论文部分内容阅读
【摘要】防火墙技术是目前最为流行使用最为广泛的一种网络安全技术,在网络安全中起着非常重要的作用。本文主要讨论了防火墙技术的常见类型,并对各类型的性能作了比较,同时提出了防火墙技术存在的问题和隐患,对防火墙的发展趋势作了初步的分析。
【关键词】网络安全;防火墙技术;性能;发展趋势
1引言
随着网络技术的飞速发展和网络时代的到来,网络安全问题变的越来越严重。由于网络不安全造成的损失也越来越大,人们为解决网络安全问题投入的资金也越来越多。网络安全是一个关系国家安全、社会稳定的重要问题,网络的安全已经成为急需解决的问题。
为了保护网络的安全,人们将防火墙这个概念运用到了网络世界里。它是内部网络和外部网络之间的一道栅栏,用以阻挡外部网络的入侵,相当于中世纪的护城河。防火墙是目前最为流行、使用最为广泛的一种网络安全技术。本文主要讨论防火墙技术,并对其发展趋势作了初步的分析。
2防火墙技术
2.1 防火墙概述
防火墙是网络之间一种特殊的访问控制设施,是一种屏障,用于隔离Internet的某一部分,限制这部分与Internet其它部分之间数据的自由流动。防火墙的位置被安装在内部网络与外部网络之间,以在不可靠的互联网络中建立一个可靠的子网。防火墙作为保障内部网络安全的手段,它有助于建立一个网络安全机制,并通过网络配置、主机系统、路由器与身份认证等手段来实现安全机制。一般说来防火墙主要有以下的功能:防火墙是网络安全的屏障;防火墙可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的外泄;安全策略检查和实施NAT的理想平台。
防火墙是两个网络之间的成分集合,它必须具有以下性质才能起作用:
(1)从里向外或从外向里的流量都必须通过防火墙;
(2)只有本地安全策略放行的流量才能通过防火墙;
(3)防火墙本身是不可穿透的。
2.2 防火墙的类型
(1)IP级防火墙
IP级防火墙又称为报文过滤或包过滤(packet filter)防火墙,它通常在路由软件中实现,工作在网络层中,因此也称网络防火墙。依据防火墙内事先设定的过滤规则,检查数据流中每个数据包头部,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因数来确定是否允许数据包通过。使用这种类型的防火墙时,内部主机与外部主机之间存在直接的IP报文交互,即使防火墙停止工作也不影响其连通性。因此,IP防火墙具有简单、方便、速度快,透明性好和不影响网络的特点。但是IP防火墙只能根据IP地址和端口号来过滤报文,缺乏用户日志和审计信息,缺乏用户认证机制,对过滤规则的完备性也难以得到检验,所以IP防火墙的安全性是比较差的。
(2)应用级防火墙
应用级防火墙又称代理(proxy)防火墙。它通常作用在应用层,直接对特定的应用层进行服务。这类防火墙通常是一台封堵了内外直接连接的双穴主机(dual-home-host),为两端的机器代理服务请求,也可以是一些可以访问Internet并被内部主机访问的堡垒主机。代理防火墙能进行安全控制和加速访问,有效地实现防火墙内外计算机系统的隔离,安全性好,以及实施较强的数据流监控、过滤、记录和报告等功能。其缺点是效率低,对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,实现也困难。
(3)链路级防火墙
链路级防火墙的工作原理、组成结构与应用级防火墙相似,但它并不针对专门的应用协议,而是一种传输层的TCP(UDP)连接中继服务。连接的发起方不直接与响应方建立连接,而是与链路级防火墙交互,由它再与响应方建立连接,并在此过程中完成用户鉴别。在随后的通信中维护数据的安全(如进行数据加密)、控制通信的进展。链路级防火墙提供的安全保护主要包括:对连接的存在时间进行监测,除去超出所允许的存在时间的连接,这可防止过大的邮件和文件传送;建立允许的发起方表,提供鉴别机制;对传输的数据提供加密保护。
各种防火墙的性能比较如表2-1所示。
2.3 传统防火墙的缺点
上述三种基本的防火墙技术都存在不足之处。比如IP级防火墙存在不能彻底防止地址欺骗、正常的数据包路由器无法执行某些安全策略等不足,应用级防火墙则有不能改进低层协议的安全性、实现比较复杂等缺点。传统的防火墙大多都采用报文过滤技术。在实际环境中,大多数的攻击和越权访问来自于内部,而传统的边界防火墙无法对内部网络进行有效的保护。首先,防火墙提供的是静态防御,它的规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。其次,防火墙规则是一种粗颗粒的检查,对一些协议细节无法做到完全解析。此外,防火墙防外不防内,对于内部用户的非法行为或已经渗透的攻击无法检查和响应。
3防火墙的发展趋势
目前防火墙的安全性、效率和功能方面的矛盾还是比较突出。防火墙的技术结构,往往是安全高效率就低,效率高就会以牺牲安全为代价。未来的防火墙要求是高安全性和高效率。使用专门的芯片负责访问控制功能、设计新的防火墙的技术架构是未来防火墙的方向。
3.1 分布式防火墙
分布式防火墙是指那些驻留在网络中的主机,如服务器或台式机并对系统自身提供安全防护的软件产品,用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。布式防火墙仍然由中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。
分布式防火墙把Internet和内部网络均视为"不友好的"。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议,如HTTP 和 HTTPS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。从广义来讲,分布式防火墙是一中新的防火墙体系结构,他包含网络防火墙、主机防火墙、中心管理等产品。
3.2 防火墙联动
随着人们安全意识的日益提高,防火墙、防病毒、入侵检测、加密机等安全产品开始被大量部署在网络中。由于缺少统一、联动的技术,现有安全产品往往各自为政,没能形成一个统一的整体。为了解决这一问题,防火墙联动技术正渐渐成为网络安全领域的一个新兴课题,引起众多专家和安全厂商的关注。目前,应用范围较为广泛的防火墙联动方式主要有以下几种。
(1)与防病毒实现联动
病毒对网络系统造成了巨大的破坏和威胁,构建可靠的网络防毒体系是网络安全的必要保障。防火墙处于内外网络信息流的必经之地,在网关一级就对病毒进行查杀,成为网络防病毒系统的重要一环。
(2)与入侵检测实现联动
防火墙与入侵检测系统联动是联动体系中重要的一环,这是因为这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中。第二种方式是通过开放接口来实现联动。
(3)与日志处理间实现联动
防火墙与日志处理之间的联动,目前国内厂商做的不多。比较有代表性的是Check Point的防火墙,它提供两个API:LEA(Log Export API)和ELA(Event Logging API),允许第三方访问日志数据。
4结束语
随着Internet广泛应用和计算机科学技术的不断发展,防火墙技术也在不断的发展。但是在网络日益严峻的今天,光有防火墙技术是远远不够的,我们还得考虑其他的问题。不过防火墙作为网络安全的第一道重要的屏障,如何提高防火墙的防护能力并保证系统的高速有效性将是一个随网络技术发展而要不断研究的课题。
【参考文献】
[1] 蔡永泉编著.计算机网络安全[M].北京:北京航空航天大学出版社,2006.10
[2] 赵安军,曾应员,徐邦海,常春藤编著.网络安全技术与应用[M].北京:人民邮电出版社,2007.7
[3] 王代潮,曾德超.防火墙技术的演变及其发展趋势分析[J].网络安全技术与应用,2005(07)
作者简介:谢锐兵(1983--),江西吉安人,助教,软件设计师,研究方向:计算机相关教学及网络管理网站开发工作
郭淑华(1980--),江西上饶人,助教,研究方向:计算机相关教学工作责任编辑:王利强
【关键词】网络安全;防火墙技术;性能;发展趋势
1引言
随着网络技术的飞速发展和网络时代的到来,网络安全问题变的越来越严重。由于网络不安全造成的损失也越来越大,人们为解决网络安全问题投入的资金也越来越多。网络安全是一个关系国家安全、社会稳定的重要问题,网络的安全已经成为急需解决的问题。
为了保护网络的安全,人们将防火墙这个概念运用到了网络世界里。它是内部网络和外部网络之间的一道栅栏,用以阻挡外部网络的入侵,相当于中世纪的护城河。防火墙是目前最为流行、使用最为广泛的一种网络安全技术。本文主要讨论防火墙技术,并对其发展趋势作了初步的分析。
2防火墙技术
2.1 防火墙概述
防火墙是网络之间一种特殊的访问控制设施,是一种屏障,用于隔离Internet的某一部分,限制这部分与Internet其它部分之间数据的自由流动。防火墙的位置被安装在内部网络与外部网络之间,以在不可靠的互联网络中建立一个可靠的子网。防火墙作为保障内部网络安全的手段,它有助于建立一个网络安全机制,并通过网络配置、主机系统、路由器与身份认证等手段来实现安全机制。一般说来防火墙主要有以下的功能:防火墙是网络安全的屏障;防火墙可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的外泄;安全策略检查和实施NAT的理想平台。
防火墙是两个网络之间的成分集合,它必须具有以下性质才能起作用:
(1)从里向外或从外向里的流量都必须通过防火墙;
(2)只有本地安全策略放行的流量才能通过防火墙;
(3)防火墙本身是不可穿透的。
2.2 防火墙的类型
(1)IP级防火墙
IP级防火墙又称为报文过滤或包过滤(packet filter)防火墙,它通常在路由软件中实现,工作在网络层中,因此也称网络防火墙。依据防火墙内事先设定的过滤规则,检查数据流中每个数据包头部,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因数来确定是否允许数据包通过。使用这种类型的防火墙时,内部主机与外部主机之间存在直接的IP报文交互,即使防火墙停止工作也不影响其连通性。因此,IP防火墙具有简单、方便、速度快,透明性好和不影响网络的特点。但是IP防火墙只能根据IP地址和端口号来过滤报文,缺乏用户日志和审计信息,缺乏用户认证机制,对过滤规则的完备性也难以得到检验,所以IP防火墙的安全性是比较差的。
(2)应用级防火墙
应用级防火墙又称代理(proxy)防火墙。它通常作用在应用层,直接对特定的应用层进行服务。这类防火墙通常是一台封堵了内外直接连接的双穴主机(dual-home-host),为两端的机器代理服务请求,也可以是一些可以访问Internet并被内部主机访问的堡垒主机。代理防火墙能进行安全控制和加速访问,有效地实现防火墙内外计算机系统的隔离,安全性好,以及实施较强的数据流监控、过滤、记录和报告等功能。其缺点是效率低,对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,实现也困难。
(3)链路级防火墙
链路级防火墙的工作原理、组成结构与应用级防火墙相似,但它并不针对专门的应用协议,而是一种传输层的TCP(UDP)连接中继服务。连接的发起方不直接与响应方建立连接,而是与链路级防火墙交互,由它再与响应方建立连接,并在此过程中完成用户鉴别。在随后的通信中维护数据的安全(如进行数据加密)、控制通信的进展。链路级防火墙提供的安全保护主要包括:对连接的存在时间进行监测,除去超出所允许的存在时间的连接,这可防止过大的邮件和文件传送;建立允许的发起方表,提供鉴别机制;对传输的数据提供加密保护。
各种防火墙的性能比较如表2-1所示。
2.3 传统防火墙的缺点
上述三种基本的防火墙技术都存在不足之处。比如IP级防火墙存在不能彻底防止地址欺骗、正常的数据包路由器无法执行某些安全策略等不足,应用级防火墙则有不能改进低层协议的安全性、实现比较复杂等缺点。传统的防火墙大多都采用报文过滤技术。在实际环境中,大多数的攻击和越权访问来自于内部,而传统的边界防火墙无法对内部网络进行有效的保护。首先,防火墙提供的是静态防御,它的规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。其次,防火墙规则是一种粗颗粒的检查,对一些协议细节无法做到完全解析。此外,防火墙防外不防内,对于内部用户的非法行为或已经渗透的攻击无法检查和响应。
3防火墙的发展趋势
目前防火墙的安全性、效率和功能方面的矛盾还是比较突出。防火墙的技术结构,往往是安全高效率就低,效率高就会以牺牲安全为代价。未来的防火墙要求是高安全性和高效率。使用专门的芯片负责访问控制功能、设计新的防火墙的技术架构是未来防火墙的方向。
3.1 分布式防火墙
分布式防火墙是指那些驻留在网络中的主机,如服务器或台式机并对系统自身提供安全防护的软件产品,用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。布式防火墙仍然由中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。
分布式防火墙把Internet和内部网络均视为"不友好的"。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议,如HTTP 和 HTTPS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。从广义来讲,分布式防火墙是一中新的防火墙体系结构,他包含网络防火墙、主机防火墙、中心管理等产品。
3.2 防火墙联动
随着人们安全意识的日益提高,防火墙、防病毒、入侵检测、加密机等安全产品开始被大量部署在网络中。由于缺少统一、联动的技术,现有安全产品往往各自为政,没能形成一个统一的整体。为了解决这一问题,防火墙联动技术正渐渐成为网络安全领域的一个新兴课题,引起众多专家和安全厂商的关注。目前,应用范围较为广泛的防火墙联动方式主要有以下几种。
(1)与防病毒实现联动
病毒对网络系统造成了巨大的破坏和威胁,构建可靠的网络防毒体系是网络安全的必要保障。防火墙处于内外网络信息流的必经之地,在网关一级就对病毒进行查杀,成为网络防病毒系统的重要一环。
(2)与入侵检测实现联动
防火墙与入侵检测系统联动是联动体系中重要的一环,这是因为这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中。第二种方式是通过开放接口来实现联动。
(3)与日志处理间实现联动
防火墙与日志处理之间的联动,目前国内厂商做的不多。比较有代表性的是Check Point的防火墙,它提供两个API:LEA(Log Export API)和ELA(Event Logging API),允许第三方访问日志数据。
4结束语
随着Internet广泛应用和计算机科学技术的不断发展,防火墙技术也在不断的发展。但是在网络日益严峻的今天,光有防火墙技术是远远不够的,我们还得考虑其他的问题。不过防火墙作为网络安全的第一道重要的屏障,如何提高防火墙的防护能力并保证系统的高速有效性将是一个随网络技术发展而要不断研究的课题。
【参考文献】
[1] 蔡永泉编著.计算机网络安全[M].北京:北京航空航天大学出版社,2006.10
[2] 赵安军,曾应员,徐邦海,常春藤编著.网络安全技术与应用[M].北京:人民邮电出版社,2007.7
[3] 王代潮,曾德超.防火墙技术的演变及其发展趋势分析[J].网络安全技术与应用,2005(07)
作者简介:谢锐兵(1983--),江西吉安人,助教,软件设计师,研究方向:计算机相关教学及网络管理网站开发工作
郭淑华(1980--),江西上饶人,助教,研究方向:计算机相关教学工作责任编辑:王利强