论文部分内容阅读
[摘要]从计算机防火墙的物理结构和软件技术的角度,对防火墙的基本类型和主要技术原理进行初步分析,并展望防火墙的未来发展趋势。
[关键词]防火墙技术 系统结构 发展趋势
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2008)0520050-01
一、防火墙原理概述
防火墙是设置在不同网络或者不同网络安全域之间的一系列控制装置(包括软件和硬件)的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口,能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流,从而对所受保护的网络提供信息安全服务。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动,对网络之间传输的数据包依照一定的安全策略进行检查,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,防火墙实际上代表了一个网络的访问控制原则。
二、防火墙技术分析
(一)防火墙的主要技术
防火墙从原理上主要有三种技术:包过滤(PackeFiltering)技术、代理服务(ProxyService)技术和状态检测(StateInspection)技术。
1. 包过滤(PacketFiltering)技术
在基于TCP/IP 协议的计算机网络上,所有网络上的计算机都是用IP地址来唯一地标识其在网络中的位置的,而所有来往于计算机之间的信息都是以一定格式的数据包的形式传输的,数据包中包含了标识发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时,路由器会读取数据包中接受者的IP地址,并根据这一IP地址选择一条合适的物理线路把数据包发送出去,当所有的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理来设计的,它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息,然后按照网络管理员所设定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话,那么所有从这个地址传输过来的数据包都会被过滤掉。
2.代理服务(ProxyService)技术
代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码,是在网管员允许下或拒绝的特定的应用程序或者特定服务,还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层,提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用,内部网络只接受代理提出的服务请求,拒绝外部网络其他接点的直接请求。代理的工作原理比较简单。用户与代理服务器建立连接,将目的站点告知代理,对于合法的请求,代理以自己的身份(应用层网关)与目的站点建立连接,然后代理在这两个连接中转发数据。其主要特点是有状态性,能完全提供与应用相关的状态和部分传输方面的信息,能提供全部的审计和日志功能,能隐藏内部IP地址,能够实现比包过滤路由器更严格的安全策略。它针对每一个特定应用都有一个代理模块,管理员可以根据自己的需要安装相应的代理。一般情况下每个代理相互无关,即使某个代理工作发生问题,只需将它简单地卸出,不会影响其它的代理模块,也保证了防火墙的失效安全。
3.状态检测(StateInspection)技术
状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由Checkpoint提出。状态检测作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据(状态信息)的方法对网络通信的各层实施监测,并动态地保存状态信息作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,可以很容易地实现应用和服务的扩充。但其配置非常复杂,而且会降低网络的速度。
三、防火墙的未来发展趋势
(一)分布式防火墙
分布式防火墙是指物理上有多个防火墙实体在工作,但在逻辑上只有一个防火墙。分布式防火墙仍然由中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。它依赖于三个主要的概念:说明哪一类连接可以被允许或禁止的策略语言,一种系统管理工具和IP安全协议。首先由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式,形成策略文件;然后中心采用系统管理工具把策略文件分发给各台“内部”主机;“内部”主机将从两方面来判定是否接受收到的包,一方面是根据IP安全协议,另一方面是根据服务器端的策略文件。
(二)基于ASIC和NP架构的防火墙
基于ASIC和NP架构的防火墙是面向高端应用架构的新型防火墙。ASIC(专用集成电路)防火墙从实现原理来看,是通过专门设计的ASIC芯片逻辑进行硬件加速处理,通过把指令或计算逻辑固化到芯片中,获得很高的处理能力,明显地提升防火墙的性能。网络处理器(NP)是专门为处理数据包而设计的可编程处理器,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。同时硬件体系结构大多采用高速的接口技术和总线规范,具有较高的I/O能力,数据包处理能力得到了很大的提升。由于NP通过专门的指令集和配套的软件开发的系统,可提供强大的编程能力,便于开发应用,易于扩展。
(三)嵌入式防火墙
嵌入式防火墙系统(EFS)不仅是一种单纯的提供访问控制手段的防火墙设备,还集成了一整套解决网络安全问题的各种应用,为大量的网络用户及需要保护的网络资源提供了一个可管理的、分布式的、安全的计算环境。它使用了一种简化的,基于公钥的Kerberos协议以实现透明的认证,并综合了其它一些网络安全技术,包括授权、安全数据传输、审计等,提供了一种集中式的管理机制。
(四)智能防火墙
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法对数据进行识别,达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此称为智能防火墙。在实际应用中防火墙存在着许多的局限,如防火墙不能防范不经过防火墙的攻击,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与外部公共网络的直接连接,躲避了防火墙对其的访问控制和安全检查;由于防火墙是设置在内部网和外部网之间的安全组件,不能解决来自内部人员对网络的破坏或资料的盗窃等安全问题;目前防火墙并不具备杀毒功能,不能阻止受病毒感染的文件的传输,所以也不能保护内部网络免受计算机病毒的破坏;防火墙技术是根据事先设定的安全策略来保护内部网络的,只能防范已知的安全威胁,无法预测前所未见的攻击方式。另外,防火墙不能防止利用服务器系统漏洞所进行的攻击,黑客可以通过防火墙准许的端口对该服务器的漏洞进行攻击。
总之,未来的防火墙技术将会全面考虑网络安全、操作系统安全、应用程序安全、用户安全、数据安全等多方面的因素,成为包过滤技术、代理服务技术、入侵检测技术病毒检测防护技术和数据加密技术等多方面的综合体。
四、结束语
防火墙作为维护网络安全的第一道防线,被认为是威力最大、效果最好的有利保护措施,已成为保障计算机网络安全不可缺少的必备工具,因此得到了广泛的应用,本文析了计算机防火墙的技术原理,展望了防火墙的发展趋势,有助于客观的看待计算机防火墙的安全性能。
参考文献:
[1]周明全、吕林涛、 李军怀,网络信息安全技术.西安电子科技大学出版社.2005年12月.P143-150.
[2]朱鹏,基于状态包过滤的防火墙技术.微计算机工程.2005年3月. P197-199.
[3]吴功宜,计算机网络.清华大学出版社.2005年9月.P386-392.
[4]胡道元、闵京华,网络安全,清华大学出版社.2005年9月.P145-167.
[5](美)Anne Carasik-Henmi等著;李华飚、柳振良,王恒等译,防火墙核心技术精解.中国水利水电出版社. 2005年12月.P256-277.
[6]王代潮,曾能超防火墙技术的演变及其发展趋势分析.信息安全与通信保密.2005年7月.
作者简介:
周立,男,云南昆明人,主要从事机械加工、管理方面及计算机开发应用工作。
[关键词]防火墙技术 系统结构 发展趋势
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2008)0520050-01
一、防火墙原理概述
防火墙是设置在不同网络或者不同网络安全域之间的一系列控制装置(包括软件和硬件)的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口,能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流,从而对所受保护的网络提供信息安全服务。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动,对网络之间传输的数据包依照一定的安全策略进行检查,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,防火墙实际上代表了一个网络的访问控制原则。
二、防火墙技术分析
(一)防火墙的主要技术
防火墙从原理上主要有三种技术:包过滤(PackeFiltering)技术、代理服务(ProxyService)技术和状态检测(StateInspection)技术。
1. 包过滤(PacketFiltering)技术
在基于TCP/IP 协议的计算机网络上,所有网络上的计算机都是用IP地址来唯一地标识其在网络中的位置的,而所有来往于计算机之间的信息都是以一定格式的数据包的形式传输的,数据包中包含了标识发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时,路由器会读取数据包中接受者的IP地址,并根据这一IP地址选择一条合适的物理线路把数据包发送出去,当所有的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理来设计的,它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息,然后按照网络管理员所设定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话,那么所有从这个地址传输过来的数据包都会被过滤掉。
2.代理服务(ProxyService)技术
代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码,是在网管员允许下或拒绝的特定的应用程序或者特定服务,还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层,提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用,内部网络只接受代理提出的服务请求,拒绝外部网络其他接点的直接请求。代理的工作原理比较简单。用户与代理服务器建立连接,将目的站点告知代理,对于合法的请求,代理以自己的身份(应用层网关)与目的站点建立连接,然后代理在这两个连接中转发数据。其主要特点是有状态性,能完全提供与应用相关的状态和部分传输方面的信息,能提供全部的审计和日志功能,能隐藏内部IP地址,能够实现比包过滤路由器更严格的安全策略。它针对每一个特定应用都有一个代理模块,管理员可以根据自己的需要安装相应的代理。一般情况下每个代理相互无关,即使某个代理工作发生问题,只需将它简单地卸出,不会影响其它的代理模块,也保证了防火墙的失效安全。
3.状态检测(StateInspection)技术
状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由Checkpoint提出。状态检测作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据(状态信息)的方法对网络通信的各层实施监测,并动态地保存状态信息作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,可以很容易地实现应用和服务的扩充。但其配置非常复杂,而且会降低网络的速度。
三、防火墙的未来发展趋势
(一)分布式防火墙
分布式防火墙是指物理上有多个防火墙实体在工作,但在逻辑上只有一个防火墙。分布式防火墙仍然由中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。它依赖于三个主要的概念:说明哪一类连接可以被允许或禁止的策略语言,一种系统管理工具和IP安全协议。首先由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式,形成策略文件;然后中心采用系统管理工具把策略文件分发给各台“内部”主机;“内部”主机将从两方面来判定是否接受收到的包,一方面是根据IP安全协议,另一方面是根据服务器端的策略文件。
(二)基于ASIC和NP架构的防火墙
基于ASIC和NP架构的防火墙是面向高端应用架构的新型防火墙。ASIC(专用集成电路)防火墙从实现原理来看,是通过专门设计的ASIC芯片逻辑进行硬件加速处理,通过把指令或计算逻辑固化到芯片中,获得很高的处理能力,明显地提升防火墙的性能。网络处理器(NP)是专门为处理数据包而设计的可编程处理器,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。同时硬件体系结构大多采用高速的接口技术和总线规范,具有较高的I/O能力,数据包处理能力得到了很大的提升。由于NP通过专门的指令集和配套的软件开发的系统,可提供强大的编程能力,便于开发应用,易于扩展。
(三)嵌入式防火墙
嵌入式防火墙系统(EFS)不仅是一种单纯的提供访问控制手段的防火墙设备,还集成了一整套解决网络安全问题的各种应用,为大量的网络用户及需要保护的网络资源提供了一个可管理的、分布式的、安全的计算环境。它使用了一种简化的,基于公钥的Kerberos协议以实现透明的认证,并综合了其它一些网络安全技术,包括授权、安全数据传输、审计等,提供了一种集中式的管理机制。
(四)智能防火墙
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法对数据进行识别,达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此称为智能防火墙。在实际应用中防火墙存在着许多的局限,如防火墙不能防范不经过防火墙的攻击,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与外部公共网络的直接连接,躲避了防火墙对其的访问控制和安全检查;由于防火墙是设置在内部网和外部网之间的安全组件,不能解决来自内部人员对网络的破坏或资料的盗窃等安全问题;目前防火墙并不具备杀毒功能,不能阻止受病毒感染的文件的传输,所以也不能保护内部网络免受计算机病毒的破坏;防火墙技术是根据事先设定的安全策略来保护内部网络的,只能防范已知的安全威胁,无法预测前所未见的攻击方式。另外,防火墙不能防止利用服务器系统漏洞所进行的攻击,黑客可以通过防火墙准许的端口对该服务器的漏洞进行攻击。
总之,未来的防火墙技术将会全面考虑网络安全、操作系统安全、应用程序安全、用户安全、数据安全等多方面的因素,成为包过滤技术、代理服务技术、入侵检测技术病毒检测防护技术和数据加密技术等多方面的综合体。
四、结束语
防火墙作为维护网络安全的第一道防线,被认为是威力最大、效果最好的有利保护措施,已成为保障计算机网络安全不可缺少的必备工具,因此得到了广泛的应用,本文析了计算机防火墙的技术原理,展望了防火墙的发展趋势,有助于客观的看待计算机防火墙的安全性能。
参考文献:
[1]周明全、吕林涛、 李军怀,网络信息安全技术.西安电子科技大学出版社.2005年12月.P143-150.
[2]朱鹏,基于状态包过滤的防火墙技术.微计算机工程.2005年3月. P197-199.
[3]吴功宜,计算机网络.清华大学出版社.2005年9月.P386-392.
[4]胡道元、闵京华,网络安全,清华大学出版社.2005年9月.P145-167.
[5](美)Anne Carasik-Henmi等著;李华飚、柳振良,王恒等译,防火墙核心技术精解.中国水利水电出版社. 2005年12月.P256-277.
[6]王代潮,曾能超防火墙技术的演变及其发展趋势分析.信息安全与通信保密.2005年7月.
作者简介:
周立,男,云南昆明人,主要从事机械加工、管理方面及计算机开发应用工作。