防火墻技術論文范文
前言:我們精心挑選了數篇優質防火墻技術論文文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
關鍵詞:網絡安全;防火墻
1從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2從防火墻技術分
防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packetfiltering)型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務采取特殊的處理方式,適用于所有網絡服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火墻多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火墻技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。
(2)應用(ApplicationProxy)型。
應用型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編制專門的程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。
在型防火墻技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型防火和第二代自適應防火墻。
類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。
另外型防火墻采取是一種機制,它可以為每一種應用服務建立一個專門的,所以內外部網絡之間的通信不是直接的,而都需先經過服務器審核,通過后再由服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
防火墻的最大缺點是速度相對比較慢,當用戶對內外部網絡網關的吞吐量要求比較高時,防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的服務,在自己的程序為內、外部網絡用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。
3從防火墻結構分
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統的防火墻,獨立于其它網絡設備,它位于網絡邊界。
這種防火墻其實與一臺計算機結構差不多(如下圖),同樣包括CPU、內存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡,因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和服務器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要具備非常高的穩定性、實用性,具備非常高的系統吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。
隨著防火墻技術的發展及應用需求的提高,原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統,這種防火墻,俗稱“分布式防火墻”。
原來單一主機的防火墻由于價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業網絡投資,現在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻,大大降低了網絡設備購買成本。
分布式防火墻再也不只是位于網絡邊界,而是滲透于網絡的每一臺主機,對整個內部網絡的主機實施保護。在網絡服務器中,通常會安裝一個用于防火墻系統管理軟件,在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統邊界防火墻那樣,僅對外部網絡發出的通信請求“不信任”。
4按防火墻的應用部署位置分
按防火墻的應用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統的,它們于內、外部網絡的邊界,所起的作用的對內、外部網絡實施隔離,保護邊界內部網絡。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統,由若干個軟、硬件組件組成,分布于內、外部網絡邊界和內部各主機之間,既對內、外部網絡之間通信進行過濾,又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
5按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用所產生的延時也越小,對整個網絡通信性能的影響也就越小。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
參考文獻
[1]孫建華等.網絡系統管理-Linux實訓篇[M].北京:人民郵電出版社,2003,(10).
第2篇
1.1需精確地評估防火墻的失效狀況
任何軟件都有一定的生命周期,防火墻也有一定的生命周期,我們要正確的評估防火墻的使用效能,一旦防火墻失效,對網絡安全造成的后果無法想象。防火墻使用具有一定的級別,在被外界病毒等侵入時候具有一定的防御,我們在設置防火墻的功能時候要具有一定的科學性,當防火墻受到攻擊時候,能自動啟動防御功能,因此,我們在設置防火墻功能時候,要正確檢測防火墻是否失效功能要開啟,達到防火墻失效狀態正常評估。
1.2正確選擇、科學配置防火墻
防火墻功能的科學配置,是對網絡安全防御的重要保障,防火墻技術是網絡安全技術基于防火墻網絡安全技術的探究文/羅鵬 周哲韞進入新世紀以后,計算機網絡技術發展迅速,尤其Internet的發展應用,計算機網絡安全越來越重要,尤其一些政府部門網絡,科研等機構網絡如被黑客或病毒侵入,后果是非常嚴重的,在許多網絡安全技術應用中,防火墻技術室比較成熟的,本論文是從不同層面闡述防火墻網絡安全技術的應用。摘要中關鍵技術之一,在配置防火墻時候,要正確選擇,科學配置。防火墻技術是計算機網絡技術人才需要專門的培訓與學習,才能進行科學的配置,在配置防火時候具有一定的技巧,在不同環境,不同時期具有一定的應用,因此正確科學的配置防火墻沒有通式,必須在根據環境狀態下進行科學合理的配置,這樣才能使防火墻技術成為網絡安全技術中最后一道保障。
1.3有賴于動態維護
防火墻技術在網絡中應用,不是把防火墻軟件在計算機中安裝以后,進行一些配置以后就完事,管理員要對防火墻實時進行監控,看防火墻是否出現一些異常狀況,管理員還要與廠商經常保持密切聯系,是否有更新,任何在完美事物都有兩面性,要及時更新,彌補防火墻漏洞,防止計算機網絡被更新,因此防火墻技術是一種動態實時更新技術。
1.4搞好規則集的檢測審計工作
網絡安全技術最大的危險是自己,網絡管理員不能出現一點大意,在防火墻技術的應用過程中,要適時進行更新,彌補漏洞,還要定期進行一定的檢測和審計工作,用來評估網絡現在的安全性,以及在未來一段時間網絡的安全性,做好正確的評審工作,是網絡能長時間保持穩定的重要條件,實時檢測,實時維護是網絡安全的基本法則。
2防火墻網絡安全技術的實現方案
2.1設置內部防火墻,編制可靠的安全方案
在網絡安全防范的過程中,內部局域網一定要重視,當局域網中一臺機器出現病毒狀況,可能瞬間整個網絡出現癱瘓狀態,因此利用防火墻技術作為網絡安全的檢測,內部局域網防火墻要進行科學合理的設置,制定一個可行的安全方案,對整個局域網的網絡進行一定的保障。內部防火墻進行一定的分段,每個主機要有標準,但有一個統一的標準,標準時同樣的,這樣對網絡的檢測等有一定的依據,增強了網絡的安全性。
2.2合理設定外部防火墻,防范外網攻擊
經外部防火墻的設定,把內網同外網相分開,可防范外網攻擊行為。外部防火墻通過編制訪問策略,僅已被授權的主機方能訪問內網IP,使外網僅能訪問內網中同業務相關的所需資源。外部防火墻會變換地址,使外網無法掌握內網結構,阻斷了黑客攻擊的目標。外部防火墻的精確設定范圍要在內網和外網之間,防火墻對獲取的數據包加以剖析,把其中合法請求傳導到對應服務主機,拒絕非法訪問。
3防火墻技術的未來發展趨勢及前景
防火墻技術是網絡安全技術發展的必然產物,為不安全的網絡搭建一個安全的網絡平臺,網絡安全是不可預測的,防火墻技術也在日新月異的進行發展,防火墻技術的未來發展是廣泛的,能為網絡安全作出一定的貢獻,下面闡述一下防火墻技術的未來發展趨勢,引領網絡安全技術的發展。
3.1智能化
現在計算機的未來發展是網絡化、智能化,網絡安全問題的發展也比較快,對網絡安全的軟件要求也是越來越高,網絡上的病毒具有不可預見性,對防御病毒的軟件提出一個嶄新的要求,必須具有一定的智能化,就是防火墻自身具有很強的防御功能,不是人為的進行控制,智能化是網絡安全專家對防火墻技術的期盼,也是防火墻技術自身發展的需要,但防火墻技術實現智能化需要一定的時間,需要網絡安全專家不停努力的結果。
3.2擴展性能更佳
計算機網絡的快速發展,點到點客戶的快速發展,現在3G網絡已經向4G網絡發展,對防火墻的擴展型提出更好的要求,軟件技術的發展必須為未來的發展提出更好的要求,其擴展性具有一定發展,使防火墻技術能更好的為網絡安全服務,提高網絡安全服務的本領,減少病毒的入侵,提高網絡安全。
第3篇
關鍵詞:Internet網路安全防火墻過濾地址轉換
1.引言
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互連環境之中,尤以Internet網絡為最甚。Internet的迅猛發展,使得防火墻產品在短短的幾年內異軍突起,很快形成了一個產業:1995年,剛剛面市的防火墻技術產品市場量還不到1萬套;到1996年底,就猛增到10萬套;據國際權威商業調查機構的預測,防火墻市場將以173%的復合增長率增長,今年底將達到150萬套,市場營業額將從1995年的1.6億美元上升到今年的9.8億美元。
為了更加全面地了解Internet防火墻及其發展過程,特別是第四代防火墻的技術特色,我們非常有必要從產品和技術角度對防火墻技術的發展演變做一個詳細的考察。
2.Internet防火墻技術簡介
防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講,Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網絡內部。而事實上,防火墻并不像現實生活中的防火墻,它有點像古代守護城池用的護城河,服務于以下多個目的:
1)限定人們從一個特定的控制點進入;
2)限定人們從一個特定的點離開;
3)防止侵入者接近你的其他防御設施;
4)有效地阻止破壞者對你的計算機系統進行破壞。
在現實生活中,Internet防火墻常常被安裝在受保護的內部網絡上并接入Internet,如圖1所示。
圖1防火墻在Internet中的位置
從上圖不難看出,所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。3.防火墻技術與產品發展的回顧
防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:
過濾進、出網絡的數據;
管理進、出網絡的訪問行為;
封堵某些禁止行為;
記錄通過防火墻的信息內容和活動;
對網絡攻擊進行檢測和告警。
為實現以上功能,在防火墻產品的開發中,人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火墻近年來的發展,可以將其劃分為如下四個階段(即四代)。
3.1基于路由器的防火墻
由于多數路由器本身就包含有分組過濾功能,故網絡訪問控制可能通過路控制來實現,從而使具有分組過濾功能的路由器成為第一代防火墻產品。第一代防火墻產品的特點是:
1)利用路由器本身對分組的解析,以訪問控制表(AccessList)方式實現對分組的過濾;
2)過濾判斷的依據可以是:地址、端口號、IP旗標及其他網絡特征;
3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網絡則需要單獨利用一臺路由器作為防火墻。
第一代防火墻產品的不足之處十分明顯,具體表現為:
路由協議十分靈活,本身具有安全漏洞,外部網絡要探尋內部網絡十分容易。例如,在使用FTP協議時,外部服務器容易從20號端口上與內部網相連,即使在路由器上設置了過濾規則,內部網絡的20號端口仍可以由外部探尋。
路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜,它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性,一般的網絡系統管理員難于勝任,加之一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來很多錯誤。
路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網絡上是以明文方式傳送的,黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火墻。
路由器防火墻的本質缺陷是:由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由,而防火墻則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火墻的規則設置會大大降低路由器的性能。
可以說基于路由器的防火墻技術只是網絡安全的一種應急措施,用這種權宜之計去對付黑客的攻擊是十分危險的。
3.2用戶化的防火墻工具套
為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡,從而推動了用戶防火墻工具套的出現。
作為第二代防火墻產品,用戶化的防火墻工具套具有以下特征:
1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;
2)針對用戶需求,提供模塊化的軟件包;
3)軟件可以通過網絡發送,用戶可以自己動手構造防火墻;
4)與第一代防火墻相比,安全性提高了,價格也降低了。
由于是純軟件產品,第二代防火墻產品無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求,并帶來以下問題:
配置和維護過程復雜、費時;
對用戶的技術要求高;
全軟件實現,使用中出現差錯的情況很多。
3.3建立在通用操作系統上的防火墻
基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操
作系統上的商用防火墻產品。近年來市場上廣泛使用的就是這一代產品,它們具有如下一些
特點:
1)是批量上市的專用防火墻產品;
2)包括分組過濾或者借用路由器的分組過濾功能;
3)裝有專用的系統,監控所有協議的數據和指令;
4)保護用戶編程空間和用戶可配置內核參數的設置;
5)安全性和速度大大提高。
第三代防火墻有以純軟件實現的,也有以硬件方式實現的,它們已經得到了廣大用戶的認同
。但隨著安全需求的變化和使用時間的推延,仍表現出不少問題,比如:
1)作為基礎的操作系統及其內核往往不為防火墻管理者所知,由于源碼的保密,其安全性
無從保證;
2)由于大多數防火墻廠商并非通用操作系統的廠商,通用操作系統廠商不會對操作系統的
安全性負責;
3)從本質上看,第三代防火墻既要防止來自外部網絡的攻擊,還要防止來自操作系統廠商
的攻擊;
4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能;
5)透明性好,易于使用。
4.第四代防火墻的主要技術及功能
第四代防火墻產品將網關與安全系統合二為一,具有以下技術功能。
4.1雙端口或三端口的結構
新一代防火墻產品具有兩個或三個獨立的網卡,內外兩個網卡可不做IP轉化而串接于內部與外部之間,另一個網卡可專用于對服務器的安全保護。
4.2透明的訪問方式
以前的防火墻在訪問方式上要么要求用戶做系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火墻利用了透明的系統技術,從而降低了系統登錄固有的安全風險和出錯概率。
4.3靈活的系統
系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊,第四代防火墻采用了兩種機制:一種用于從內部網絡到外部網絡的連接;另一種用于從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,后者采用非保密的用戶定制或保密的系統技術來解決。
4.4多級過濾技術
為保證系統的安全性和防護水平,第四代防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。
4.5網絡地址轉換技術
第四代防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
4.6Internet網關技術
由于是直接串聯在網絡之中,第四代防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。
在域名服務方面,第四代防火墻采用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部分DNS信息。
在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。
4.7安全服務器網絡(SSN)
為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,第四代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Tnlnet等方式從內部網上管理。
SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火墻保護,SSN與風部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。4.8用戶鑒別與加密
為了減低防火墻產品在Tnlnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統來作為用戶的鑒別手段,并實現了對郵件的加密。
4.9用戶定制服務
為了滿足特定用戶的特定需求,第四代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的,便可以利用這些支持,方便設置。
4.10審計和告警
第四代防火墻產品采用的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。
此外,第四代防火墻還在網絡診斷、數據備份保全等方面具有特色。
5.第四代防火墻技術的實現方法
在第四代防火墻產品的設計與開發中,安全內核、系統、多級過濾、安全服務器、鑒別與加密是關鍵所在。
5.1安全內核的實現
第四代防火墻是建立在安全操作系統之上的,安全操作系統來自對專用操作系統的安全加固和改造,從現在的諸多產品看,對安全操作系統內核的固化與改造主要從以下幾個方面進行:
1)取消危險的系統調用;
2)限制命令的執行權限;
3)取消IP的轉發功能;
4)檢查每個分組的接口;
5)采用隨機連接序號;
6)駐留分組過濾模塊;
7)取消動態路由功能;
8)采用多個安全內核。
5.2系統的建立
防火墻不允許任何信息直接穿過它,對所有的內外連接均要通過系統來實現,為保證整個防火墻的安全,所有的都應該采用改變根目錄方式存在一個相對獨立的區域以安全隔離。
在所有的連接通過防火墻前,所有的要檢查已定義的訪問規則,這些規則控制的服務根據以下內容處理分組:
1)源地址;
2)目的地址;
3)時間;
4)同類服務器的最大數量。
所有外部網絡到防火墻內部或SSN的連接由進站處理,進站要保證內部主機能夠了解外部主機的所有信息,而外部主機只能看到防火墻之外或SSN的地址。
所有從內部網絡SSN通過防火墻與外部網絡建立的連接由出站處理,出站必須確保完全由它代表內部網絡與外部地址相連,防止內部網址與外部網址的直接連接,同時還要處理內部網絡SSN的連接。
5.3分組過濾器的設計
作為防火墻的核心部件之一,過濾器的設計要盡量做到減少對防火墻的訪問,過濾器在調用時將被下載到內核中執行,服務終止時,過濾規則會從內核中消除,所有的分組過濾功能都在內核中IP堆棧的深層運行,極為安全。分組過濾器包括以下參數。
1)進站接口;
2)出站接口;
3)允許的連接;
4)源端口范圍;
5)源地址;
6)目的端口的范圍等。
對每一種參數的處理都充分體現設計原則和安全政策。
5.4安全服務器的設計
安全服務器的設計有兩個要點:第一,所有SSN的流量都要隔離處理,即從內部網和外部網而來的路由信息流在機制上是分離的;第二,SSN的作用類似于兩個網絡,它看上去像是內部網,因為它對外透明,同時又像是外部網絡,因為它從內部網絡對外訪問的方式十分有限。
SSN上的每一個服務器都隱蔽于Internet,SSN提供的服務對外部網絡而言好像防火墻功能,由于地址已經是透明的,對各種網絡應用沒有限制。實現SSN的關鍵在于:
1)解決分組過濾器與SSN的連接;
2)支持通過防火墻對SSN的訪問;
3)支持服務。
5.5鑒別與加密的考慮
鑒別與加密是防火墻識別用戶、驗證訪問和保護信息的有效手段,鑒別機制除了提供安全保護之外,還有安全管理功能,目前國外防火墻產品中廣泛使用令牌鑒別方式,具體方法有兩種一種是加密卡(CryptoCard);另一種是SecureID,這兩種都是一次性口令的生成工具。
對信息內容的加密與鑒別則涉及加密算法和數字簽名技術,除PEM、PGP和Kerberos外,目前國外防火墻產品中尚沒有更好的機制出現,由于加密算法涉及國家信息安全和,各國有不同的要求。
6.第四代防火墻的抗攻擊能力
作為一種安全防護設備,防火墻在網絡中自然是眾多攻擊者的目標,故抗攻擊能力也是防火墻的必備功能。在Internet環境中針對防火墻的攻擊很多,下面從幾種主要的攻擊方法來評估第四代防火墻的抗攻擊能力。
6.1抗IP假冒攻擊
IP假冒是指一個非法的主機假冒內部的主機地址,騙取服務器的“信任”,從而達到對網絡的攻擊目的。由于第四代防火墻已經將網內的實際地址隱蔽起來,外部用戶很難知道內部的IP地址,因而難以攻擊。
6.2抗特洛伊木馬攻擊
特洛伊木馬能將病毒或破壞性程序傳入計算機網絡,且通常是將這些惡意程序隱蔽在正常的程序之中,尤其是熱門程序或游戲,一些用戶下載并執行這一程序,其中的病毒便會發作。第四代防火墻是建立在安全的操作系統之上的,其內核中不能執行下載的程序,故而可以防止特洛伊木馬的發生。必須指出的是,防火墻能抗特洛伊木馬的攻擊并不表明其保護的某個主機也能防止這類攻擊。事實上,內部用戶可以通過防火墻下載程序,并執行下載的程序。
6.3抗口令字探尋攻擊
在網絡中探尋口令的方法很多,最常見的是口令嗅探和口令解密。嗅探是通過監測網絡通信,截獲用戶傳給服務器的口令字,記錄下來,以便使用;解密是指采用強力攻擊、猜測或截獲含有加密口令的文件,并設法解密。此外,攻擊者還常常利用一些常用口令字直接登錄。
第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施,能夠有效防止對口令字的攻擊。
6.4抗網絡安全性分析
網絡安全性分析工具是提供管理人員分析網絡安全性之用的,一旦這類工具用作攻擊網絡的手段,則能夠比較方便地探測到內部網絡的安全缺陷和弱點所在。目前,SATA軟件可以從網上免費獲得,InternetScanner可以從市面上購買,這些分析工具給網絡安全構成了直接的威脅。第四代防火墻采用了地址轉換技術,將內部網絡隱蔽起來,使網絡安全分析工具無法從外部對內部網絡做分析。
6.5抗郵件詐騙攻擊
郵件詐騙也是越來越突出的攻擊方式,第四代防火墻不接收任何郵件,故難以采用這種方式對它攻擊,同樣值得一提的是,防火墻不接收郵件,并不表示它不讓郵件通過,實際上用戶仍可收發郵件,內部用戶要防郵件詐騙,最終的解決辦法是對郵件加密。
7.防火墻技術展望
伴隨著Internet的飛速發展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:
1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。
2)過濾深度會不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。
3)利用防火墻建立專用網是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協議的開發是一大熱點。
4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。
5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。
