您好, 访客   登录/注册

浅谈防火墙技术

来源:用户上传      作者: 谢 璞

  一、前盲
  
  随着计算机和网络在社会中的应用的不断增多,计算机和网络安垒技术正变得越来越重要,部门能够使用的安全设备和软件的不断增多,大量数据纷纷涌人事件日志,致使网络管理员的工作难度越来越高,负担越来越重。
  
  二、防火墙技术
  
  防火墙是一个由软件和硬件设备组合而成,在网络之间实施访问控制的一个系统,通过执行访问控制策略,限制两个网络之间数据的自由流动,通过控制和检测网络之间的信息交换和访问行为实现对网络安全的有效管理。
  网络防火墙是加强网络之间访问控制的设备,防止外部网络用户以非法手段通过外部网络进人内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
  1.防火墙一般有三个特性:
  所有的通信都经过防火墙
  防火墙只放行经过授权的网络流量
  防火墙能经受的住对其本身的攻击
  我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器(Route+ACL),一台多个网络接口的计算机,服务器等,被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。
  2.防火墙将保护以下三个主要方面的风险:
  机密性的风险
  数据完整性的风险
  用性的风险
  3.防火墙的主要优点如下:
  防火墙可以通过执行访问控制策略而保护整个网络的安垒,并且可以将通信约束在一个可管理和可靠性高的范围之内。
  防火墙可以限制某些特殊服务的访问。
  防火墙功能单一,不需要在安全性、可用性和功能上做取舍。
  防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长安全响应的周期。
  4.防火墙也有许多弱点:
  不能防御已经授权的访问,以及存在于网络内部系统间的攻击。
  不能防御合法用户恶意的攻击,以及社交攻击等非预期的威胁。
  不能修复脆弱的管理措施和存在问题的安全策略。
  不能防御不经过防火墙的攻击和威胁。
  5.根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换一NAT、代理型和监测型。
  包过滤型
  包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单、实用和成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
  包过滤技术也有明显的缺陷。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵人,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
  网络地址转化―NAT
  网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
  代理型
  代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。其优点是安垒性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
  监测型
  监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
  监测型防火墙由于实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙:基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安垒性需求,同时也能有效地控制安全系统的总拥有成本。
  6.防火墙的不足
  虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文伴,以及无法防范数据驱动型的攻击。
  这样各单位均通过其他手段进行安全强化,如:入侵监测、杀毒软件、网络监控、网络认证等。
  虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次。不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
  
  三、结束语
  
  随着事业的发展,各单位均意识到网络安全的重要,逐步加强了网络的监管与防护工作,在备自的网络边界架设防火墙,定制策略进行边界防护,防止外部网络对内部网络的攻击,起到一定的隔离作用。但是网络的安全、设备的安全不是单纯的增加设备或是安装软件就能万事无忧了,更重要的还是使用人员的意识和素质,对于网络安全来说,采取手段是必要的,但更重要的是人员的管理。


转载注明来源:https://www.xzbu.com/2/view-425924.htm