān)測(cè)型。監(jiān)測(cè)型屬于目前安全性能比較高的一類,支持后臺(tái)維護(hù),即自動(dòng)對(duì)正在運(yùn)行的網(wǎng)絡(luò),實(shí)行抽檢、防護(hù),而且不會(huì)造成任何網(wǎng)絡(luò)負(fù)擔(dān),有效監(jiān)測(cè)網(wǎng)絡(luò)是否存在外來(lái)攻擊,同時(shí)防止網(wǎng)絡(luò)內(nèi)部的自行攻擊,結(jié)合網(wǎng)絡(luò)層次和機(jī)制,監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行。
2)型。型雖然效率高,但是安全性能存在不足之處,其可在內(nèi)外交接的過(guò)程中,有效掩藏內(nèi)網(wǎng),切斷內(nèi)外連接,避免內(nèi)網(wǎng)遭遇攻擊,型主要是防止木馬、病毒以及其他惡意植入,此類防火墻使用時(shí),必須搭配合理的服務(wù)器,以此提高防御的效率。
3)過(guò)濾型。過(guò)濾型應(yīng)用在數(shù)據(jù)流通較大的網(wǎng)絡(luò)內(nèi),其主要的作用對(duì)象也是數(shù)據(jù)流,因?yàn)槠湓诰S護(hù)上沒(méi)有較高的要求,所以其為防護(hù)基礎(chǔ),基本網(wǎng)絡(luò)環(huán)境中,都安裝此類防火墻。
3.2 防火墻的功能
1)控制內(nèi)部數(shù)據(jù)。通過(guò)防火墻,加強(qiáng)網(wǎng)絡(luò)訪問(wèn)的安全度,例如:防火墻對(duì)網(wǎng)絡(luò)訪問(wèn)者實(shí)行身份驗(yàn)證,保障訪問(wèn)安全,保障內(nèi)部訪問(wèn)者的安全登錄,確保內(nèi)部信息、數(shù)據(jù)的安全,避免內(nèi)部出現(xiàn)行為攻擊。
2)提高網(wǎng)絡(luò)安全度。防火墻與網(wǎng)絡(luò)其他防護(hù)軟件形成組合,提高安全程度,高端防火墻還實(shí)現(xiàn)專有信息,即加密內(nèi)部信息,對(duì)信息進(jìn)行集中處理,在信息流通的過(guò)程中,必須經(jīng)過(guò)防火墻的加密保護(hù)和檢測(cè)。
3)監(jiān)控網(wǎng)絡(luò)運(yùn)行。防火墻可以有效監(jiān)控網(wǎng)絡(luò)運(yùn)行,警示發(fā)生在網(wǎng)絡(luò)區(qū)域內(nèi)的行為,一旦發(fā)現(xiàn)網(wǎng)絡(luò)危險(xiǎn),立刻提示,記錄并處理危險(xiǎn)動(dòng)作,分析是否存在攻擊信息。
4)屏蔽外界干擾。防火墻可以針對(duì)網(wǎng)絡(luò)形成整體的保護(hù)層,避免外界危險(xiǎn)信息的入侵,防火墻中包含協(xié)議解析功能,針對(duì)外界進(jìn)入的信息,分析路徑、IP,進(jìn)而搜索到信息來(lái)源,部分外界攻擊容易利用IP,因?yàn)镮P協(xié)議處于暴露狀態(tài),所以防火墻重點(diǎn)屏蔽網(wǎng)絡(luò)IP處的信息干擾,同時(shí)防火墻可以屏蔽網(wǎng)絡(luò)的多項(xiàng)暴露處,避免為外界攻擊構(gòu)成信息通道。
4 結(jié)束語(yǔ)
防火墻本身是建立在運(yùn)行系統(tǒng)基礎(chǔ)上的軟件,針對(duì)網(wǎng)絡(luò)構(gòu)建安全的運(yùn)行環(huán)境,目前,防火墻在網(wǎng)絡(luò)安全中占據(jù)重要地位,因此,社會(huì)投入大量的科研力量,重點(diǎn)研究防火墻中的網(wǎng)絡(luò)技術(shù),促使其既可以形成保護(hù)系統(tǒng),又可以提高網(wǎng)絡(luò)的安全效果,營(yíng)造可靠、安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境,積極推進(jìn)網(wǎng)絡(luò)在企業(yè)中的利用度,同時(shí)保障企業(yè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行。
參考文獻(xiàn)
[1]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊,2012(09):90-92.
[2]劉彥保.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用[J].延安教育學(xué)院學(xué)報(bào),2012(02):56-58.
關(guān)鍵詞:防火墻;網(wǎng)絡(luò)安全;發(fā)展趨勢(shì)
一、防火墻技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中的重要性
防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中,不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域,而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信,與建筑中的防火墻功能相似。它在網(wǎng)絡(luò)安全應(yīng)用中的重要性主要包括以下幾個(gè)方面:
1.網(wǎng)絡(luò)安全的屏障
防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。
2.強(qiáng)化網(wǎng)絡(luò)安全策略
通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。
3.監(jiān)控網(wǎng)絡(luò)存取和訪問(wèn)
如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊,并且清楚防火墻的控制是否充足。
4.防止內(nèi)部信息的外泄
通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。
二、防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用現(xiàn)狀
隨著防火墻技術(shù)的不斷更新,新型的防火墻技術(shù)安全性能更高,它綜合了過(guò)濾和技術(shù),克服二者在安全方面的缺陷,不僅覆蓋了傳統(tǒng)包過(guò)濾防火墻的全部功能,而且在全面對(duì)抗IP欺騙、ARP、ICMP、SYNFlood等共計(jì)手段方面有明顯的優(yōu)勢(shì)和效果,增強(qiáng)了服務(wù),并使其與包過(guò)濾相融合,加上智能過(guò)濾技術(shù),使得防火墻的安全性能有了長(zhǎng)足提高。目前新型防火墻技術(shù)主要包括以下幾種:
1.分布式防火墻技術(shù),指那些駐留在網(wǎng)絡(luò)中主機(jī)如服務(wù)器或桌面機(jī)并對(duì)主機(jī)系統(tǒng)自身提供安全保護(hù)的軟件產(chǎn)品,廣義上講,分布式防火墻是一種新的防火墻體系結(jié)構(gòu),包括用于內(nèi)外部網(wǎng)之間和內(nèi)網(wǎng)之間防護(hù)的網(wǎng)絡(luò)防火墻、對(duì)網(wǎng)絡(luò)中服務(wù)器和桌面機(jī)保護(hù)的主機(jī)防火墻、用于保護(hù)網(wǎng)絡(luò)中單一設(shè)備的中心邊界防火墻等。
2.嵌入式防火墻技術(shù),指內(nèi)嵌于路由器或交換機(jī)的防火墻,通常也被稱為阻塞點(diǎn)防火墻,這種防火墻能彌補(bǔ)并改善各類安全能力不足的企業(yè)邊緣防火墻、基于主機(jī)的應(yīng)用程序、網(wǎng)絡(luò)程序、入侵檢測(cè)告警程序和防病毒程序等,確保企業(yè)內(nèi)部和外部的網(wǎng)絡(luò)安全。
3.職能防火墻技術(shù),通過(guò)利用統(tǒng)計(jì)、記憶、概率和決策的職能方法對(duì)數(shù)據(jù)進(jìn)行識(shí)別,并達(dá)到訪問(wèn)控制的目的,由于這些方法多時(shí)人工職能學(xué)科采用的方法,也統(tǒng)稱為職能防火墻,通常這種防火墻的關(guān)鍵技術(shù)包括防攻擊技術(shù)、防掃描技術(shù)、防欺騙技術(shù)、入侵防御技術(shù)、包擦洗和協(xié)議正?;夹g(shù)、AAA技術(shù)等。
雖然防火墻技術(shù)越來(lái)越成熟,功能也越來(lái)越強(qiáng)大,但依然存在一些不足,主要表現(xiàn)在以下幾個(gè)方面:
1.不能防御不經(jīng)過(guò)防火墻的攻擊,顯而易見(jiàn),若果防火墻布置在企業(yè)網(wǎng)絡(luò)的邊界 ,對(duì)進(jìn)出企業(yè)的信息進(jìn)行過(guò)濾,而企業(yè)內(nèi)部的電腦通過(guò)撥號(hào)網(wǎng)絡(luò)直接與外網(wǎng)連接的話,防火墻就不起作用。
2.不能防御計(jì)算機(jī)病毒的攻擊,計(jì)算機(jī)病毒攻擊的方式層出不窮,大多數(shù)防火墻都是根據(jù)系統(tǒng)存在的漏洞進(jìn)行攻擊,對(duì)于這種攻擊防火墻常常無(wú)能為力。
3.防火墻自身存在安全漏洞,無(wú)論是硬件還是軟件防火墻,都會(huì)或多或少的存在設(shè)計(jì)漏洞,一些不法分子可能會(huì)利用這些設(shè)計(jì)上的漏洞繞過(guò)防火墻對(duì)系統(tǒng)進(jìn)行攻擊。
4.對(duì)防御數(shù)據(jù)驅(qū)動(dòng)式的攻擊無(wú)能為力,作為一種常見(jiàn)的攻擊方式,但其每次通過(guò)防火墻時(shí)的數(shù)據(jù)卻都是符合規(guī)則的,但這些數(shù)據(jù)組合以后就會(huì)對(duì)系統(tǒng)進(jìn)行破壞。
5.以損失有用服務(wù)為代價(jià),為了信息安全,我們通常會(huì)關(guān)閉一些不必要的服務(wù),但這些服務(wù)中也有許多有價(jià)值的服務(wù)信息,雖然可以一定程度上提高計(jì)算機(jī)應(yīng)用的安全性,但也必須以放棄一部分使用價(jià)值為代價(jià)。
三、防火墻技術(shù)的未來(lái)發(fā)展趨勢(shì)
針對(duì)目前防火墻不能解決的問(wèn)題以及越來(lái)越多的網(wǎng)絡(luò)攻擊方式的出現(xiàn),對(duì)防火墻技術(shù)也必將有更高的要求,未來(lái)將向高速度、多功能和安全性更高的方向發(fā)展,其未來(lái)發(fā)展趨勢(shì)可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來(lái)實(shí)現(xiàn)。
1.在防火墻包過(guò)濾技術(shù)發(fā)展方面,首先安全策略功能會(huì)更加強(qiáng)大,新的防火墻技術(shù)會(huì)把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能,使得用戶在身份驗(yàn)證方面的安全功能增強(qiáng)。其次,加強(qiáng)防火墻的多級(jí)過(guò)濾技術(shù),通過(guò)多級(jí)的過(guò)濾技術(shù)并配合其它方面的鑒別手段,可以從不同層面過(guò)濾掉所有的源路由分組、假冒IP源地址、禁止出或入的協(xié)議、有害數(shù)據(jù)包、控制和監(jiān)測(cè)互聯(lián)網(wǎng)提供的所有通用服務(wù)等,在一定程度上彌補(bǔ)單獨(dú)過(guò)濾技術(shù)的不足。同時(shí),新的防火墻技術(shù)或會(huì)增加更多的擴(kuò)展功能,甚至包括防病毒和入侵監(jiān)測(cè)等主流功能。
2.在防火墻體系結(jié)構(gòu)發(fā)展方面,隨著互聯(lián)網(wǎng)用戶的增加,以及用戶對(duì)網(wǎng)絡(luò)的更高要求,防火墻技術(shù)也必須以更加快速的數(shù)據(jù)處理來(lái)滿足顯示要求。目前出現(xiàn)的基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻都在不同程度上順應(yīng)著這種潮流,這兩種防火墻技術(shù)性能雖然得到了大幅度的提高,但是,它們依然有其不足之處,如基于ASIC的防火墻是使用專門餓硬件處理網(wǎng)絡(luò)數(shù)據(jù)流,但純硬件的ASIC防火墻缺乏可編程性,使得其靈活性大打折扣。而基于網(wǎng)絡(luò)處理器的防火墻雖然屬于基于軟件的解決方案,而且靈活性更強(qiáng),但其作用的發(fā)揮很大程度上取決于軟件性能的好壞。因此比較理想化的解決方案是增加ASIC芯片的可編程性,使其能夠更好的和軟件想配合,這樣才能同時(shí)滿足運(yùn)行性能和靈活性能的要求。
3.在防火墻的系統(tǒng)管理發(fā)展方面,分布式和分層的安全結(jié)構(gòu)的集中管理方式是未來(lái)的發(fā)展趨勢(shì),這種集中的管理方式不僅能降低管理成本,而且能在網(wǎng)絡(luò)安全中保證策略的一致性,使得防火墻能夠起到快速響應(yīng)和快速防御的效果。其次,未來(lái)防火墻的系統(tǒng)管理方面將擁有更加強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能,通過(guò)這些方面的加強(qiáng),能夠更早的發(fā)現(xiàn)潛在的威脅并采取有效地預(yù)防措施,在日常中,通過(guò)其日志分析功能,能夠及早的幫助計(jì)算機(jī)管理員發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞,對(duì)做到早預(yù)防和調(diào)整安全管理策略是必不可少的。最后,網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化也是未來(lái)的發(fā)展的趨勢(shì),因?yàn)槟壳暗姆阑饓夹g(shù)難以滿足當(dāng)前的網(wǎng)絡(luò)安全要求,通過(guò)建立以防火墻為核心的安全體系,就可以為內(nèi)部網(wǎng)絡(luò)提供更多的安全保障,使各安全技術(shù)各司其職,從各個(gè)方面防御外來(lái)入侵。
參考文獻(xiàn)
[1]馬東輝.入侵檢測(cè)系統(tǒng)與防火墻在教育網(wǎng)絡(luò)中的互動(dòng)應(yīng)用研究[D].中國(guó)石油大學(xué).2011年
[2]劉波.防火墻穿透技術(shù)的研究與實(shí)現(xiàn)[D].沈陽(yáng)工業(yè)大學(xué).2009年
[3]黃晗輝.防火墻規(guī)則的異常檢測(cè)及優(yōu)化研究[D].重慶大學(xué).2010年
[4]陳文惠.防火墻系統(tǒng)策略配置研究[D].中國(guó)科學(xué)技術(shù)大學(xué).2007年
關(guān)鍵詞:網(wǎng)絡(luò);防火墻
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 03-0000-01
Network Firewall Technology Development
Chen Xi
(Baoding Branch of China Tietong,Baoding71000,China)
Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.
Keywords:Network;Firewall
網(wǎng)址對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)防火墻是主要的一個(gè)防御機(jī)制,在整個(gè)網(wǎng)絡(luò)系統(tǒng)中起到至關(guān)重要的作用。防火墻的技術(shù)、自身的功能、保護(hù)能力、網(wǎng)絡(luò)結(jié)構(gòu)、安全策略等因素,是網(wǎng)絡(luò)安全性的決定性因素,而在網(wǎng)絡(luò)迅猛發(fā)展的今天,對(duì)網(wǎng)絡(luò)安全和防護(hù)的要求就越來(lái)越迫切,網(wǎng)絡(luò)防火墻被用作為加強(qiáng)控制網(wǎng)絡(luò)之間的互訪,嚴(yán)防外部網(wǎng)絡(luò)用戶惡意通過(guò)外網(wǎng)入侵內(nèi)部網(wǎng)絡(luò),并對(duì)網(wǎng)絡(luò)之間的數(shù)據(jù)包的傳輸進(jìn)行實(shí)時(shí)監(jiān)控,判斷網(wǎng)絡(luò)之間通信的合法性,以及網(wǎng)絡(luò)運(yùn)行的狀態(tài)。
一、防火墻的類型
網(wǎng)絡(luò)在人們的平常生活中越來(lái)越普及化,網(wǎng)絡(luò)的安全就越來(lái)越受到了人們的重視,防火墻成為網(wǎng)絡(luò)安全的一個(gè)重要保障。防火墻的種類多樣化,根據(jù)應(yīng)用技術(shù)的不同,可分為一下幾類:
(一)防火墻的初級(jí)產(chǎn)品:包過(guò)濾型防火墻它的核心為傳輸技術(shù),通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)辨別數(shù)據(jù)包的合法性,辨別其來(lái)自的網(wǎng)站是否安全,如果是危險(xiǎn)的數(shù)據(jù)包,防火墻最自動(dòng)將其抑制,包過(guò)濾技術(shù)具有簡(jiǎn)單實(shí)用的優(yōu)點(diǎn),而且成本低,經(jīng)常是以較小的代價(jià)實(shí)現(xiàn)對(duì)系統(tǒng)的保障,但是其常常無(wú)法識(shí)別應(yīng)用層的惡意攻擊。
(二)網(wǎng)絡(luò)地址轉(zhuǎn)化(network address translation)NATNAT的主要技術(shù)是將IP地址轉(zhuǎn)化為臨時(shí)的、注冊(cè)的外部IP地址,同時(shí)允許私有IP地址用戶訪問(wèn)因特網(wǎng),系統(tǒng)將源端口和源地址映射為一個(gè)偽裝的地址和端口,用偽裝的地址與端口與外網(wǎng)建立連接,從而以達(dá)到隱藏真實(shí)的IP地址。
(三)型防火墻型防火墻亦可稱作為服務(wù)器,它是一種安全性相對(duì)較高的產(chǎn)品,其位于服務(wù)器與用戶級(jí)之間,對(duì)于兩者之間的數(shù)據(jù)交流可以起到很好的監(jiān)控和阻攔危險(xiǎn)數(shù)據(jù)的作用,避免了外部的一些惡意攻擊,為網(wǎng)絡(luò)與用戶之間建立了一條有效安全的綠色通道,其優(yōu)點(diǎn)是安全性較高,對(duì)應(yīng)用層可以做到有效的掃描和偵測(cè),對(duì)于抑制應(yīng)用層的病毒侵入和感染十分有效,劣勢(shì)就是管理起來(lái)相對(duì)復(fù)雜。
(四)監(jiān)測(cè)型防火墻監(jiān)測(cè)型防火墻是一種新的產(chǎn)品,它對(duì)網(wǎng)絡(luò)各層的數(shù)據(jù)予以主動(dòng)的、實(shí)時(shí)的監(jiān)控,對(duì)于各層中的惡意入侵和非法操作的監(jiān)控、判斷更為行之有效,而且防范能力也得到了大幅度的提升,其優(yōu)點(diǎn)它的防御能力已完全超越了前幾種類型防火墻,但劣勢(shì)也比較明顯,成本高,管理困難。
二、在網(wǎng)絡(luò)安全的五個(gè)體系中防火墻處于五層中的最低層,負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸與認(rèn)證
由于網(wǎng)絡(luò)的全球化和重要性,網(wǎng)絡(luò)安全的重要性也隨之深入人心。從發(fā)展的角度看,防火墻技術(shù)正在向其它各層的網(wǎng)絡(luò)安全延伸。由于網(wǎng)絡(luò)病毒的不斷升級(jí),隨之其防火墻的技術(shù)與職能也在迅速的拓展。
(一)向著多級(jí)過(guò)濾技術(shù)發(fā)展網(wǎng)絡(luò)會(huì)向著多級(jí)過(guò)濾技術(shù)發(fā)展,多級(jí)過(guò)濾技術(shù)的定義是:采用多級(jí)過(guò)濾措施,在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí),對(duì)所有的源路由分組和假冒的IP源地址進(jìn)行過(guò)濾;應(yīng)遵循過(guò)濾規(guī)則,過(guò)濾掉所有(傳輸層)一級(jí),違反規(guī)則的的協(xié)議和有害數(shù)據(jù)包;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí),能利用不同的網(wǎng)關(guān),操控和監(jiān)測(cè)到Internet提供的所有服務(wù)。我們可以通過(guò)這個(gè)技術(shù)的理解上開(kāi)發(fā)出更多的擴(kuò)展技術(shù)。
(二)動(dòng)態(tài)封包過(guò)濾技術(shù)動(dòng)態(tài)封包過(guò)濾技術(shù)與傳統(tǒng)的數(shù)據(jù)包過(guò)濾技術(shù)相比較:傳統(tǒng)的數(shù)據(jù)包技術(shù)職能檢測(cè)到單個(gè)的數(shù)據(jù)包的包頭和單一的判斷信息是否轉(zhuǎn)發(fā)或丟棄,動(dòng)態(tài)數(shù)據(jù)包過(guò)濾技術(shù)則是著重于連續(xù)封閉包包間的關(guān)聯(lián)性以及其出入的檢測(cè);過(guò)濾;加密解密或者傳輸,并作進(jìn)一步的用戶身份認(rèn)證,他能夠深入檢查出數(shù)據(jù)包,查出內(nèi)部存在的惡意行為,識(shí)別惡意數(shù)據(jù)流量,阻斷惡意攻擊的出現(xiàn),并且具備識(shí)別黑客的非法掃描,有效阻斷非法的欺騙信息。
三、網(wǎng)絡(luò)防火墻產(chǎn)品發(fā)展趨勢(shì)
網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展,硬件設(shè)施的不斷更新,隨之帶來(lái)防火墻產(chǎn)品的不斷換代以及產(chǎn)品技術(shù)的迅速進(jìn)展,數(shù)據(jù)的安全、身份的認(rèn)證以及病毒阻控和入侵檢測(cè)等成為了防火墻的發(fā)展方向,其發(fā)展趨勢(shì)主要有:
(一)模式轉(zhuǎn)變。傳統(tǒng)的防火墻主要是用來(lái)把數(shù)據(jù)流,形成分隔開(kāi)來(lái),從而劃分出安全的管理區(qū)。普遍位于網(wǎng)絡(luò)的邊緣。而傳統(tǒng)的防火墻設(shè)計(jì)缺乏對(duì)內(nèi)網(wǎng)惡意攻擊者的防范,而新的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點(diǎn)為保護(hù)對(duì)象,最大限度的保護(hù)對(duì)象,提高網(wǎng)絡(luò)安全級(jí)別,增強(qiáng)保護(hù)作用。
(二)技術(shù)整合。通過(guò)對(duì)防火墻技術(shù)的了解??梢愿忧宄恼J(rèn)識(shí)各類技術(shù)的優(yōu)缺點(diǎn)。這對(duì)于今后防火墻的技術(shù)整起到了促進(jìn)的作用。
(三)性能提高。隨著網(wǎng)絡(luò)的飛速發(fā)展,千兆網(wǎng)絡(luò)也逐漸在普及,在未來(lái)防火墻產(chǎn)品的發(fā)展上將會(huì)有更強(qiáng)處理功能的防火墻問(wèn)市。在硬件上,千兆防火墻的主要選擇將會(huì)為網(wǎng)絡(luò)處理器(Network Processor)和專用集成電路(ASIC)技術(shù)??梢酝ㄟ^(guò)優(yōu)化存儲(chǔ)器等資源,使防火墻達(dá)到線速千兆。在軟件上為了能夠達(dá)到防火墻在性能上的要求,未來(lái)將會(huì)融入更多的先進(jìn)技術(shù)理念并應(yīng)用到實(shí)踐中去,從而做到與性能相匹配。
四、結(jié)束語(yǔ)
在網(wǎng)絡(luò)已成為人們普遍使用工具的當(dāng)下,網(wǎng)絡(luò)安全性已成為人們探討的焦點(diǎn)。而作為保護(hù)網(wǎng)絡(luò)安全性手段之一的防火墻技術(shù)已成為人們普遍使用的手段。不僅針對(duì)于個(gè)人,也保護(hù)著企業(yè)內(nèi)部的網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)的安全性不斷的受到侵害,安全性也在不斷的更新。未來(lái)多級(jí)過(guò)濾技術(shù)、動(dòng)態(tài)封包過(guò)濾技術(shù)將會(huì)運(yùn)用到實(shí)戰(zhàn)中來(lái)。防火墻技術(shù)也將更加多元化,更加方便、快捷、安全。能夠使防火墻技術(shù)的不斷完善這不僅關(guān)系到某個(gè)領(lǐng)域,更會(huì)涉及到信息安全的未來(lái)。
參考文獻(xiàn):
[1]馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2001:104
【關(guān)鍵詞】網(wǎng)絡(luò)安全;校園網(wǎng);防火墻技術(shù)
一、防火墻技術(shù)在校園網(wǎng)建設(shè)中的重要性
現(xiàn)代社會(huì)是電子信息的社會(huì),網(wǎng)絡(luò)已經(jīng)成為遍及社會(huì)和家庭的必要工具。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步,相應(yīng)的網(wǎng)絡(luò)安全問(wèn)題也逐步成為人們的關(guān)注焦點(diǎn)。
一些懷有惡意的網(wǎng)絡(luò)攻擊,對(duì)網(wǎng)絡(luò)客戶端的使用者進(jìn)行信息盜取,修改網(wǎng)絡(luò)數(shù)據(jù),通過(guò)遠(yuǎn)程控制電腦非法占用電腦使用者資料信息。網(wǎng)絡(luò)作為一個(gè)公開(kāi)的信息交換工具就具有潛在的危險(xiǎn)性。網(wǎng)絡(luò)安全是一個(gè)特殊的領(lǐng)域,收到全球的高度重視。因此網(wǎng)絡(luò)安全技術(shù)十分重要。
高校雖然和具有商業(yè)機(jī)密的企業(yè)網(wǎng)有著一定的差距,但是校園網(wǎng)依舊有自己的安全保護(hù)需要和保護(hù)內(nèi)容。首先安全安靜的網(wǎng)絡(luò)環(huán)境是學(xué)校保護(hù)學(xué)生身心健康的重要手段?,F(xiàn)在我國(guó)的大部分高校依舊采用的是大面積的覆蓋,很多棟建筑還有教學(xué)課堂都在逐步走向網(wǎng)絡(luò)化的進(jìn)程中。越來(lái)越多的學(xué)生都在運(yùn)用網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)和娛樂(lè),并且使用網(wǎng)絡(luò)的時(shí)間在不斷加長(zhǎng),這些都是的網(wǎng)絡(luò)的安全管理工作越來(lái)越重要,也越來(lái)越有管理難度。
在平時(shí)的教學(xué)當(dāng)中,關(guān)于教學(xué)的網(wǎng)絡(luò)資源的調(diào)配工作越來(lái)越成為學(xué)校關(guān)注的問(wèn)題,網(wǎng)絡(luò)寬帶的使用和分配,如何滿足現(xiàn)代教育多媒體教學(xué)技術(shù)應(yīng)用的需求。多媒體教學(xué)中包括遠(yuǎn)程技術(shù)的使用,校園網(wǎng)的用戶認(rèn)證,防止惡意的網(wǎng)絡(luò)攻擊和校園網(wǎng)上不良信息的傳播等。很多校園網(wǎng)絡(luò)沒(méi)有設(shè)置相應(yīng)的安全防護(hù)系統(tǒng),學(xué)生們?cè)谡n堂上能夠任意鏈接IE瀏覽各種信息,其中包括一些網(wǎng)上的不良信息。這些不僅影響教師的教學(xué)進(jìn)度,而且影響學(xué)生的身心健康和正常發(fā)展。
網(wǎng)絡(luò)安全是當(dāng)前所有網(wǎng)絡(luò)用戶最為關(guān)注的問(wèn)題,目前的防火墻技術(shù)已經(jīng)成為保護(hù)校園網(wǎng)絡(luò)安全,正確解決校園安全隱患的有效工具。防火墻并不是單單包括防火墻軟件的應(yīng)用,還包括防火墻硬件的配置。這樣的防火墻技術(shù)能夠確保電腦更加安全,但是費(fèi)用也相對(duì)來(lái)說(shuō)比較高。防火墻技術(shù)必須隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展而進(jìn)步變化,只有如此才能真正確保電腦校園網(wǎng)絡(luò)的安全和穩(wěn)定。
二、防火墻技術(shù)在高校校園網(wǎng)中的選用原則
(一)防火墻技術(shù)概念
防火墻技術(shù)對(duì)于加強(qiáng)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)控制起到很大的作用。通過(guò)對(duì)網(wǎng)絡(luò)的訪問(wèn)之間加強(qiáng)控制,防止用戶受到非法訪問(wèn)的騷擾。防火墻是一種保護(hù)網(wǎng)絡(luò)整體環(huán)境安全的設(shè)備。它對(duì)多個(gè)網(wǎng)絡(luò)用戶之間的資源傳送和連接方式都有相應(yīng)的安全策略。網(wǎng)絡(luò)之間的通信只有通過(guò)防火墻技術(shù)的檢查才能夠確保整個(gè)網(wǎng)絡(luò)的安全運(yùn)行,是整個(gè)網(wǎng)絡(luò)處于防火墻技術(shù)的監(jiān)控下。
(二)高校校園網(wǎng)中使用防火墻的選用原則
選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:
1.總體擁有成本
防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其TCO(Total Cost of Ownership,總體擁有成本)不應(yīng)該超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬(wàn)元,則該部門所配備防火墻的總成本也不應(yīng)該超過(guò)10萬(wàn)元。當(dāng)然,對(duì)于關(guān)鍵部門來(lái)說(shuō),其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。
2.防火墻本身是安全的
作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。
3.管理與培訓(xùn)
管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。
4.可擴(kuò)充性
網(wǎng)絡(luò)系統(tǒng)在建設(shè)的初始階段往往由內(nèi)部信息的系統(tǒng)規(guī)模比較小,遭受的損失可能就比較小,太昂貴的防火墻產(chǎn)品就顯得沒(méi)有必要。隨著現(xiàn)代社會(huì)中的網(wǎng)絡(luò)不斷發(fā)展,網(wǎng)絡(luò)信息安全成本不斷上升,遭受網(wǎng)絡(luò)損失的可能性和危害性都增強(qiáng)了,因此越來(lái)越多的用戶面對(duì)可能付出的昂貴的損失,選擇了更加安全可靠的防火墻產(chǎn)品。好的防火墻技術(shù)能夠在保障網(wǎng)絡(luò)安全的同時(shí)給予用戶高度是自我空間,有較好的的產(chǎn)品彈性。
三、高校校園網(wǎng)中常用的防火墻技術(shù)
防火墻是一種在內(nèi)外部網(wǎng)絡(luò)建立保護(hù)層,保護(hù)內(nèi)外部網(wǎng)絡(luò)資源不被破壞。使用防火墻能夠有效的使內(nèi)部網(wǎng)絡(luò)的訪問(wèn)受到保護(hù),使其擁有一個(gè)保護(hù)層,避免內(nèi)部網(wǎng)絡(luò)受到外部網(wǎng)絡(luò)的干擾,而不影響內(nèi)部網(wǎng)絡(luò)成員對(duì)外網(wǎng)絡(luò)資源的訪問(wèn)。同時(shí)校園網(wǎng)絡(luò)的為了維護(hù)網(wǎng)絡(luò)的穩(wěn)定和安全一定不會(huì)選用單一的防火墻技術(shù)。其中常用的保護(hù)校園網(wǎng)絡(luò)的技術(shù)主要包括以下幾方面。這些技術(shù)能夠綜合全面的解決高校校園網(wǎng)絡(luò)的各項(xiàng)安全問(wèn)題。
(一)包過(guò)濾技術(shù)
包過(guò)濾技術(shù)是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢蒙蠈?duì)數(shù)據(jù)包實(shí)施有選擇的過(guò)濾。包過(guò)濾防火墻一般含有一個(gè)包檢查模塊,它可以安裝在網(wǎng)關(guān)或路由器上,處于系統(tǒng)的TCP(Transfer Controln Protocol,傳輸控制協(xié)議)層和IP(Internet Protocol,網(wǎng)際協(xié)議)層之間,以便搶在操作系統(tǒng)或路由器的TCP層之前對(duì)IP包進(jìn)行處理。通過(guò)檢查模塊的處理,防火墻可以對(duì)進(jìn)出站的數(shù)據(jù)進(jìn)行檢查,驗(yàn)證數(shù)據(jù)包是否符合過(guò)濾規(guī)則。
(二)技術(shù)
技術(shù)是針對(duì)每一個(gè)特定應(yīng)用服務(wù)的控制,它作用于應(yīng)用層,具有狀態(tài)性的特點(diǎn),能提供部分與傳輸有關(guān)的狀態(tài),起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其他節(jié)點(diǎn)的直接請(qǐng)求。提供服務(wù)的可以是一臺(tái)雙宿網(wǎng)關(guān),也可以是一臺(tái)堡壘主機(jī)。
(三)狀態(tài)檢查技術(shù)
在網(wǎng)絡(luò)層實(shí)現(xiàn)網(wǎng)絡(luò)防火墻技術(shù)包括很多方面技術(shù)的支持。其中狀態(tài)檢查就是其中一項(xiàng)技術(shù)。狀態(tài)檢查技術(shù)采用的是在網(wǎng)關(guān)上安裝和運(yùn)行安全引擎,對(duì)網(wǎng)絡(luò)進(jìn)行模塊檢測(cè)。模塊檢測(cè)是在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下進(jìn)行的。它能夠?qū)W(wǎng)絡(luò)通信進(jìn)行信息抽取,實(shí)行動(dòng)態(tài)檢測(cè),更容易實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的全面安全管理。
(四)內(nèi)容檢查技術(shù)
內(nèi)容檢查技術(shù)提供對(duì)高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控,以確保數(shù)據(jù)流的安全。它是一個(gè)利用智能方式來(lái)分析數(shù)據(jù),使系統(tǒng)免受信息內(nèi)容安全威脅的軟件組。
以上內(nèi)容是在解決高校網(wǎng)絡(luò)安全中防火墻措施所起到的作用和相應(yīng)的設(shè)置。防火墻不僅完美的過(guò)濾掉了高校局域網(wǎng)中的不良信息,保留了健康有用的信息,而且維護(hù)了課堂的正常秩序,同時(shí)防火墻的安裝能夠保障校園網(wǎng)絡(luò)的平穩(wěn)運(yùn)行。通過(guò)以上的闡述,我們能夠正確認(rèn)識(shí)到防火墻技術(shù)在網(wǎng)絡(luò)安全尤其是校園網(wǎng)絡(luò)安全方面的重要性和必要性。近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展已經(jīng)成為了不可阻擋的潮流,人們對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的要求也在不斷的增加。網(wǎng)絡(luò)安全問(wèn)題也成為人們所關(guān)注的焦點(diǎn)問(wèn)題,針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)世界的安全問(wèn)題,更加先進(jìn)的防火墻技術(shù)和合理的軟硬件搭配組合就會(huì)隨之出現(xiàn),計(jì)算機(jī)網(wǎng)絡(luò)的安全在不斷的增強(qiáng)。經(jīng)過(guò)事實(shí)證明,好的合理的防火墻技術(shù)選擇是保護(hù)計(jì)算機(jī)安全的重要條件。對(duì)于擁有商業(yè)機(jī)密的企業(yè)電子網(wǎng)絡(luò)或者是高校的局域網(wǎng)絡(luò),只有通過(guò)合理的防火墻技術(shù)才能夠保證網(wǎng)絡(luò)安全。維護(hù)了網(wǎng)絡(luò)安全就是維護(hù)了我們的教育成果,保證了我們的教學(xué)方法能夠順利實(shí)施。相信在不久的將來(lái),我國(guó)的防火墻技術(shù)也會(huì)隨著我國(guó)的網(wǎng)絡(luò)技術(shù)不斷發(fā)展,超越現(xiàn)有的能力和水平,更加強(qiáng)大的網(wǎng)絡(luò)防火墻技術(shù)會(huì)不斷呈現(xiàn)在我們的面前。
參考文獻(xiàn):
關(guān)鍵詞:防火墻技術(shù);網(wǎng)絡(luò);安全
1防火墻技術(shù)
防火墻是計(jì)算機(jī)網(wǎng)絡(luò)安全必須用到的技術(shù),其能夠?qū)⒂?jì)算機(jī)網(wǎng)絡(luò)資源確保在安全范圍內(nèi)。這種技術(shù)的使用原理是要提前設(shè)置該保護(hù)目標(biāo),讓其有規(guī)律地對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息以及數(shù)據(jù)進(jìn)行授權(quán)和限制,防火墻技術(shù)在使用過(guò)程中會(huì)主動(dòng)記錄網(wǎng)絡(luò)信息與數(shù)據(jù)來(lái)源,其控制著計(jì)算機(jī)的運(yùn)行條件與使用方法,以此杜絕外來(lái)攻擊對(duì)計(jì)算機(jī)內(nèi)部造成的影響,其可以在不同的角度與層面上來(lái)確保計(jì)算機(jī)網(wǎng)絡(luò)資源的安全。防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中發(fā)揮著非常重要的作用。
2計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)
2.1服務(wù)器型
在防火墻技術(shù)中服務(wù)器型防火墻是通過(guò)在主機(jī)上運(yùn)用的一種服務(wù)程序,直接面對(duì)計(jì)算機(jī)上特定的應(yīng)用服務(wù),因此也將它稱為應(yīng)用型防火墻。這種技術(shù)將參照計(jì)算機(jī)上的運(yùn)行模式先進(jìn)行設(shè)置服務(wù)器,之后再利用服務(wù)器展開(kāi)信息交換模式,即外部網(wǎng)絡(luò)想要與內(nèi)部網(wǎng)絡(luò)建立連接,就必須得通過(guò)服務(wù)器的轉(zhuǎn)換,內(nèi)部網(wǎng)絡(luò)只接受服務(wù)器所提出的要求,拒絕外部網(wǎng)絡(luò)連接的直接請(qǐng)求。把網(wǎng)絡(luò)信息從內(nèi)部網(wǎng)絡(luò)傳送到外部網(wǎng)絡(luò)之后將帶著正確的IP信息歸來(lái),因此黑客也正是利用服務(wù)器的這個(gè)特點(diǎn),將病毒植于數(shù)據(jù)IP之中帶到內(nèi)部網(wǎng)絡(luò)中來(lái),這時(shí),殺毒軟件也利用同樣的原理與防火墻聯(lián)合將攻擊者的IP信息路徑進(jìn)行分析,準(zhǔn)確地找到攻擊者IP的源頭。由于服務(wù)器可以虛擬IP,這使攻擊者IP找不到實(shí)用的信息,這樣可以很好地保護(hù)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)安全,再加上服務(wù)器還有中轉(zhuǎn)的特性,能夠很好地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息交換,從而大大提升了計(jì)算機(jī)網(wǎng)絡(luò)的安全水平。服務(wù)器對(duì)網(wǎng)關(guān)具有很高的要求,要建立相應(yīng)的網(wǎng)關(guān)層面,充分發(fā)揮網(wǎng)關(guān)的作用,使服務(wù)器的價(jià)值得到有效的運(yùn)用,以此來(lái)實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全與穩(wěn)定的維護(hù)和發(fā)展。
2.2包過(guò)濾型技術(shù)
這種包過(guò)濾技術(shù)是在傳統(tǒng)的路由器中增加了分組過(guò)濾功能的防火墻,其能夠在計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行安全風(fēng)險(xiǎn)識(shí)別過(guò)濾,這種防火墻技術(shù)是一種最簡(jiǎn)單完全透明的過(guò)濾型技術(shù)。此技術(shù)在計(jì)算機(jī)傳輸信息過(guò)程中能獲取數(shù)據(jù)來(lái)源地的IP,并且還能主動(dòng)將該IP的數(shù)據(jù)信息掌握標(biāo)記好。如果注冊(cè)該技術(shù)與標(biāo)記的IP相符,就存在著數(shù)據(jù)包有危險(xiǎn)因素,此時(shí)就要將其中的安全隱患處理好才可以進(jìn)行數(shù)據(jù)傳輸。包過(guò)濾技術(shù)將計(jì)算機(jī)傳輸路徑進(jìn)行劃分工作,確定不同的傳輸路徑,能夠很好地保障計(jì)算機(jī)網(wǎng)絡(luò)的傳輸安全,這種技術(shù)通常用于路由器以及主機(jī)等地方,可以根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)需求提供相應(yīng)的安保需求。但是,這種技術(shù)也受本身的端口限制,因此在兼容性能上來(lái)說(shuō)是比較差的。
2.3混合型技術(shù)
混合型防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中是效果最突出的一種復(fù)合技術(shù),是把包過(guò)濾與服務(wù)器等諸多功能相結(jié)合形成的新型防火墻結(jié)構(gòu)。這種技術(shù)可以很靈活的保障計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行,此技術(shù)把單一的技術(shù)問(wèn)題與漏洞進(jìn)行了改善,是近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行非常重視的一項(xiàng)技術(shù)研究。這種技術(shù)具有一定的靈活性,以動(dòng)態(tài)的過(guò)濾方法打破信息交換的方式,智能的感應(yīng)系統(tǒng)有效地提高了計(jì)算機(jī)網(wǎng)絡(luò)信息傳輸?shù)碾[蔽性,提升了網(wǎng)絡(luò)空間的安全水平。防火墻技術(shù)與復(fù)合技術(shù)二者雙管齊下進(jìn)行保護(hù),形成了一種混合型的多方位層次度不同的防火墻系統(tǒng),充分提高了防火墻的實(shí)時(shí)安保效果。
3防火墻技術(shù)的發(fā)展
3.1檢測(cè)模式的轉(zhuǎn)變
如今這種類型防火墻技術(shù)已成為計(jì)算機(jī)網(wǎng)絡(luò)安全中最具代表性的一種防火墻模式。傳統(tǒng)的防火墻都是在邊界處以數(shù)據(jù)傳輸進(jìn)行分隔安全管理,不能很好地對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全隱患提醒清除。因此,防火墻技術(shù)開(kāi)始分布式結(jié)構(gòu)轉(zhuǎn)變,將每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行覆蓋保護(hù),很好的確定了流量的方向,減少了計(jì)算機(jī)網(wǎng)絡(luò)安全檢測(cè)的難度,最大限度地提升了網(wǎng)絡(luò)安全保護(hù)的強(qiáng)度,很好地改善了傳統(tǒng)防火墻的缺陷與漏洞問(wèn)題,讓網(wǎng)絡(luò)安全防御性得到升華,大大提升了計(jì)算機(jī)網(wǎng)絡(luò)信息安全保障。
3.2功能改變
如今防火墻技術(shù)呈現(xiàn)出一種集多種功能于一體的設(shè)計(jì)趨勢(shì),其包括aaa、vpn,甚至是防病毒以及入侵檢測(cè)等功能都被設(shè)計(jì)于防火墻之中,這樣多功能技術(shù)的防火墻對(duì)網(wǎng)絡(luò)信息管理帶來(lái)了不少便捷。當(dāng)然,這種擴(kuò)展式網(wǎng)絡(luò)管理首先要想到防火墻系統(tǒng)本身的安全性能不被破壞。
3.3性能提升
由于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用逐漸豐富、流量也日益復(fù)雜,所以,在防火墻技術(shù)硬件性能上的要求也越來(lái)越高。當(dāng)防火墻某個(gè)硬件性能達(dá)到一定瓶頸期的時(shí)候,我們可以把部分硬件進(jìn)行升級(jí)處理,以此來(lái)達(dá)到網(wǎng)絡(luò)安全的目的。因此,在未來(lái)防火墻技術(shù)軟件中融入更先進(jìn)的設(shè)計(jì)技術(shù)來(lái)衍生出更多專用平臺(tái)來(lái)緩解防火墻性能要求是必不可少的技術(shù)研究。
4防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用及策略
4.1訪問(wèn)策略中應(yīng)用
訪問(wèn)策略對(duì)于計(jì)算機(jī)使用中的網(wǎng)絡(luò)安全具有直接的影響作用,把配置通過(guò)詳細(xì)的安排讓訪問(wèn)策略對(duì)整個(gè)計(jì)算機(jī)的運(yùn)行信息進(jìn)行細(xì)致入微的分析統(tǒng)計(jì),以此來(lái)建立起完善的防護(hù)系統(tǒng)。訪問(wèn)策略在網(wǎng)絡(luò)安全執(zhí)行保護(hù)的過(guò)程中會(huì)產(chǎn)生策略表,此表可以很好地將策略活動(dòng)進(jìn)行記錄,然后防火墻技術(shù)會(huì)根據(jù)策略表來(lái)執(zhí)行其應(yīng)有的任務(wù),真正有效地實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的效果與目的。
4.2日志監(jiān)控中應(yīng)用
防火墻技術(shù)對(duì)保護(hù)日志進(jìn)行分析,能夠讓人們掌握高價(jià)值的信息,在計(jì)算機(jī)運(yùn)行的過(guò)程中,需要對(duì)日志進(jìn)行重點(diǎn)保護(hù),對(duì)于某個(gè)類型的日志進(jìn)行全面的采集,這就使防火墻需要承擔(dān)巨大的工作內(nèi)容,因此需要合理地進(jìn)行分門別類,將監(jiān)管力度加大,使日志采集更具有便捷性,避免一些惡意屏蔽信息的現(xiàn)象出現(xiàn)。有時(shí)關(guān)鍵信息會(huì)隱藏在類別信息中,用戶可以根據(jù)需求將有價(jià)值的信息提取出來(lái),根據(jù)日志監(jiān)控的基礎(chǔ),提升防火墻技術(shù)安全保護(hù)效果,以此讓其更好地進(jìn)行篩選,從而實(shí)現(xiàn)網(wǎng)絡(luò)流量得到優(yōu)化的目的。
4.3安全配置中應(yīng)用
防火墻技術(shù)對(duì)于安全配置有著很高的要求,其最大的特點(diǎn)在于安全配置隔離區(qū)域之中的運(yùn)行方式,即信息流由防火墻技術(shù)自動(dòng)監(jiān)控,通過(guò)對(duì)地址轉(zhuǎn)換的利用,將內(nèi)網(wǎng)信息IP流入外網(wǎng)時(shí)轉(zhuǎn)換為公共IP信息,這樣才能防止IP信息被追蹤解析,這時(shí)安全配置會(huì)很好地發(fā)揮其隱藏IP、防止外網(wǎng)入侵等作用,為內(nèi)網(wǎng)安全提供有力的保護(hù)。
關(guān)鍵詞:網(wǎng)絡(luò)信息安全;大型網(wǎng)絡(luò);硬件防火墻;三次握手;過(guò)濾;CPU負(fù)載
伴隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)已經(jīng)成為人們工作生活必不可少的工具,而網(wǎng)絡(luò)信息安全也越來(lái)越受到人們的重視。防火墻技術(shù)的發(fā)展將促進(jìn)防火墻成為網(wǎng)絡(luò)安全的重要保障,而硬件防火墻會(huì)成為保護(hù)大中型網(wǎng)絡(luò)信息安全的首選!
一、大中型網(wǎng)絡(luò)為何選擇硬件防火墻
軟件防火墻是安裝在計(jì)算機(jī)操作平臺(tái)的軟件產(chǎn)品,它通過(guò)在操作系統(tǒng)底層工作來(lái)實(shí)現(xiàn)管理網(wǎng)絡(luò)和優(yōu)化防御功能。
對(duì)于大中型網(wǎng)絡(luò)來(lái)說(shuō),將軟件防火墻裝人內(nèi)部網(wǎng)絡(luò)的每臺(tái)設(shè)備和內(nèi)部服務(wù)器中來(lái)保護(hù)網(wǎng)絡(luò)安全的工作量是巨大的,在實(shí)際操作比較困難。首先,大中型網(wǎng)絡(luò)需要穩(wěn)定高速運(yùn)行,而基于操作系統(tǒng)的軟件防火墻運(yùn)行將會(huì)給CPU增加超重負(fù)荷,造成路由不穩(wěn)定,勢(shì)必影響網(wǎng)絡(luò)。其次,大中型網(wǎng)絡(luò)會(huì)是黑客們攻擊的對(duì)象,面對(duì)高速密集的DOS(拒絕服務(wù))攻擊,顯然,單憑軟件防火墻本身承受能力是無(wú)法做到抵御黑客,保護(hù)網(wǎng)絡(luò)安全的。再次,軟件防火墻在兼容性方面不及硬件防火墻。正是軟件防火墻存在這些缺點(diǎn).在大中型網(wǎng)絡(luò)中一般會(huì)采用硬件防火墻。
二、硬件防火墻的工作原理和網(wǎng)絡(luò)安全防御策略
2.1防火墻在網(wǎng)絡(luò)中的位置
外部防火墻工作在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間,這樣的布署將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)有效地隔離起來(lái),已達(dá)到增加內(nèi)部網(wǎng)絡(luò)安全的目的。一般情況下,還要設(shè)立一個(gè)隔離區(qū)(DMZ),放人公開(kāi)的服務(wù)器,讓外網(wǎng)訪問(wèn)時(shí),就能增加內(nèi)網(wǎng)的安全。而內(nèi)部防火墻保護(hù)隔離區(qū)對(duì)內(nèi)網(wǎng)的訪問(wèn)安全,這樣的綜合布署將有效提高網(wǎng)絡(luò)安全。
2.2硬件防火墻的構(gòu)成
硬件防火墻為了克服軟件防火墻在大中型網(wǎng)絡(luò)中的不足,對(duì)軟件防火墻進(jìn)行了改進(jìn)。通過(guò)硬件和軟件的結(jié)合來(lái)設(shè)計(jì)防火墻,硬件和軟件部分都必須單獨(dú)設(shè)計(jì),將軟件防火墻嵌入在硬件中同時(shí),采用專門的操作系統(tǒng)平臺(tái)(加入Linux系統(tǒng),因?yàn)橛行┲噶畛绦蛐枰惭b在Windows系統(tǒng)之中,而Windows穩(wěn)定性不如Linux,如果在本身就很脆弱的系統(tǒng)平臺(tái)中布署安全策略.這樣的防火墻也會(huì)不安全),從而避免通用操作系統(tǒng)的安全性漏洞。對(duì)軟硬件的特殊要求,使硬件防火墻的實(shí)際帶寬與理論值基本一致,提高吞吐量、增加安全性,加快運(yùn)行速度。將這樣的硬件防火墻安裝進(jìn)入大中型網(wǎng)絡(luò),不僅在可以有效地保障內(nèi)網(wǎng)與外網(wǎng)鏈接時(shí)的安全.而且可以保障內(nèi)部網(wǎng)絡(luò)中不同部門不同區(qū)域之間的安全。
2.3大中型網(wǎng)絡(luò)安全威脅來(lái)源
現(xiàn)今的網(wǎng)絡(luò)使用的都是TcP,IP協(xié)議,TCP報(bào)文段傳輸最重要的就是報(bào)文段首部(segmenthea&r)~的內(nèi)容??蛻舳撕头?wù)端的服務(wù)響應(yīng)都是與報(bào)文段首部的數(shù)據(jù)相關(guān)聯(lián),而三次握手能夠?qū)崿F(xiàn)也和報(bào)文段首部的數(shù)據(jù)相關(guān),其安全性也取決于首部?jī)?nèi)容,因此黑客經(jīng)常利用TCPflP協(xié)議的漏洞對(duì)報(bào)文段首部下手從而實(shí)現(xiàn)有外網(wǎng)對(duì)內(nèi)網(wǎng)進(jìn)行攻擊。
在大中型網(wǎng)絡(luò)內(nèi)部也有部門的劃分,對(duì)于一些比較重要的部門就連內(nèi)部網(wǎng)絡(luò)其他部門也要授權(quán)后才能進(jìn)行訪問(wèn),這樣就會(huì)最大限度保障網(wǎng)絡(luò)的安全,因?yàn)橛械拇笮途W(wǎng)絡(luò)的安全關(guān)系到國(guó)家社會(huì)的安全和穩(wěn)定,所以如果在內(nèi)部發(fā)生網(wǎng)絡(luò)威脅將會(huì)帶來(lái)更大的損失。
2.4網(wǎng)絡(luò)中的攻擊手段
網(wǎng)絡(luò)中主要的攻擊手段就是對(duì)服務(wù)器實(shí)行拒絕服務(wù)攻擊,用IP欺騙使服務(wù)器復(fù)位合法用戶的連接,使其不能正常連接.還有就是迫使服務(wù)器緩沖區(qū)滿,無(wú)法接受新的請(qǐng)求。
2.4.1偽造IP欺騙攻擊
IP欺騙中攻擊者構(gòu)造一個(gè)TCP數(shù)據(jù),偽裝自己的IP和一個(gè)合法用戶IP相同,并且對(duì)服務(wù)器發(fā)送TCP數(shù)據(jù),數(shù)據(jù)中包含復(fù)位鏈接位(RST),當(dāng)發(fā)送的連接有錯(cuò)誤時(shí),服務(wù)器就會(huì)清空緩沖區(qū)中建立好的正確連接。這時(shí),如果那個(gè)合法用戶要再發(fā)送合法數(shù)據(jù),服務(wù)器就不會(huì)為其服務(wù),該用戶必須重新建立連接。
2.4.2SYNFLooD攻擊
SYNFLOOD是利用了TCP協(xié)議的缺陷,一個(gè)正常的TCP連接需要三次握手,首先客戶端發(fā)送一個(gè)包含SYN標(biāo)志的數(shù)據(jù)包,然后服務(wù)器返回一個(gè)SYN/ACK的應(yīng)答包,表示客戶端的請(qǐng)求被接受,最后客戶端再返回一個(gè)確認(rèn)包ACK,這樣才完成TCP連接。在服務(wù)器端發(fā)送應(yīng)答包后,如果客戶端不發(fā)出確認(rèn),服務(wù)器會(huì)等待到超時(shí),期間這些半連接狀態(tài)都保存在一個(gè)空間有限的緩沖區(qū)隊(duì)列(BacklogQueue)中。SYNFLOOD攻擊就是利用服務(wù)器的連接緩沖區(qū),使用一些特制的程序(可以設(shè)置TCP報(bào)文段的首部,使整個(gè)T0P拉文與正常報(bào)文類似,但無(wú)法建立連接),向服務(wù)器端不斷地成倍發(fā)送僅有SYN標(biāo)志的TCP連接請(qǐng)求,當(dāng)服務(wù)器接收的時(shí)候,都認(rèn)為是沒(méi)有建立起來(lái)的連接請(qǐng)求,于是為這些請(qǐng)求建立會(huì)話,排到緩沖區(qū)隊(duì)列中,這樣就會(huì)使服務(wù)器端的TCP資源迅速耗盡,當(dāng)緩沖區(qū)隊(duì)列滿時(shí),服務(wù)器就不再接收新的連接請(qǐng)求了。其他合法用戶的連接都會(huì)被拒絕,導(dǎo)致正常的連接不能進(jìn)入,甚至?xí)?dǎo)致服務(wù)器的系統(tǒng)崩潰。
2.4.3ACKHood攻擊
用戶和服務(wù)器之間建立了TCP連接后,所有TCP報(bào)文都會(huì)帶有ACK標(biāo)志位,服務(wù)器接受到報(bào)文時(shí),會(huì)檢查數(shù)據(jù)包中表示連接的數(shù)據(jù)是否存在,如果存在,在檢查連接狀態(tài)是否合法,合法就將數(shù)據(jù)傳送給應(yīng)用層,非法則服務(wù)器操作系統(tǒng)協(xié)議棧會(huì)回應(yīng)RST包給用戶。對(duì)于JSP服務(wù)器來(lái)說(shuō),小的ACK包沖擊就會(huì)導(dǎo)致服務(wù)器艱難處理正常得連接請(qǐng)求,而大批量高密度的ACKFlood會(huì)讓A.pache或IIS服務(wù)器出現(xiàn)高頻率的網(wǎng)卡中斷和過(guò)重負(fù)載,最終會(huì)導(dǎo)致網(wǎng)卡停止響應(yīng)。ACKFlood會(huì)對(duì)路由器等網(wǎng)絡(luò)設(shè)備以及服務(wù)器造成影響。
2.4.4UDPFlood攻擊
UDPFlood攻擊是利用UDP協(xié)議無(wú)連接的特點(diǎn),偽造大量客戶端IP地址向服務(wù)器發(fā)起UDP連接,一旦服務(wù)器有一個(gè)端口響應(yīng)并提供服務(wù),就會(huì)遭到攻擊,UDPFlood會(huì)對(duì)視頻服務(wù)器和DNS服務(wù)器等造成攻擊。
2.4.5ICMPFlood攻擊
ICMPFlood通過(guò)Pin生的大量數(shù)據(jù)包,發(fā)送給服務(wù)器,服務(wù)器收到大量ICMP數(shù)據(jù)包,使CPU占用率滿載繼而引起該TCP/IP棧癱瘓,并停止響應(yīng)TCP/IP請(qǐng)求,從而遭受攻擊,因此運(yùn)行逐漸變慢,進(jìn)而死機(jī)。
除了以上幾種攻擊手段,在網(wǎng)絡(luò)中還存在一些其他攻擊手段,如寬帶DOS攻擊,自身消耗DOS攻擊,將服務(wù)器硬盤裝滿,利用安全策略漏洞等等,這些需要硬件防火墻對(duì)其做出合理有效防御。
2.5硬件防火墻防御攻擊的策略
2.5.1偽造IP欺騙攻擊的防御策略
當(dāng)IP數(shù)據(jù)包出內(nèi)網(wǎng)時(shí)檢驗(yàn)其IP源地址,每一個(gè)連接內(nèi)網(wǎng)的硬件防火墻在決定是否允許本網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出之前,先對(duì)來(lái)自該IP數(shù)據(jù)包的IP源地址進(jìn)行檢驗(yàn)。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址,該IP包就被拒絕,不允許該包離開(kāi)內(nèi)網(wǎng)。這樣一來(lái),攻擊者至需要使用自己的IP地址才能通過(guò)連接網(wǎng)關(guān)或路由器。這樣過(guò)濾和檢驗(yàn)內(nèi)網(wǎng)發(fā)出數(shù)據(jù)包的IP源地址的方法基本可以做到預(yù)防偽造IP欺騙攻擊。
2.5.2SYNFLo0D攻擊防御策略
硬件防火墻對(duì)于SYNFLOOD攻擊防御基本上有三種,一是阻斷新建的連接,二是釋放無(wú)效連接,三是SYNCookie和SafeRe.set技術(shù)。
阻斷新建連接就是在防火墻發(fā)現(xiàn)連半開(kāi)連接數(shù)閾值和新建連接數(shù)閾值被超時(shí)時(shí),SYNFLOOD攻擊檢測(cè)發(fā)現(xiàn)攻擊,暫時(shí)阻止客戶向服務(wù)器發(fā)出的任何請(qǐng)求。防火墻能在服務(wù)器處理新建連接報(bào)文之前將其阻斷,削弱了網(wǎng)絡(luò)攻擊對(duì)服務(wù)器的影響,但無(wú)法在服務(wù)器被攻擊時(shí)有效提升服務(wù)器的服務(wù)能力。因此,一般配合防火墻SYNFlood攻擊檢測(cè),避免瞬間高強(qiáng)度攻擊使服務(wù)器系統(tǒng)崩潰。釋放無(wú)效鏈接是當(dāng)服務(wù)器上半開(kāi)連接過(guò)多時(shí),要警惕冒充客戶端的虛假IP發(fā)起無(wú)效連接,防火墻要在這些連接中識(shí)別那些是無(wú)效的.向服務(wù)器發(fā)送復(fù)位報(bào)文,讓服務(wù)器進(jìn)行釋放,協(xié)助服務(wù)器恢復(fù)服務(wù)能力。SYNCo0kie和SafeReset是驗(yàn)證發(fā)起連接客戶的合法性。防火墻要保護(hù)服務(wù)器入口的關(guān)鍵位置,對(duì)服務(wù)器發(fā)出的報(bào)文進(jìn)行嚴(yán)格檢查。
2.5.3ACKFlood攻擊防御策略
防火墻對(duì)網(wǎng)絡(luò)進(jìn)行分析,當(dāng)收包異常大于發(fā)包時(shí),攻擊者一般采用大量ACK包,小包發(fā)送,提高速度,這種判斷方法是對(duì)稱性判斷.可以作為ACKFlood攻擊的依據(jù)。防火墻建立hash表存放TCP連接狀態(tài),從而大致上知道網(wǎng)絡(luò)狀況。
2.5.4UDPHood攻擊防御策略
UDPF1ood攻擊防御比較困難,因?yàn)閁DP是無(wú)連接的,防火墻應(yīng)該判斷UDP包的大小,大包攻擊則采用粉碎UDP包的方法,或者對(duì)碎片進(jìn)行重組。還有比較專業(yè)的防火墻在攻擊端口不是業(yè)務(wù)端口是丟棄UDP包,抑或?qū)DP也設(shè)一些和TCP類似的規(guī)則。
2.5.5ICMPFlood攻擊防御策略
對(duì)于ICMPFlood的防御策略,硬件防火墻采用過(guò)濾ICMP報(bào)文的方法。硬件防火墻還對(duì)網(wǎng)絡(luò)中其他的一些攻擊手段進(jìn)行著安全有效的防御,保護(hù)著網(wǎng)絡(luò)的安全。
三、硬件防火墻的配置考慮要素和選購(gòu)標(biāo)準(zhǔn)
硬件防火墻是網(wǎng)絡(luò)硬件設(shè)備,需要安裝配置,網(wǎng)絡(luò)管理人員應(yīng)該要考慮實(shí)際應(yīng)用中硬件規(guī)則的改變調(diào)整,配置參數(shù)也在不斷改變。對(duì)于硬件防火墻的安全策略也應(yīng)該考慮到,哪些數(shù)據(jù)流被允許,哪些不被允許,還有等等,還有授權(quán)的問(wèn)題,外網(wǎng)域內(nèi)網(wǎng)之問(wèn),內(nèi)網(wǎng)里各個(gè)不同部門之間,還有DMZ區(qū)域和內(nèi)網(wǎng)等,這些都需要照顧到。詳盡的安全策略應(yīng)該保證硬件防火墻配置的修改工作程序化.并能盡量避免因修改配置所造成的錯(cuò)誤和安全漏洞。除此之外還要考慮CPU負(fù)載問(wèn)題,過(guò)高的CPU負(fù)載可能是遭到網(wǎng)絡(luò)DOS攻擊。硬盤中保留日志記錄也很重要,這對(duì)檢查硬件防火墻有著重要作用,還要定期檢查。:
雖然防火墻和入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中占著舉足輕重的地位,但由于它們自身存在的一些不足,導(dǎo)致其無(wú)法滿足網(wǎng)絡(luò)安全整體化的需求。通過(guò)分析比較兩者的優(yōu)缺點(diǎn),提出將入侵檢測(cè)技術(shù)與防火墻緊密結(jié)合,二者之間進(jìn)行聯(lián)動(dòng),從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的即時(shí)保護(hù)。
關(guān)鍵詞:
防火墻;入侵檢測(cè);聯(lián)動(dòng);網(wǎng)絡(luò)安全
隨著互聯(lián)網(wǎng)的深入發(fā)展,網(wǎng)絡(luò)攻擊方式層出不窮,令人防不勝防;而防火墻和入侵檢測(cè)作為防護(hù)網(wǎng)絡(luò)安全的兩種重要技術(shù)手段,雖被廣泛采用,但由于自身缺陷,使得兩者的防范內(nèi)容不盡相同。比如防火墻只能防范來(lái)自外部的攻擊而無(wú)法解決來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊;入侵檢測(cè)只能識(shí)別攻擊發(fā)出報(bào)警卻不能自動(dòng)產(chǎn)生適當(dāng)?shù)捻憫?yīng)去阻止攻擊等等,為了滿足網(wǎng)絡(luò)安全整體化的要求,提出將防火墻和入侵檢測(cè)這兩種具有較強(qiáng)互補(bǔ)性的技術(shù)整合在一起進(jìn)行聯(lián)動(dòng),揚(yáng)長(zhǎng)避短,充分發(fā)揮各自的優(yōu)勢(shì),提高網(wǎng)絡(luò)安全防護(hù)水平,最大程度的保障網(wǎng)絡(luò)及信息的安全。
1防火墻技術(shù)
防火墻[1]指的是一個(gè)由軟件和硬件組合而成的高級(jí)訪問(wèn)控制設(shè)備,是置于不同網(wǎng)絡(luò)安全域之間執(zhí)行訪問(wèn)控制策略的一種或一系列部件的組合。防火墻位于網(wǎng)絡(luò)安全防護(hù)體系的最外一層,通常會(huì)被放置在外網(wǎng)與內(nèi)網(wǎng)之間的出入口處。作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,它為實(shí)現(xiàn)網(wǎng)絡(luò)安全起到了把關(guān)的作用。防火墻技術(shù)實(shí)際上是一種隔離技術(shù),通過(guò)制訂安全策略(允許、拒絕、監(jiān)視、記錄),將內(nèi)部信任區(qū)域與外部不安全區(qū)域(如因特網(wǎng))或內(nèi)部網(wǎng)不同可信區(qū)域有效隔離,最大限度的對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全防護(hù)。雖然防火墻能在網(wǎng)關(guān)級(jí)進(jìn)行保護(hù),但只提供靜態(tài)防御,防御規(guī)則事先就已經(jīng)設(shè)置完畢,一旦規(guī)則設(shè)置有誤或者安全形勢(shì)發(fā)生變化,防火墻就失去了即時(shí)應(yīng)變的能力,因此它是一種被動(dòng)的安全防護(hù)技術(shù),存在一定的局限性,主要表現(xiàn)為:1)防火墻默認(rèn)內(nèi)部網(wǎng)絡(luò)都是可信的,如果內(nèi)部網(wǎng)絡(luò)中存在后門,那些不經(jīng)過(guò)防火墻的攻擊數(shù)據(jù)包進(jìn)入到內(nèi)網(wǎng)時(shí)防火墻無(wú)法防范和響應(yīng)。2)防火墻的訪問(wèn)控制策略需事先設(shè)置,不能實(shí)時(shí)調(diào)整策略規(guī)則來(lái)阻止正在進(jìn)行的攻擊,缺少應(yīng)變性無(wú)法主動(dòng)防范新的安全威脅。3)防火墻既不能防止受病毒感染的文件或程序的傳輸也不能防止基于某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的攻擊。
2入侵檢測(cè)技術(shù)
入侵檢測(cè)[2]是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、日志數(shù)據(jù)以及網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵點(diǎn)信息,檢查網(wǎng)絡(luò)系統(tǒng)中是否存在入侵或違反規(guī)則的行為并及時(shí)做出響應(yīng),例如斷網(wǎng)、報(bào)警、記錄事件信息等。入侵檢測(cè)系統(tǒng)簡(jiǎn)稱IDS(IntrusionDetectiveSystem)由進(jìn)行入侵檢測(cè)的軟件和硬件所構(gòu)成。與防火墻的被動(dòng)防御不同,入侵檢測(cè)采取的是一種積極主動(dòng)地安全防護(hù)手段,能在不影響網(wǎng)絡(luò)性能的前提下通過(guò)旁路監(jiān)聽(tīng)方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù),主動(dòng)尋找入侵信號(hào),對(duì)系統(tǒng)中的異常現(xiàn)象或未授權(quán)的訪問(wèn)、活動(dòng)等事件進(jìn)行審計(jì)、追蹤、識(shí)別和檢測(cè)。入侵檢測(cè)不僅能察覺(jué)到來(lái)自系統(tǒng)外部的入侵,同時(shí)也能發(fā)現(xiàn)系統(tǒng)內(nèi)部用戶未經(jīng)授權(quán)的活動(dòng),主動(dòng)保護(hù)自己免受網(wǎng)絡(luò)攻擊,因此被認(rèn)為是防火墻之后的第二道安全閘門。盡管如此,入侵檢測(cè)技術(shù)還是存在一些局限性:1)由于入侵檢測(cè)通常依賴特征匹配,每截獲一個(gè)數(shù)據(jù)包都要分析和匹配,檢測(cè)其中的數(shù)據(jù)是否具備攻擊特征,因此會(huì)耗費(fèi)大量的時(shí)間和系統(tǒng)資源,使得入侵檢測(cè)的檢測(cè)速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度,通常在數(shù)據(jù)包巨多的流量面前它會(huì)迅速失效。2)入侵檢測(cè)的漏報(bào)率和誤報(bào)率都比較高,產(chǎn)生漏報(bào)的一大原因是攻擊特征數(shù)據(jù)庫(kù)不能及時(shí)更新;另外一些舊式的攻擊對(duì)已更新的操作系統(tǒng)不起作用,如果模式庫(kù)中還存有這些攻擊特征,就會(huì)導(dǎo)致入侵檢測(cè)頻繁報(bào)警,這些無(wú)效報(bào)警很大程度上無(wú)疑加大了入侵檢測(cè)的誤報(bào)率。3)入侵檢測(cè)往往重點(diǎn)都放在對(duì)網(wǎng)絡(luò)中入侵攻擊行為的識(shí)別上,所以即使檢測(cè)到攻擊也很難采取有效的保護(hù)措施去阻止攻擊。
3防火墻與入侵檢測(cè)的聯(lián)動(dòng)
通過(guò)以上的分析對(duì)比可以看出兩者在網(wǎng)絡(luò)安全防護(hù)方面都存在一定的缺陷,防火墻側(cè)重于提供靜態(tài)訪問(wèn)控制、入侵檢測(cè)側(cè)重于主動(dòng)發(fā)現(xiàn)入侵。如果把這兩種技術(shù)結(jié)合在一起,集中二者的長(zhǎng)處,形成互補(bǔ),建立緊密的聯(lián)動(dòng)關(guān)系,相互提供保護(hù)屏障,既可以提升防火墻的機(jī)動(dòng)性也能增強(qiáng)入侵檢測(cè)系統(tǒng)的阻斷能力。
所謂聯(lián)動(dòng)[3]是指通過(guò)一種組合的方式,將不同的安全技術(shù)進(jìn)行整合,由其他安全技術(shù)彌補(bǔ)某一安全技術(shù)自身功能和性能的缺陷,以適應(yīng)網(wǎng)絡(luò)安全立體化、整體化的要求。本文提出的防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的方式是指將防火墻和入侵檢測(cè)劃分為兩個(gè)獨(dú)立的子系統(tǒng),單獨(dú)完成各自的任務(wù),兩者之間通過(guò)相應(yīng)的通信接口和協(xié)議進(jìn)行信息共享和互動(dòng),實(shí)現(xiàn)一體化的主動(dòng)防御;同時(shí)為了防止交互信息被黑客竊取和攻擊,相互間的通信需要進(jìn)行認(rèn)證和加密。防火墻與入侵檢測(cè)系統(tǒng)之間的聯(lián)動(dòng)協(xié)作流程如圖1所示。聯(lián)動(dòng)實(shí)現(xiàn)過(guò)程如下:1)首先防火墻安置于Internet與內(nèi)部網(wǎng)絡(luò)的連接處,這樣當(dāng)外網(wǎng)中的數(shù)據(jù)包要進(jìn)入內(nèi)網(wǎng)時(shí)就需經(jīng)過(guò)它預(yù)先設(shè)定的訪問(wèn)規(guī)則控制鏈表,通過(guò)篩選過(guò)濾數(shù)據(jù)包可以阻擋一部分攻擊。2)經(jīng)過(guò)防火墻篩選過(guò)濾后的數(shù)據(jù)包以及繞過(guò)防火墻沒(méi)有經(jīng)過(guò)篩選的數(shù)據(jù)包都進(jìn)入到內(nèi)網(wǎng)中,這時(shí)部署在內(nèi)網(wǎng)中的入侵檢測(cè)系統(tǒng)不間斷的提取這些數(shù)據(jù)包依據(jù)自身的規(guī)則庫(kù)對(duì)它們進(jìn)行分析比對(duì),一旦發(fā)現(xiàn)入侵企圖立即報(bào)警并將報(bào)警信息[4](包括事件入侵類型,源地址,目的地址,源端口,目的端口及阻斷時(shí)間等)轉(zhuǎn)換成統(tǒng)一的報(bào)警格式,通過(guò)加密、認(rèn)證后發(fā)送給防火墻。3)防火墻收到入侵檢測(cè)的通知后立刻做出針對(duì)性的改進(jìn),動(dòng)態(tài)修改相應(yīng)的安全策略完善其訪問(wèn)控制規(guī)則,從而避免該攻擊行為的再次發(fā)生。4)入侵檢測(cè)系統(tǒng)每隔一段時(shí)間自動(dòng)升級(jí)入侵特征庫(kù)防止當(dāng)新的攻擊類型出現(xiàn)時(shí),不能及時(shí)做出響應(yīng)。
4結(jié)束語(yǔ)
本文根據(jù)防火墻和入侵檢測(cè)的特點(diǎn),提出建立防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng),這是目前網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展趨勢(shì);但由于防火墻和入侵檢測(cè)本身都是比較復(fù)雜的系統(tǒng),若將兩者結(jié)合勢(shì)必要對(duì)各自的硬件進(jìn)行升級(jí)同時(shí)聯(lián)動(dòng)中多了認(rèn)證和加密,如果在數(shù)據(jù)傳輸中被假冒和竊聽(tīng)則防火墻和入侵檢測(cè)的性能都會(huì)受到影響,今后還需在這方面展開(kāi)研究,力爭(zhēng)創(chuàng)造一個(gè)更加智能、穩(wěn)固的安全防護(hù)系統(tǒng)。
參考文獻(xiàn):
[1]曲朝陽(yáng),崔洪杰,王敬東,等.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的研究與設(shè)計(jì)[J].微型機(jī)與應(yīng)用,2012(5):48-50.
[2]江保利.防火墻與入侵檢測(cè)聯(lián)動(dòng)防御系統(tǒng)研究[J].信息技術(shù),2013(10):28-29.
[3]桂春梅,鐘求喜,王懷民.基于UML的防火墻和入侵檢測(cè)聯(lián)動(dòng)模型的研究[J].計(jì)算機(jī)工程與科學(xué),2004,26(11):25-26.
關(guān)鍵詞:信息安全防火墻過(guò)濾遷移
在信息社會(huì)中,信息具有和能源、物源同等的價(jià)值,在某些時(shí)候甚至具有更高的價(jià)值。具有價(jià)值的信息必然存在安全性的問(wèn)題,對(duì)于企業(yè)更是如此。經(jīng)濟(jì)社會(huì)的發(fā)展更要求各用戶之間的通信和資源共享,需要將一批計(jì)算機(jī)連成網(wǎng)絡(luò)才能保證電子商務(wù)活動(dòng)的正常開(kāi)展,這樣就帶來(lái)了更多的安全隱患。特別是對(duì)當(dāng)今最大的網(wǎng)絡(luò)——國(guó)際互聯(lián)網(wǎng),很容易遭到別有用心者的惡意攻擊和破壞。信息的泄露問(wèn)題也變得日益嚴(yán)重,因此,計(jì)算機(jī)網(wǎng)絡(luò)的安全性問(wèn)題就變得越來(lái)越重要。
如何來(lái)保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性呢?方法雖然很多,但防火墻技術(shù)絕對(duì)是其中最高效、實(shí)用的方法之一。在構(gòu)建安全的網(wǎng)絡(luò)環(huán)境的過(guò)程中,防火墻作為第一道安全防線,正受到越來(lái)越多用戶的關(guān)注。通常一個(gè)公司在購(gòu)買網(wǎng)絡(luò)安全設(shè)備時(shí),總是把防火墻放在首位。目前,防火墻已經(jīng)成為世界上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。那么,防火墻是如何保證網(wǎng)絡(luò)系統(tǒng)的安全,又如何實(shí)現(xiàn)自身安全的呢?本文從防火墻的概念出發(fā),詳細(xì)分析了防火墻的功能,并按其保證安全方法的不同進(jìn)行了分類:包過(guò)濾式防火墻、服務(wù)式防火墻、地址遷移式防火墻等。
一、防火墻介紹
防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)分開(kāi)的方法,是網(wǎng)絡(luò)之間一種特殊的訪問(wèn)控制設(shè)施。在Internet網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間設(shè)置的一道屏障,防止黑客進(jìn)入內(nèi)部網(wǎng),由用戶制定安全訪問(wèn)策略,抵御各種侵襲的一種隔離技術(shù)。它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),將“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息;能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間,或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作;能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻的安全技術(shù)包括包過(guò)濾技術(shù)、技術(shù)和地址遷移技術(shù)等。
二、防火墻的作用
1.作為網(wǎng)絡(luò)安全的屏障
只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,可使網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。
2.可以強(qiáng)化網(wǎng)絡(luò)安全策略
通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí),一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上,而集中在防火墻身上。
3.可以對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)
如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的??梢郧宄阑饓κ欠衲軌虻謸豕粽叩奶綔y(cè)和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等也是非常重要的。
4.可以防止內(nèi)部信息的外泄
通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。
三、防火墻的技術(shù)分類
1.包過(guò)濾技術(shù)(PacketFilter)式防火墻
包過(guò)濾是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò),依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址,以及包所使用端口確定是否允許該類數(shù)據(jù)包通過(guò)。在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上,所有往來(lái)的信息都被分割成許許多多一定長(zhǎng)度的信息包,包中包括發(fā)送者的IP地址和接收者的IP地址。當(dāng)這些包被送上互聯(lián)網(wǎng)時(shí),路由器會(huì)讀取接收者的IP并選擇一條物理上的線路發(fā)送出去,信息包可能以不同的路線抵達(dá)目的地,當(dāng)所有的包抵達(dá)后會(huì)在目的地重新組裝還原。包過(guò)濾式的防火墻會(huì)檢查所有通過(guò)信息包里的IP地址,并按照系統(tǒng)管理員所給定的過(guò)濾規(guī)則過(guò)濾信息包。如果防火墻設(shè)定某一IP為危險(xiǎn)的話,從這個(gè)地址而來(lái)的所有信息都會(huì)被防火墻屏蔽掉。這種防火墻的用法很多,比如國(guó)家有關(guān)部門可以通過(guò)包過(guò)濾防火墻來(lái)禁止國(guó)內(nèi)用戶去訪問(wèn)那些違反我國(guó)有關(guān)規(guī)定或者“有問(wèn)題”的國(guó)外站點(diǎn)。包過(guò)濾路由器的最大的優(yōu)點(diǎn)就是它對(duì)于用戶來(lái)說(shuō)是透明的,也就是說(shuō)不需要用戶名和密碼來(lái)登錄。這種防火墻速度快而且易于維護(hù),通常做為第一道防線。包過(guò)濾路由器的弊端也是很明顯的,通常它沒(méi)有用戶的使用記錄,這樣就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個(gè)單純的包過(guò)濾式的防火墻對(duì)黑客來(lái)說(shuō)是比較容易的。如“信息包沖擊”是黑客比較常用的一種攻擊手段,黑客們對(duì)包過(guò)濾式防火墻發(fā)出一系列信息包,不過(guò)這些包中的IP地址已經(jīng)被替換掉了,取而代之的是一串順序的IP地址。一旦有一個(gè)包通過(guò)了防火墻,黑客便可以用這個(gè)IP地址來(lái)偽裝他們發(fā)出的信息。通常它沒(méi)有用戶的使用記錄,這樣我們就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄;此外,配置繁瑣也是包過(guò)濾防火墻的一個(gè)缺點(diǎn)。它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò),但也不告訴你何人進(jìn)入你的系統(tǒng),或者何人從內(nèi)部進(jìn)入網(wǎng)際網(wǎng)路。它可以阻止外部對(duì)私有網(wǎng)絡(luò)的訪問(wèn),卻不能記錄內(nèi)部的訪問(wèn)。包過(guò)濾另一個(gè)關(guān)鍵的弱點(diǎn)就是不能在用戶級(jí)別上進(jìn)行過(guò)濾,即不能鑒別不同的用戶和防止ip地址盜用。所以說(shuō)包過(guò)濾型防火墻是某種意義上的安全系統(tǒng)。
2.服務(wù)式防火墻
服務(wù)是另一種類型的防火墻,它通常是一個(gè)軟件模塊,運(yùn)行在一臺(tái)主機(jī)上。服務(wù)器與路由器的合作,路由器實(shí)現(xiàn)內(nèi)部和外部網(wǎng)絡(luò)交互時(shí)的信息流導(dǎo)向,將所有的相關(guān)應(yīng)用服務(wù)請(qǐng)求傳遞給服務(wù)器。服務(wù)作用在應(yīng)用層,其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。服務(wù)的實(shí)質(zhì)是中介作用,它不允許內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行直接的通信。
用戶希望訪問(wèn)內(nèi)部網(wǎng)某個(gè)應(yīng)用服務(wù)器時(shí),實(shí)際上是向運(yùn)行在防火墻上的服務(wù)軟件提出請(qǐng)求,建立連接;理服務(wù)器代表它向要訪問(wèn)的應(yīng)用系統(tǒng)提出請(qǐng)求,建立連接;應(yīng)用系統(tǒng)給予服務(wù)器響應(yīng);服務(wù)器給予外部網(wǎng)用戶以響應(yīng)。外部網(wǎng)用戶與應(yīng)用服務(wù)器之間的數(shù)據(jù)傳輸全部由服務(wù)器中轉(zhuǎn),外部網(wǎng)用戶無(wú)法直接與應(yīng)用服務(wù)器交互,避免了來(lái)自外部用戶的攻擊。通常服務(wù)是針對(duì)特定的應(yīng)用服務(wù)而言的,不同的應(yīng)用服務(wù)可以設(shè)置不同的服務(wù)器。目前,很多內(nèi)部網(wǎng)絡(luò)都同時(shí)使用分組過(guò)濾路由器和服務(wù)器來(lái)保證內(nèi)部網(wǎng)絡(luò)的安全性,并且取得了較好的效果。
3.地址遷移式防火墻
由于多種原因,IPv4地址逐步面臨耗盡的危機(jī),而Ipv6的實(shí)際應(yīng)用還有待時(shí)日。隨著企業(yè)上網(wǎng)的人數(shù)增多,企業(yè)獲得的公共IP地址(稱全局IP地址,或者實(shí)際IP地址)可能難以和企業(yè)上網(wǎng)的實(shí)際設(shè)備數(shù)目匹配,這種現(xiàn)象具有加劇的傾向。一種可能的解決方案是為每個(gè)企業(yè)分配若干個(gè)全局IP地址,企業(yè)網(wǎng)內(nèi)部使用自定義的IP地址(稱為本地IP地址或者虛擬IP地址)。當(dāng)內(nèi)外用戶希望相互訪問(wèn)時(shí),專門的路由器(NAT路由器)負(fù)責(zé)全局/本地IP地址的映射。NAT路由器位于不同地址域的邊界處,通過(guò)保留部分全局IP地址的分配權(quán)來(lái)支持IP數(shù)據(jù)報(bào)的跨網(wǎng)傳輸。其工作原理:(1)地址綁定(靜態(tài)或者動(dòng)態(tài)的建立本地/全局地址的映射關(guān)系);(2)地址查找和轉(zhuǎn)換(對(duì)數(shù)據(jù)報(bào)中的相關(guān)地址信息進(jìn)行修改);(3)地址解綁定(釋放全局地址)。
地址遷移式防火墻實(shí)際上融合了分組過(guò)濾和應(yīng)用的設(shè)計(jì)思想,可以根據(jù)應(yīng)用的需求限定允許內(nèi)外網(wǎng)訪問(wèn)的結(jié)點(diǎn);可以屏蔽內(nèi)網(wǎng)的地址,保證內(nèi)網(wǎng)的安全性。數(shù)據(jù)報(bào)分析是NAT路由器必須做的工作(例如,修改IP數(shù)據(jù)報(bào)攜帶的高層協(xié)議數(shù)據(jù)單元中的地址信息),因此可以有選擇地提供/拒絕部分跨網(wǎng)的應(yīng)用服務(wù)。
四、小結(jié)
在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型,通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接,同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。隨著電子商務(wù)的不斷發(fā)展,防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價(jià)值。
參考文獻(xiàn):
[1]高峰許南山:防火墻包過(guò)濾規(guī)則問(wèn)題的研究[J].應(yīng)用,2003,23(6)
當(dāng)前,日益嚴(yán)重的Web威脅已是網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)。據(jù)不完全統(tǒng)計(jì),目前70%的網(wǎng)絡(luò)攻擊是發(fā)生在應(yīng)用層,而不是網(wǎng)絡(luò)層。對(duì)于這類攻擊,傳統(tǒng)網(wǎng)絡(luò)防火墻往往“心有余而力不足”。因?yàn)?,傳統(tǒng)網(wǎng)絡(luò)防火墻的防護(hù)重點(diǎn)在網(wǎng)絡(luò)層,所以,很多Web攻擊利用網(wǎng)絡(luò)防火墻開(kāi)放的端口,躲過(guò)其監(jiān)測(cè),直接針對(duì)目標(biāo)應(yīng)用程序。
隨著應(yīng)用層受到攻擊的概率越來(lái)越大,傳統(tǒng)網(wǎng)絡(luò)防火墻的不足之處開(kāi)始明顯暴露。對(duì)此,一些防火墻廠商開(kāi)始有意識(shí)地針對(duì)應(yīng)用層的威脅,在防火墻產(chǎn)品上增加一些彈性概念的特征,推出所謂的Web應(yīng)用防火墻,試圖防范這些來(lái)自應(yīng)用層的攻擊。
難以抵擋的Web威脅
有統(tǒng)計(jì)數(shù)字顯示,過(guò)去的2008年中,網(wǎng)絡(luò)安全漏洞數(shù)量比2007年增長(zhǎng)13.5%,總共發(fā)現(xiàn)了7406個(gè)全新的安全漏洞。2001-2006年間,安全漏洞平均年增長(zhǎng)率是36.5%。安全漏洞數(shù)置在2008年達(dá)到前所未有的水平。在所有的安全漏洞中,有54.9%是Web應(yīng)用安全漏洞,2008年披露的Web應(yīng)用安全漏洞中,有74.0%到年底都還沒(méi)有補(bǔ)丁。
這就是當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀,網(wǎng)絡(luò)威脅已經(jīng)轉(zhuǎn)向以Web威脅為主。雖然傳統(tǒng)網(wǎng)絡(luò)防火墻在抵御SQL注入攻擊等網(wǎng)絡(luò)層攻擊方面,發(fā)揮了重要作用,但其不足之處也越來(lái)越明顯。
首當(dāng)其沖的是無(wú)法檢測(cè)加密的Web流量。由于網(wǎng)絡(luò)防火墻對(duì)于加密的SSL流中的數(shù)據(jù)是不可見(jiàn)的,防火墻無(wú)法迅速截獲SSL數(shù)據(jù)流并對(duì)其解密,因此無(wú)法阻止應(yīng)用程序的攻擊,甚至有些網(wǎng)絡(luò)防火墻,根本就不提供數(shù)據(jù)解密的功能。
在如今大多數(shù)網(wǎng)絡(luò)防火墻中,依賴的是靜態(tài)的特征庫(kù),與入侵監(jiān)測(cè)系統(tǒng)的原理類似。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫(kù)中已有的特征完全匹配時(shí),防火墻才能識(shí)別和截獲攻擊數(shù)據(jù)。因此,普通應(yīng)用程序加密后,也能輕易躲過(guò)防火墻的檢測(cè)。
應(yīng)該說(shuō),由于體系結(jié)構(gòu)的原因,即使是先進(jìn)的網(wǎng)絡(luò)防火墻,在防范Web應(yīng)用程序時(shí),由于無(wú)法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流,也無(wú)法截獲應(yīng)用層的攻擊。由于對(duì)于整體的應(yīng)用數(shù)據(jù)流,缺乏完整的、基于會(huì)話(Session)級(jí)別的監(jiān)控能力,因此,傳統(tǒng)網(wǎng)絡(luò)防火墻很難預(yù)防新的未知攻擊。
這種情況下,企業(yè)級(jí)防火墻開(kāi)始增加統(tǒng)一威脅管理(UTM)服務(wù),如防病毒、防間諜軟件、入侵防御、內(nèi)容過(guò)濾,甚至一些防垃圾郵件服務(wù),以增強(qiáng)威脅防御功能。這就是Web應(yīng)用防火墻產(chǎn)生的原因。
基于策略聯(lián)動(dòng)防御
與傳統(tǒng)防火墻作為單一的硬件盒子不同,Web應(yīng)用防火墻不只是單一產(chǎn)品,還需要基于策略并且結(jié)合企業(yè)的Web應(yīng)用進(jìn)行具體的安全咨詢。因此,在給企業(yè)用戶部署Web應(yīng)用防火墻時(shí),安全廠商需要對(duì)企業(yè)的各種內(nèi)部應(yīng)用非常了解,比如對(duì)OA、MIS、ERP等應(yīng)用系統(tǒng)的支持。
目前,Web應(yīng)用防火墻的實(shí)際應(yīng)用并不多,用戶對(duì)其的認(rèn)知接受也在過(guò)程中。從技術(shù)上看,很多Web應(yīng)用防火墻已經(jīng)脫離了防火墻本身的范疇,可以理解為一個(gè)Web應(yīng)用交付平臺(tái)。目前已推出基于策略的防火墻產(chǎn)品基本以國(guó)外廠商為主,國(guó)內(nèi)廠商暫時(shí)少見(jiàn)類似的產(chǎn)品。
事實(shí)上,并非對(duì)Web服務(wù)器提供保護(hù)的“盒子”都是Web應(yīng)用防火墻,目前而言,一個(gè)標(biāo)準(zhǔn)的Web應(yīng)用防火墻至少需要具備四大功能:安全防護(hù),即對(duì)于針對(duì)Web服務(wù)器的攻擊要具備防御能力,同時(shí)還要對(duì)數(shù)據(jù)泄密具備監(jiān)管能力;應(yīng)用加速。除了防護(hù)以外,企業(yè)用戶在網(wǎng)絡(luò)之中,需要對(duì)應(yīng)用的運(yùn)轉(zhuǎn)效率進(jìn)行控制,比如對(duì)TCP協(xié)議的緩沖、對(duì)SSL VPN的加速、對(duì)訪問(wèn)管理的卸載等;可擴(kuò)展性。很多企業(yè)的Web服務(wù)器數(shù)量龐大,Web應(yīng)用防火墻需要對(duì)應(yīng)用交付和負(fù)載均衡提供支持;IP審計(jì)。Web應(yīng)用防火墻本身對(duì)所有流量進(jìn)行過(guò)濾的時(shí)候,本身必須具備一套策略,即哪些流量需要阻斷,哪些可以放過(guò)。這些相關(guān)的策略標(biāo)準(zhǔn)與策略模型需要對(duì)企業(yè)流行的應(yīng)用進(jìn)行支持。
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):百種重點(diǎn)期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:北大期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊