防火墙是建立在现代通信网络技术和信息安全技术之上并是一种应用最为广泛的安全技术。在构建网络安全环境的过程中,防火墙能够有效地限制了数据在网络内外的自由流动,它的网络安全保障作用已受到人们的广泛关注。
提到防火墙,大多数人都会认为它是一个放置在网络中,去控制流量在网络分段中穿越的设备。实际上,防火墙也可以在系统本身内部实施,比如微软的因特网连接防火墙(icf),也被称为基于主机的防火墙。从根本上讲,这两种类别的防火墙有一个共同点目的:
提供一种方法去强制执行接入访问控制策略。防火墙最简单的定义就是在两个网络间执行访问控制策略的一个或一组系统,它将不可信任网络同可信任网络隔离开。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。
防火墙的分类。
依据防火墙的防护措施,大致可以将防火墙分为包过滤防火墙、状态检测防火墙、应用层网关以及网络地址转换4种类型。
从形态上来分类,防火墙可以分为软件防火墙和硬件防火墙。软件防火墙提供防火墙的应用软件,需要安装在一些公共的操作系统上,如ms windows或者unix等,此类防火墙包括checkpoint防火墙等。硬件防火墙是将防火墙安装在专用的硬件平台和专有操作系统(有些硬件防火墙甚至没有操作系统)之上,以硬件形式出现,有的还使用一些专有的asic硬件芯片负责数据包的过滤。
这种方式可以减少系统的漏洞,性能更好,是比较常用的方式,如cisco的pix防火墙。
1. 包过滤防火墙。
包过滤防火墙是最简单也是最常使用的一种防火墙,包过滤防火墙又称为筛子路由器。它是利用过滤分包的方式来判定该分包是否得以进入内部网络。判定的准则依据管理者所制定的安全策略,逐一检查网络分装包头内的数据是否符合管理者制订的安全策略,检查的项目包含:
源ip地址;目的ip地址;源/目的端口;所使用的协议。
由于只有符合安全准则的特定分包才可以彤过防火墙,因此可以避免不受信赖的分包入内部网络。包过滤防火墙可以应用在路由器或网关上。这种方式的防火墙其优点是应用简单且速度快。
2. 状态检测防火墙。
状态检测防火墙又称为动态封包检测防火墙,它与包过滤防火墙类似,但最大的不同之处是它不仅检查封包的报头内容,而且会去检查封包传送的前后关联性这种类型的防火墙会建立一个连接状态表,如下表类型:
连接状态表会建立起每一个数据流中封包的前后关联,每一笔记录代表一个已建立的连接,之后根据前后关联来检查每一个新收到的封包,并判断此封包是新连接还是现有连接的延续。这种形式的防火墙可以防止黑客将一个攻击行为分散到好几个不同的封包来传送,以躲过防火墙的侦测。
3. 应用层网关。
http、telnet、smtp、及ftp等都是应用层上的通信服务,这些服务提供了网络上彼此沟通的协议,但也成了黑客攻击计算机网络的主要管道。因此,对于这些服务用户必须严加看管,并避免信息在两个网络直接传送而遭到攻击。
应用层网关防火墙的主要目的在于防止这类的攻击发生,它针对每一种不同的网络协议均利用**程序来模拟网络连接的源和目的端。当内部用户与外部网络间要进行通信连线时,双方不直接进行封包交换,而是将之连接到一个**者或中继站来完成封包交换,以此来避免直接收到封包。
所有利用http、ftp、smtp、及telnet协议来传送的封包都会通过防火墙的**程序传送,进而降低系统被外部入侵者破坏的风险。然而,这种类型的防火墙却存在一些潜在的问题,所有封包的传输都是通过此防火墙,如此一来防火墙就容易成为网络系统中的瓶颈,一旦网络流量过大,网络效率会变差。此外,若防火墙出状况的话,所有的网络连接也将中断。
4. 网络地址转换。
网络地址转换防火墙的主要功能是将内部网络服务器的主要位置隐藏起来,以避免成为黑客下手攻击的目标。这种类型的防火墙的主要功能是将内部服务器所送出封包上的ip转换到一个外币的合法地址,并维护一个转换表来记录所有转换的关联。
每一个送出封包的ip均为一个经转换后的外部地址,隐藏了服务器的真正ip地址。回复时也是利用转换过的外部地址来传递,nat防火墙会根据转换表的内容将地址转换成真正的内部地址送给内部服务器。这种类型的防火墙有两个优点:
一是可以解决合法ip地址不足的缺点;另一个是将内部的ip地址隐藏起来,以免遭到攻击。
上述的这4种防火墙措施都可以相互搭配使用。例如,应用层防火墙可以搭配状态防火墙使用,网络地址转换防火墙也可以搭配静态包过滤防火墙来使用。
传统防火墙的缺陷。
随着互联网的发展,网络安全威胁也在不断发生变化,传统防火墙暴露了三大本质缺陷。
安全方面的缺陷:无法对应用、业务和用户完全识别并加以控制,只能依据简单的端口和协议进行控制。web2.
0时代的新型威胁更多依赖僵尸网络和面向应用的复杂行为,企业必须依赖其他产品的部署以局部缓解现有问题。
流控方面的缺陷:无法对网络互连及业务流量进行智能化的细粒度控制和优化。企业需要在dslgisdn或其他多种可选接入链路之间自动切换或自由组合;需要能根据业务的优先级,高效实现链路的失效备援机制;需要识别应用、用户、群组、网络或链路状态,以实现组合和优化。
运维管理的缺陷:面对分布式的网络环境,传统防火墙没有相应的策略管理和控制,导致运维成本比较高。
防火墙技术的发展趋势。
随着新型网络技术的出现,防火墙技术呈现以下新的发展趋势。
1) 目前防火墙在安全性、效率和功能方面的矛盾还是比较突出的。防火墙的技术结构,往往是安全性高效率低,或者效率高就是以牺牲安全为代价的。未来的防火墙要求进一步提高安全性和效率。
使用专门的芯片负责访问控制功能、设计新的防火墙的技术构架师未来防火墙的方向。
2) 数据加密技术的使用,使合法访问更安全。
3) 混合使用包过滤技术、**服务技术和其他一些新技术。
4) 目前,ipv4的地址已经被分配完了,新的ip协议ipv6的应用将越来越广。ip协议的变化将对防火墙的建立和运行产生深刻的影响。
5) 分布式防火墙。现在的防火墙一般安放在网络的边界,并假设内部网络中的所有主机是可信任的,所有的外部网络主机上不可信任的。但是攻击信任主要从内部发起,所以不是所有的内部主机都是可以信任的,因此提出了分布式防火墙的概念。
分布式防火墙技术是新的防火墙技术并已在逐渐兴起,在国外一些大的网络设备开发商中得到了实现,由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受。分布式防火墙是指那些驻留在网络中的主机,如服务器和台式机,并对主机系统自身提供安全防护的软件产品;从广义来讲,分布式防火墙是一种新的防火墙体系结构,它包含如下产品。
网络防火墙:即传统的边界防火墙,用于内部网与外部网之间进行访问控制。包括内部网中各个子网之间的防火墙,这种防火墙需支持内部网可能有的非ip协议。
主机防火墙:对网络中的服务器和台式机进行防护,需要给每一台需要保护的主机安装防火墙,这些主机的物理位置可能在内部网中,也可能在内部网外,如托管服务器或移动办公的便携机。
中心管理:边界防火墙只是网络中的单一设备,管理上单一的。对分布式防火墙来说,每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的,安全策略的颁发及日志的汇总都是中心管理应具备的功能。
中心管理是分布式防火墙系统的重要特征之一。
6) 对数据包的全方位的检查。不仅包括数据包头信息,而且包括数据包的内容信息,查出恶意行为,即阻止通过。
近年来云计算在it行业变得非常热门,随着对云计算的深入研究,下一代防火墙可能将是一个安全、低成本、可集中性管理的私有安全云的防护,是一种对于网关的防护,在当今整个网点全网络的安全趋势下,传统防火墙包括网关安全(utm)已经做不到安全防护了,基于云计算的防火墙可以更好的做好整体安全防护。
网络信息安全技术概论(第二版)。吕林涛主编,科学出版社出版。
信息与网络安全概论(第三版),黄明祥林永章编著,清华大学出版社出版。
防火墙基础。陈麒帆译,人民邮电出版社出版。
网络安全作业
1 网络安全的目标时什么?常见的网络安全威胁有哪些?分析其原因,提出解决对策。2 简述数字签名的基本原理,数字签名与手工签名的区别是什么。3 对于一个刚装完系统的新机,在联网应用之前,你将如何对其进行管理及安全防护装置。网络安全作业 答 网络安全的目标是通过各种技术与管理手段实现网络信息系统的可控性...
网络安全作业
日期 2016年11月25日地点 现代教育中心204 姓名 马迪学号1411050116 实验环境 1 操作系统 microsoft windows 2000 professional with sp4 ubuntu jeos 8.04.3 lts 2.6.24 24 virtual 2 应用软件 ...
网络安全作业
一 公司简介 伟达 中国 投资 是一家全球500强的跨国能源集团在华的独资企业,从事太阳能,电力,石油,化工,相关销售等项目等的公司。总部设在上海外滩,上海总部有200名员工,并在北京拥有1家分公司,员工约100人。伟达投资的组织结构 上海总部 200人 行政部 人力资源部 管理部 公共关系部 固定...