论文部分内容阅读
摘要:接触网络的人都知道网络黑客专门利用各种网络和系统的漏洞,非法获得未授权的访问信息。随着软件技术的不断发展,网络中散布着大量的网络攻击工具,这些工具只需要简单的执行就可以给网络造成巨大的威胁,甚至不需要人为的参与就可以扫描和破坏整个网络,给网络安全带来越来越多的安全隐患。而要消灭这些越来越多的网络安全隐患,防火墙在其间发挥着越来越重要的作用。本文主要论述了防火墙的作用、主要类型、优点、缺点及防火墙未来的发展趋势等。
关键词:网络安全;防火墙;包过滤防火墙;代理防火墙;状态监视器
一、 防火墙的作用
防火墙(Firewall),在网络术语中是指一种软件,它可以在用户的计算机和Internet之间建立起一道屏障,把用户和网络隔离开来,用户可以通过设定规则来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输,哪些情况下允许两者间的数据传输,通过这样的方式,防火墙承受住所有对用户的网络攻击,从而保障用户的网络安全。防火墙的基本功能是对网络通信进行筛选、屏蔽、以防止未授权的访问进出计算机网络,简单的概括就是对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络和不可信任网络之间。 防火墙一般有三个特性:1)所有的通信都经过防火墙 2)防火墙只放行经过授权的网络流量 3)防火墙能经受对其本身的攻击。因此,防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器、一台多个网络接口的计算机或服务器等、被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响,所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。
二、防火墙的主要类型
如今市场上的防火墙形式多样,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说可以分为三种:包过滤防火墙、代理服务器和状态监视器。
1) 包过滤防火墙
包过滤防火墙设置在网络层,可以在路由器上实现包过滤,这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型,但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP RPC或动态的协议。
2) 代理防火墙
代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起,过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器,代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。 如果接受,它就向内部网络转发这项请求,代理防火墙无法快速支持一些新出现的业务(如多媒体)。现较为流行的代理服务器软件是 WinGate 和 Proxy Server。
3) 状态监视器
状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其它安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳拒绝鉴定或给该通信加密等决定,一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测 RemoteProcedureCall 和 User DatagrqamProtocol 类的端口信息,问题当然也有,即状态监视器的配置非常复杂,而且会降低网络的速度。
三、防火墙的优点
1) 防火墙能够强化安全策略
因为网络上每天都有上百万人在收集信息,交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的"交通警察"它执行站点的安全策略,仅仅容许"认可的"和符合规则的请求通过。
2) 防火墙能有效地记录网络上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
3) 防火墙限制暴露用户点
防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
4) 防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
四、防火墙的缺点
1) 不能防范恶意的知情者
防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上、放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的,内部用户偷窃数据、破坏硬件和软件,并且巧妙地修改程序而不接近防火墙,对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。
2) 不能防范不通过它的连接
防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息,例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
3) 不能防备全部的威胁
防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。
4) 防火墙不能防范病毒
防火墙不能消除网络上的 PC 机的病毒。
五、防火墙的未来发展趋势
未来的防火墙的发展趋势是向高速、多功能化、更安全的方向发展。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此 比较容易实现高速,对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。
受现有技术的限制,目前还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,防火墙不适宜于集成内容过滤,防病毒和IDS功能。
多功能也是防火墙的发展方向之一。鉴于目前路由器和防火器价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如, 防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,更好地满足组网需要;支持IPSEC VPN,可以利用因特网线组建安全的专用通道,既安全又节省了专线投资。
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
参考文献:
[1] 马淑萍, 陈岗. 防火墙在网络边界中的安全性评估[J]. 中国安全科学学报, 2004,(01)
[2] 张大勇, 冯志全, 范平. 计算机网络系统的安全与防火墙[J]. 山东冶金, 1998,(03)
[3] 于永. 网络安全中的防火墙技术[J]. 煤炭技术, 2002,(08)
[4] 石涛. 网络的保护神 防火墙[J]. 中国安防产品信息, 2000,(04)
[5] 鲁艺. 筑牢思想"防火墙"[J]. 石油政工研究, 2009,(04)
作者简介:董欢(1981~),女,陕西大荔人,西北政法大学经济管理学院计算机与信息管理系教师,讲师,西安电子科技大学在读硕士研究生,研究方向为计算机应用。
关键词:网络安全;防火墙;包过滤防火墙;代理防火墙;状态监视器
一、 防火墙的作用
防火墙(Firewall),在网络术语中是指一种软件,它可以在用户的计算机和Internet之间建立起一道屏障,把用户和网络隔离开来,用户可以通过设定规则来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输,哪些情况下允许两者间的数据传输,通过这样的方式,防火墙承受住所有对用户的网络攻击,从而保障用户的网络安全。防火墙的基本功能是对网络通信进行筛选、屏蔽、以防止未授权的访问进出计算机网络,简单的概括就是对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络和不可信任网络之间。 防火墙一般有三个特性:1)所有的通信都经过防火墙 2)防火墙只放行经过授权的网络流量 3)防火墙能经受对其本身的攻击。因此,防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器、一台多个网络接口的计算机或服务器等、被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响,所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。
二、防火墙的主要类型
如今市场上的防火墙形式多样,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总的来说可以分为三种:包过滤防火墙、代理服务器和状态监视器。
1) 包过滤防火墙
包过滤防火墙设置在网络层,可以在路由器上实现包过滤,这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型,但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP RPC或动态的协议。
2) 代理防火墙
代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起,过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器,代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。 如果接受,它就向内部网络转发这项请求,代理防火墙无法快速支持一些新出现的业务(如多媒体)。现较为流行的代理服务器软件是 WinGate 和 Proxy Server。
3) 状态监视器
状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其它安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳拒绝鉴定或给该通信加密等决定,一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测 RemoteProcedureCall 和 User DatagrqamProtocol 类的端口信息,问题当然也有,即状态监视器的配置非常复杂,而且会降低网络的速度。
三、防火墙的优点
1) 防火墙能够强化安全策略
因为网络上每天都有上百万人在收集信息,交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的"交通警察"它执行站点的安全策略,仅仅容许"认可的"和符合规则的请求通过。
2) 防火墙能有效地记录网络上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
3) 防火墙限制暴露用户点
防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
4) 防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
四、防火墙的缺点
1) 不能防范恶意的知情者
防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上、放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的,内部用户偷窃数据、破坏硬件和软件,并且巧妙地修改程序而不接近防火墙,对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。
2) 不能防范不通过它的连接
防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息,例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
3) 不能防备全部的威胁
防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。
4) 防火墙不能防范病毒
防火墙不能消除网络上的 PC 机的病毒。
五、防火墙的未来发展趋势
未来的防火墙的发展趋势是向高速、多功能化、更安全的方向发展。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此 比较容易实现高速,对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。
受现有技术的限制,目前还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,防火墙不适宜于集成内容过滤,防病毒和IDS功能。
多功能也是防火墙的发展方向之一。鉴于目前路由器和防火器价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如, 防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,更好地满足组网需要;支持IPSEC VPN,可以利用因特网线组建安全的专用通道,既安全又节省了专线投资。
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
参考文献:
[1] 马淑萍, 陈岗. 防火墙在网络边界中的安全性评估[J]. 中国安全科学学报, 2004,(01)
[2] 张大勇, 冯志全, 范平. 计算机网络系统的安全与防火墙[J]. 山东冶金, 1998,(03)
[3] 于永. 网络安全中的防火墙技术[J]. 煤炭技术, 2002,(08)
[4] 石涛. 网络的保护神 防火墙[J]. 中国安防产品信息, 2000,(04)
[5] 鲁艺. 筑牢思想"防火墙"[J]. 石油政工研究, 2009,(04)
作者简介:董欢(1981~),女,陕西大荔人,西北政法大学经济管理学院计算机与信息管理系教师,讲师,西安电子科技大学在读硕士研究生,研究方向为计算机应用。