防火墻是安裝在內(nèi)部網(wǎng)和外部網(wǎng)之間的一種訪問控制設備。從圖1可以看出,它是不同網(wǎng)絡安全域信息的唯一出入口,能根據(jù)個人及企業(yè)的不同安全需求來控制出入網(wǎng)絡的信息流。從物理上講,各站點防火墻的物理實現(xiàn)方式有所不同,通常來說它是一組硬件設備包括:路由器、主機或是路由器、計算機和配有適當軟件的網(wǎng)絡的多種組合。從邏輯上講防火墻是限制器、分離器、分析器。
1、防火墻的現(xiàn)狀
1.1 防火墻現(xiàn)階段主要作用
(1)增強網(wǎng)絡安全性
允許網(wǎng)絡管理員定義一個中心來防止非法訪問,通過對服務進行安全監(jiān)測,將安全性弱的服務過濾掉,從而抗擊來自各種路線的攻擊。因此,防火墻可以極大地提高網(wǎng)絡安全性,降低對內(nèi)網(wǎng)的安全風險。
(2)統(tǒng)計內(nèi)部存取、監(jiān)控和訪問信息
防火墻記錄有關外網(wǎng)的訪問請求并統(tǒng)計相關數(shù)據(jù)。如果防火墻發(fā)出警報,則還提供防火墻和網(wǎng)絡是否受到試探和攻擊的細節(jié)。對網(wǎng)絡數(shù)據(jù)的統(tǒng)計也可作為相關風險分析。
(3)安全性集中
通過配置防火墻安全方案,將一個子網(wǎng)內(nèi)的所有安全軟件集中存放在該系統(tǒng)中,與將分散的網(wǎng)絡安全方案相比,防火墻集中式管理更經(jīng)濟、便于維護升級。
(4)增強個人隱私保護
因為防火墻可以封裝域名服務系統(tǒng),從而使Internet外部主機無法獲取站點和Ip地址,進而使相關網(wǎng)站站點可防止DNS域名服務和finger獲取合法用戶有用信息。
1.2防火墻的設計原理
(1)數(shù)據(jù)包過濾,包過濾是在網(wǎng)絡層根據(jù)訪問控制表(Access Control Table)(如端口to+目的地址、accept from+源地址、端口+采取的動作、NAT地址轉(zhuǎn)換、deny拒絕等等)進行包選擇的,它可以用路由器完成。它是根據(jù)包的源端口、目的端口、源IP地址、目的IP地址、封裝協(xié)議類型(TCP、UDP、ICMP等)、ICMP報文類型等報頭信息(如圖2、圖3)來判斷是否允許包通過和過濾用戶定義的內(nèi)容,如IP地址。
如果數(shù)據(jù)包滿足該過濾規(guī)則,則允許通過,否則將此數(shù)據(jù)包所要到達的網(wǎng)絡物理上被斷開,起到了保護內(nèi)部網(wǎng)絡的作用。防火墻系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包,與應用層無關,包過濾器的應用非常廣泛,因為CPU用來處理包過濾的時間可以忽略不計。數(shù)據(jù)包過濾防火墻優(yōu)點:邏輯簡單,網(wǎng)絡性能好便于路由器安裝;處理包速度比代理服務器快;實現(xiàn)包過濾比較經(jīng)濟,因為這些特點都包含在標準的路由器軟件上;透明性好,不必對用戶進行特殊的培訓和安裝特定的軟件。缺點:數(shù)據(jù)包的源地址、目的地址以及IP端口號都在報頭容易被假冒和竊聽;因為定義數(shù)據(jù)包過濾器比較復雜,因而維護比較困難;隨著過濾器數(shù)目的增加,路由器的吞吐量會下降。
(2)應用層代理,應用層代理防火墻(如圖4)不允許網(wǎng)絡直連,通常分為透明代理(Transparent Proxy)、傳統(tǒng)代理(Traditional Proxy)。它是接收來自內(nèi)部網(wǎng)絡特定用戶應用程序的通信,然后建立于公共網(wǎng)絡服務器的單獨連接。網(wǎng)絡內(nèi)部的用戶不直接與外部的服務器通信,所以服務器不能直接訪問內(nèi)部網(wǎng)的任何一部分。因此無論內(nèi)網(wǎng)主機還是外網(wǎng)主機都意識不到它們其實是在和防火墻通信。透明代理與傳統(tǒng)代理工作原理相似,不同的是傳統(tǒng)代理需要在客戶端設置代理服務器。一般常見的應用程序有HTTP、SMTP、IRC、NET、FTP、NNTP、IMAP。應用層代理的優(yōu)點:有強大的日志記錄功能,能審查完整的網(wǎng)絡數(shù)據(jù);應用防火墻可以直接驗證用戶身份控制遠程登錄命令。缺點:每個協(xié)議都需要單獨的代理程序,因此它對新的網(wǎng)絡程序或網(wǎng)絡協(xié)議的支持很有局限性;在對包解析會耗費大量CPU資源,因此會形成網(wǎng)絡性能障礙。
1.3防火墻的局限性
防火墻不能解決來自內(nèi)部網(wǎng)絡的安全問題,而且如果網(wǎng)絡管理員對防火墻的不當配置,也會使內(nèi)部網(wǎng)面臨安全威脅。防火墻也不能防止受病毒感染的文件的傳輸因此需要制定一套嚴格的規(guī)章制度,降低安裝黑客程序的可能性,當然盡管有一些防火墻提供了病毒檢測功能,病毒還有可能傳入被保護網(wǎng)絡。同時它也不能防范不經(jīng)過防火墻的攻擊,如果安全網(wǎng)絡可以正常撥號連接,那么黑客可以對準許的訪問端口對服務器進行漏洞攻擊或者進行騙取用戶信息的釣魚攻擊。作為網(wǎng)絡“屏障”,防火墻也要進行冗余配置避免系統(tǒng)或人為的損壞。
2、防火墻技術的展望
2.1 防火墻的發(fā)程目標
我認為現(xiàn)階段防火墻技術已經(jīng)引起了個人和企業(yè)的廣泛關注,隨著網(wǎng)絡安全技術的不斷提高,防火墻技術會朝著廣度和深度雙向發(fā)展,如何使防御即主動又有深度,如何使其加大網(wǎng)絡邊界防御力度進行研發(fā)分布式和嵌入式防火墻,如何從性能上使防火墻處理速度更快,硬件化、小型化提防火墻“單兵作戰(zhàn)”能力,將成為日后網(wǎng)絡安全系統(tǒng)升級的重要議題。
2.2 未來防火墻的關鍵技術
(1)高速防火墻
通過采用具有微碼編程的網(wǎng)絡處理器技術,不但可以各取所需對系統(tǒng)進行及時升級,還能很好地兼容IPV6,而且它還集成了很多硬件協(xié)處理單元,使高速檢測別的更容易。目前,大多采用ACL算法的CPU防火墻,受到應用協(xié)議的不斷增加等技術限制,在對應用層進行高速檢測上還沒有更好的方法。
(2)單向防火墻
由于現(xiàn)在網(wǎng)絡需求的不斷增加,防火墻也有向?qū)I(yè)化、硬件化發(fā)展的趨勢。單向防火墻是為了讓信息單向流動,只能從外網(wǎng)流入內(nèi)網(wǎng),而不能從內(nèi)網(wǎng)流出到外網(wǎng),從而達到一定的保密功能。當然如果將其固化到硬件中,不但會提高防火墻的執(zhí)行速度,也會大大降低防火墻導致的網(wǎng)絡延時。
(3)防病毒、黑客攻擊
由于TCP/IP協(xié)議中的漏洞,岡此防火墻很難防御拒絕服務攻擊。如IP欺騙和序列號預測這樣的簡單攻擊,已經(jīng)使得成為防火墻防御種類的一部分。而且如果防火墻嵌入智能芯片則會更有效的識別惡意數(shù)據(jù)流量和阻斷惡意數(shù)據(jù)攻擊且切斷惡意病毒的流量攻擊。如果防火墻可以基于MAC設計訪問控制機制的話,則可以更好的支持MAC過濾,從而將其訪問控制發(fā)展到數(shù)據(jù)鏈路層,這樣便可防止MAC欺騙。
(4)區(qū)域聯(lián)防技術
隨著非法手段的提升,防火墻主機面臨越來越大的安全威脅。因此升級防火墻的系統(tǒng)結(jié)構刻不容緩。新型的防火墻一定要是分布式的它需要結(jié)合主機型防火墻和個人計算機型防火墻及傳統(tǒng)防火墻功能,取長補短,全方位的優(yōu)化防火墻的防衛(wèi)結(jié)構。其目的是利用各區(qū)域的加強防衛(wèi)動作來化解對手的攻擊行為。各終端設置相應的防護功能,彼此之問相互防護,從而保護個人和企業(yè)的業(yè)務安全。
(5)深度檢測
因為隨著專門針對應用層的WEB攻擊現(xiàn)象的增多,使得狀態(tài)檢測防火墻有效性越來越低。深度檢測防火墻,將狀態(tài)檢測和應用防火墻技術結(jié)合處理應用程序的流量,使其能夠?qū)?shù)據(jù)流量迅速完成網(wǎng)絡層級別的分析,對允許的數(shù)據(jù)流,根據(jù)應用層級別的信息,對負載做進一步?jīng)Q策。深度檢測特征有正;粎f(xié)議一致性;雙向負載檢測;應用層加密/解密。
3、總結(jié)
目前,防火墻技術已經(jīng)引起了人們的普遍關注,隨著因特網(wǎng)基礎技術的發(fā)展,也要求防火墻技術不斷更新。只有對過去和現(xiàn)在防火墻系統(tǒng)面臨的問題作充分的了解和總結(jié),才能更高的把握住網(wǎng)絡安全的趨勢,從而全面、深度的提高防火墻技術,在攻防對弈的局面上占據(jù)主動地位,更好的維護個人及企業(yè)信息的安全,為人類造福。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:防火墻技術現(xiàn)狀與展望
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121511779.html