复合防火墙技术的新演进
“没有没有没有牙”通过精心收集,向本站投稿了6篇复合防火墙技术的新演进,下面就是小编整理后的复合防火墙技术的新演进,希望大家喜欢。
篇1:复合防火墙技术的新演进
以往的复合防火墙主要是通过将各类技术(如包过滤、应用网关、服务代理和状态检测等)组合来形成,最新的复合防火墙技术则从软件、系统防护的层面上提出,因此更符合现代网络安全市场的要求,
目前的防火墙主要有包过滤型、应用网关型、服务代理型和状态检测型等几种,其中包过滤型防火墙最为普遍。许多行业用户除希望防火墙产品具有一般的防护功能外,还希望它能提供其他功能,如防病毒、入侵检测、认证、加密、远程管理、代理等。为此,许多厂商提出了复合防火墙的概念:将多种应用功能组合在一起形成功能强大的复合防火墙。现在市面上绝大多数复合防火墙都只是技术复合而成,但随着网络应用的不断增多和变化,传统的复合防火墙在许多场合已不能满足用户的要求,因为它是以牺牲效率为代价,这可能是它最大的弊病,也是用户不能接受的。有鉴于此,一些厂商便提出了新型复合防火墙的概念,它包括软件、系统防护2个层面,是能满足现代网络安全需求的技术。
防火墙是软件
新型的复合型防火墙使用了状态检测包过滤、应用代理等多种先进的安全技术。先进的状态包过滤技术可以有效地对信息流进行安全过滤,避免了用户的非法登录,
采用多穴主机结构提高了对网络的保护能力,支持多网络端口以及多LAN的管理实现了内部私有网络的安全划分。当然,动态NAT功能和端口重定向也是复合型防火墙具备的。内置的入侵检测系统能够根据设定的规则检测出端口扫描、源路由攻击、IP碎片攻击及DoS、DDoS等多种攻击行为,保障了网络安全。另外,通过网络接口、IP地址、协议进行带宽管理可以实现对IP地址及特殊服务进行带宽控制,确保带宽合理分配。一些新型复合防火墙,如首创前锋的红旗防火墙还具有基于Web的管理机制,不需专门的管理软件就可在不同地方进行管理控制
防火墙最终是系统
采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。防火墙的配备需要相当的费用,如何以最小的费用来最大限度地满足企业网用户的安全需求是企业网决策者应该周密考虑的问题。
从另外一个层面来说,即使是最先进的防火墙,如果没有良好的管理,其本身也有很大的危险性,比如对不经过防火墙的入侵,防火墙是无能为力的。同时,硬件方式构建的防火墙不够灵活,所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够的,应该根据实际需求采取相应的安全策略,而这不仅仅是软件或者硬件所能完成的,它还需要优良的权限设计和复杂细心的管理,这些都需要做大量的需求分析、按需定制以及持续的售后培训才能达到,所以许多用户常常将防火墙的采购直接放入一个系统集成方案中,这样可以通过协同工作来降低包括采购、整合和服务的成本。
篇2:防火墙技术
一、防火墙原理
防火墙(FireWall)成为近年来新兴的保护计算机网络安全技术性措施,它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。
作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
二、防火墙的种类
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。
1 网络级防火墙:
一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
2 应用级网关:
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。 在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙,
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。
3 电路级网关:
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。
4 规则检查防火墙:
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
三、使用防火墙
在具体应用防火墙技术时,还要考虑到两个方面:
1、防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。
2、防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。并且,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。
总之,防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。
篇3:防火墙:深度包检测技术的演进历程和技术反思防火墙技术
从最简单的分组过滤防火墙到应用层网关,自诞生之日开始,防火墙日益承担起越来越多的网络安全角色,近年来,一项创新的防火墙技术正广泛的获得应用,这就是被称为深度包检测的dip(deep packet inspection)技术。
历史回顾
在深入了解深度包检测技术之前,我们首先来回顾一下防火墙检测技术发展的历史。这些检测技术并没有随着科技的前进而消失。相反,正是以这些技术为基础,才发展出了更多先进的功能元素。
最早出现并获得广泛应用的分组过滤式防火墙可以被称为第一代防火墙。最基本的分组过滤防火墙会根据第三层的参数(如源ip地址和目标ip地址)检查通过网络的数据包,再由内建在防火墙中的分组过滤规则依据这些参数来确定哪些数据包被放行,哪些数据包被阻隔。之后又出现了应用层网关防火墙,这种防火墙经常被称为基于代理服务器的防火墙,因为它会代表各种网络客户端执行应用层连接,即提供代理服务。应用层网关的工作方式与分组过滤技术有很大的不同,其所有访问都在应用层(osi模型的第七层)中控制,并且也没有任何网络客户端能直接与服务端进行通信,如图1所示。
图1 防火墙检测原理
而在目前,得到最广泛应用的主流过滤技术是状态检测(stateful inspection)。它的工作方式类似于分组过滤防火墙,只是采用了更复杂的访问控制算法。状态检测型防火墙和分组过滤防火墙实质上都是通过控制决策来提供安全保护的,只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外,还可以利用网络连接及应用服务的各种状态来执行决策。另外,所执行的决策也不仅限于数据包的放行与阻隔,类似加密这样的处理也可以作为一种控制决策被执行,如图2所示。
图2 状态检测
状态检测型防火墙不仅可以根据第三层参数决定有关信息传输是放行还是拒绝,还能够理解连接的当前状态(例如相关连接是处于建立阶段还是数据传输阶段)。防火墙处理的所有数据传输都会被传送到一个状态检测引擎,其中汇集了相应的访问规则。
通过维护一个连接状态表,标识出通过防火墙的每条活动连接以及与之关联的第三层参数。如果连接状态表中确实含有一条连接的记录,状态检测引擎才允许该连接的返回信息通过。而且在连接建立之后,防火墙可以通过检查tcp顺序号这样更高级的连接属性,来验证相关的信息传输确实与基本的第三层参数匹配,是合法且没有欺诈的。
就状态检测型防火墙与应用层网关相比较而言,由于状态检测引擎了解应用层的情况,因此状态检测型防火墙所具有的安全保护水平与应用层网关基本相同,且状态检测型防火墙更加灵活,比应用层网关具有更好的扩展能力。因为它可以在应用程序一级保证通信的完整性,而不需要代表客户机/服务器在连接的两端对所有连接进行代理处理。所以说,利用状态检测技术设计的防火墙既提供了分组过滤防火墙的处理速度和灵活性,又兼具应用层网关理解应用程序状态的能力与高度的安全性。
深度包检测技术综述
通常,深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷。虽然只检测包头部分是一种更加经济的方式,但是很多恶意行为可能隐藏在数据载荷中,通过防御边界在安全体系内部产生严重的危害。因为数据载荷中可能充斥着垃圾邮件、广告视频以及企业所不欣赏的p2p传输,而各种电子商务程序的html和xml格式数据中也可能夹带着后门和木马程序在网络节点之间交换,
所以,在应用形式及其格式以爆炸速度增长的今天,仅仅依照数据包的第三层信息决定其是否准入,实在无法满足安全的要求。
深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集,决定如何处理数据包。举例来说,检测引擎将数据包载
关 键 字:防火墙
篇4:新苏南模式演进
新苏南模式演进
苏南地区位于太湖之滨、长江三角洲中部,紧邻上海,水陆交通便利,苏南地区还是近代中华民族资本主义工商业的发祥地.
作 者:宋宇文 作者单位: 刊 名:上海经济 英文刊名:SHANGHAI ECONOMY 年,卷(期): “”(2) 分类号: 关键词:篇5:防火墙技术及其体系结构研究
摘要: 本文首先指出了计算机网络发展过程中的安全问题,然后给出了网络安全可行的解决方案――防火墙技术,同时分析了实现防火墙的几种主要技术,并讨论了构筑、配置防火墙的几种基本的体系结构。
关键词:防火墙 体系结构 网络安全 外部网络 内部网络
1概述
随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的
开放性、共享性、互连程度也随着扩大。政府上网工程的启动和实施,电子商务(electronic commerce)、电子货币(electronic currency)、网上银行等网络新业务的兴起和发展,使得网络安全问题显得日益重要和突出。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,
阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之,防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
2防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的.数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有: 数据包过滤, 应用网关和代理服务等。
2.1 包过滤技术
包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。
例如,用于特定的因特网服务的服务器驻留在特定的端口号的事实(如TCP端口23用于Telnet连接),使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的,并可进一步组成一套数据包过滤规则。
包过滤技术作为防火墙的应用有三类: 一是路由设备在完成路由选择和数据转发之外, 同时进行包过滤, 这是目前较常用的方式; 二是在工作站上使用软件进行包过滤, 这种方式价格较贵; 三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。
2.2应用网关技术
应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中, 应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户。
2.3代理服务器技术
代理服务器(Proxy Server)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。
包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便,缺点是审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难。一旦判断条件满足, 防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。代理技术则能进行安全控制又可以加速访问,能够有效地实现防火墙内外计算机系统的隔离,安全性好,还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。
一些协议(如Telnet、SMTP)能更有效地处理数据包过滤,而另一些(如FTP、Gopher、WWW)能更有效地处理代理。大多数防火墙将数据包过滤和代理服务器结合起来使用。
篇6:防火墙技术及其体系结构研究
3.1 双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。如图1.
3.2 被屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图2.在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
图1 双重宿主主机体系结构
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。
图2 被屏蔽主机体系结构
数据包过滤容许堡垒主机开放可允许的连接(什么是“可允许连接”将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:
・允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由
数据包过滤的服务)
・不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)
图2 被屏蔽主机体系结构
3.3被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”.为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。如图3.
图3 被屏蔽子网体系结构
4结束语
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
参考文献
1、Karanjit S,Chirs H.Internet Firewall and Network Security,New Riders publishing,1996
2、Steven M B, William R C. Network firewalls. IEEE Communications, 1994(9)
3、林晓东,杨义先。 网络防火墙技术。 电信科学, 1997(13)
4、黄允聪,严望佳。 防火墙的选型、配置、安装和维护。 清华大学出版社,1999
作者简介:黄智祥,男,合肥工业大学硕士研究生,主要研究方向:计算机网络与分布式数据库
叶震,男,合肥工业大学微机所副研究员,主要研究方向:计算机网络与多媒体技术
孙志勇,男,合肥工业大学博士研究生,主要研究方向:计算机网络与信息系统
【复合防火墙技术的新演进】相关文章:
10.新媒体技术的分类研究论文
文档为doc格式
