论文部分内容阅读
摘要:本文针对网络安全问题,从防火墙的概念、传统防火墙的不足、新一代防火墙的技术应用及发展趋势几个方面,论述了防火墙在网络安全中起的重要作用及未来防火墙技术展望。
关键词:防火墙;功能;不足;新一代防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)09-11593-02
The Network Firewall Function and Role
SUN Wei
(Fushun Vocational and Technical College, Fushun 113006, China)
Abstract: In this paper the issue of network security, firewall concept, the lack of traditional firewall, a new generation of firewall technology application and development of several trends, which is the firewall in network security play an important role in firewall technology and the future outlook.
Key words: firewall; Functional; Insufficient;a new generation of firewall
近年来,随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。网络安全已经成为人们日益关心的问题。目前,网络面临的安全威胁大体上分为两种:一种是对网络数据的威胁;另一种是对网络设备的威胁。其中,来自外部和内部人员的恶意攻击是当前因特网所面临的最大威胁,是网络安全策略最需要解决的问题。目前解决网络安全问题的最有效办法是采用防火墙。
1 防火墙概述
从字面上看,防火墙就是一种防止外界侵犯,保护自己的设施,从本质上说,是一种保护装置,是用来保护网络资源和数据以及用户的信誉,
具体来说,防火墙是一类硬件配合相应的软件,用来保护数据安全的设施。
2 什么是防火墙
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统,是一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术,使互联网与内部网之间建立起一个安全网关。从而保护内部网免受非法用户的侵入。原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet与内部网之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。
3 传统的网络防火墙存在的不足
传统的防火墙如包过滤防火墙、代理防火墙、状态监视防火墙都是采用逐一匹配方法,
计算量太大。因此,它们都有一个共同的缺陷——安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。
没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题。而这三大问题,传统的防火墙是无能为力的。
4新一代防火墙技术及应用
新一代防火墙技术不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYN Flood、ICMP、ARP等
攻击手段方面有显著优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使防火墙的安全性提升到又一高度。
4.1 新一代分布式防火墙技术
(1)概念:分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以“分布式防火墙”是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙体系结构包含如下部分:
①网络防火墙;②主机防火墙;③中心管理。
(2)优势:在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。
①增强系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略;②提高了系统性能:消除了结构性瓶颈问题,提高了系统性能;③系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力;④实施主机策略:对网络中的各节点可以起到更安全的防护;⑤应用更为广泛,支持VPN通信
4.2 新一代嵌入式防火墙技术
(1)概念:嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。
(2)优势:嵌入式防火墙能够将防范入侵的功能分布到网络中的每一台PC、笔记本以及服务器。分布于整个网络的嵌入式防火墙使用户可以方便地访问信息,并且不会将网络资源暴露在非法入侵者面前。嵌入式防火墙的分布结构还可以避免由于发生某一台端点系统的入侵而导致整个网络受影响的情况,同时也使通过公共账号登录网络的用户无法进入限制访问权限的计算机系统。
嵌入式防火墙解决方案能将安全防范的功能延伸到边缘防火墙的范围之外,并分布到网络的终端。这一策略使网络几乎不受任何恶意代码或黑客攻击的威胁。即使攻击者完全通过了防火墙的防护并取得了运行防火墙主机的控制权,也将寸步难行。
4.3 新一代智能防火墙技术
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。
智能防火墙的关键技术有:
(1)防范恶意数据攻击;(2)防范黑客攻击;(3)防范MAC欺骗和IP欺骗;(4)入侵防御;(5)防范潜在风险与传统防火墙相比,智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、
保护必需的应用安全、提供强大的身份认证授权和审计管理等方面,都有广泛的应用价值。
5 防火墙技术展望
随着网络处理器和ASIC芯片技术的不断革新,高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速度、对入侵行为智能切断、以及增强抗DoS攻击能力的防火墙,将是未来防火墙发展的趋势。
5.1 高性能的防火墙需求
高性能防火墙是未来发展的趋势,突破高性能的极限就是对防火墙硬件结构的调整。ASIC技术虽然开发难度大,但却能够保障系统的效率并很好地集成防火墙的功能,在今后网络安全防护的路途上,防火墙采用ASIC芯片技术将要成为主导地位。
5.2 管理接口和SOC的整合
如果把信息安全技术看做是一个整体行为的话,那么面对防火墙未来的发展趋势,管理接口和SOC整合也必须考虑在内,毕竟安全是一个整体,而不是靠单一产品所能解决的。随着安全管理和安全运营工作的推行,SOC做为一种安全管理的解决方案已经得到大力推广。
5.3 抗DoS能力
从近年来网络恶性攻击事件情况分析来看,解决DoS攻击也是防火墙必须要考虑的问题了。利用ASIC芯片架构的防火墙,可以利用自身处理网络流量速度快的能力,来解决存在于这个问题上的攻击事件。但是,解决这个问题并不是单单靠ASIC芯片架构就可以的,更多的还是面向对应用层攻击的问题,有待于新技术的出现。
5.4 减慢蠕虫和垃圾邮件的传播速度的功能
作为网络边界的安全设备,未来防火墙发展趋势中,减缓和降低蠕虫病毒与垃圾邮件的传播速度,是必不可少的一部分了。加强防火墙对数据处理中的粒度和力度,已经成为未来防火墙对数据检测高粒度的发展趋势。
5.5 对入侵行为的智能切断
安全是一个动态的过程,而对于入侵行为的预见和智能切断,做为边界安全设备的防火墙来说,也是未来发展的一大课题。从IPS的出发角度考虑,未来防火墙必须具备这项功能。具备对入侵行为智能切断的一个整合型、多功能的防火墙,将是市场的需求。
5.6 多端口并适合灵活配置
多端口的防火墙能为用户更好的提供安全解决方案,而做为多端口、灵活配置的防火墙,也是未来防火墙发展的趋势。
5.7 专业化的发展
单向防火墙、电子邮件防火墙、FTP防火墙等针对特定服务的专业化防火墙将作为一种产品门类出现。 总的来说,未来的防火墙将是智能化、高速度、低成本、功能更加完善、管理更加人性化的网络安全产品的主力军。
参考文献:
[1] 袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.
[2] 常红.网络完全技术与反黑客[M].长春:冶金工业出版社,2001.
[3] 张兆信.计算机网络安全与应用[M].北京:机械工业出版社,2005.
[4] 李大友.计算机网络安全.北京:清华大学出版社,2005.
[5] 徐国爱.网络安全.北京:北京邮电大学出版社,2003.
[6] 屈长青.防火墙及其维护技术研究.沈阳化工学院学报,2002,15.
关键词:防火墙;功能;不足;新一代防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)09-11593-02
The Network Firewall Function and Role
SUN Wei
(Fushun Vocational and Technical College, Fushun 113006, China)
Abstract: In this paper the issue of network security, firewall concept, the lack of traditional firewall, a new generation of firewall technology application and development of several trends, which is the firewall in network security play an important role in firewall technology and the future outlook.
Key words: firewall; Functional; Insufficient;a new generation of firewall
近年来,随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。网络安全已经成为人们日益关心的问题。目前,网络面临的安全威胁大体上分为两种:一种是对网络数据的威胁;另一种是对网络设备的威胁。其中,来自外部和内部人员的恶意攻击是当前因特网所面临的最大威胁,是网络安全策略最需要解决的问题。目前解决网络安全问题的最有效办法是采用防火墙。
1 防火墙概述
从字面上看,防火墙就是一种防止外界侵犯,保护自己的设施,从本质上说,是一种保护装置,是用来保护网络资源和数据以及用户的信誉,
具体来说,防火墙是一类硬件配合相应的软件,用来保护数据安全的设施。
2 什么是防火墙
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统,是一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术,使互联网与内部网之间建立起一个安全网关。从而保护内部网免受非法用户的侵入。原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet与内部网之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。
3 传统的网络防火墙存在的不足
传统的防火墙如包过滤防火墙、代理防火墙、状态监视防火墙都是采用逐一匹配方法,
计算量太大。因此,它们都有一个共同的缺陷——安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。
没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题。而这三大问题,传统的防火墙是无能为力的。
4新一代防火墙技术及应用
新一代防火墙技术不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYN Flood、ICMP、ARP等
攻击手段方面有显著优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使防火墙的安全性提升到又一高度。
4.1 新一代分布式防火墙技术
(1)概念:分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以“分布式防火墙”是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙体系结构包含如下部分:
①网络防火墙;②主机防火墙;③中心管理。
(2)优势:在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。
①增强系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略;②提高了系统性能:消除了结构性瓶颈问题,提高了系统性能;③系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力;④实施主机策略:对网络中的各节点可以起到更安全的防护;⑤应用更为广泛,支持VPN通信
4.2 新一代嵌入式防火墙技术
(1)概念:嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。
(2)优势:嵌入式防火墙能够将防范入侵的功能分布到网络中的每一台PC、笔记本以及服务器。分布于整个网络的嵌入式防火墙使用户可以方便地访问信息,并且不会将网络资源暴露在非法入侵者面前。嵌入式防火墙的分布结构还可以避免由于发生某一台端点系统的入侵而导致整个网络受影响的情况,同时也使通过公共账号登录网络的用户无法进入限制访问权限的计算机系统。
嵌入式防火墙解决方案能将安全防范的功能延伸到边缘防火墙的范围之外,并分布到网络的终端。这一策略使网络几乎不受任何恶意代码或黑客攻击的威胁。即使攻击者完全通过了防火墙的防护并取得了运行防火墙主机的控制权,也将寸步难行。
4.3 新一代智能防火墙技术
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。
智能防火墙的关键技术有:
(1)防范恶意数据攻击;(2)防范黑客攻击;(3)防范MAC欺骗和IP欺骗;(4)入侵防御;(5)防范潜在风险与传统防火墙相比,智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、
保护必需的应用安全、提供强大的身份认证授权和审计管理等方面,都有广泛的应用价值。
5 防火墙技术展望
随着网络处理器和ASIC芯片技术的不断革新,高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速度、对入侵行为智能切断、以及增强抗DoS攻击能力的防火墙,将是未来防火墙发展的趋势。
5.1 高性能的防火墙需求
高性能防火墙是未来发展的趋势,突破高性能的极限就是对防火墙硬件结构的调整。ASIC技术虽然开发难度大,但却能够保障系统的效率并很好地集成防火墙的功能,在今后网络安全防护的路途上,防火墙采用ASIC芯片技术将要成为主导地位。
5.2 管理接口和SOC的整合
如果把信息安全技术看做是一个整体行为的话,那么面对防火墙未来的发展趋势,管理接口和SOC整合也必须考虑在内,毕竟安全是一个整体,而不是靠单一产品所能解决的。随着安全管理和安全运营工作的推行,SOC做为一种安全管理的解决方案已经得到大力推广。
5.3 抗DoS能力
从近年来网络恶性攻击事件情况分析来看,解决DoS攻击也是防火墙必须要考虑的问题了。利用ASIC芯片架构的防火墙,可以利用自身处理网络流量速度快的能力,来解决存在于这个问题上的攻击事件。但是,解决这个问题并不是单单靠ASIC芯片架构就可以的,更多的还是面向对应用层攻击的问题,有待于新技术的出现。
5.4 减慢蠕虫和垃圾邮件的传播速度的功能
作为网络边界的安全设备,未来防火墙发展趋势中,减缓和降低蠕虫病毒与垃圾邮件的传播速度,是必不可少的一部分了。加强防火墙对数据处理中的粒度和力度,已经成为未来防火墙对数据检测高粒度的发展趋势。
5.5 对入侵行为的智能切断
安全是一个动态的过程,而对于入侵行为的预见和智能切断,做为边界安全设备的防火墙来说,也是未来发展的一大课题。从IPS的出发角度考虑,未来防火墙必须具备这项功能。具备对入侵行为智能切断的一个整合型、多功能的防火墙,将是市场的需求。
5.6 多端口并适合灵活配置
多端口的防火墙能为用户更好的提供安全解决方案,而做为多端口、灵活配置的防火墙,也是未来防火墙发展的趋势。
5.7 专业化的发展
单向防火墙、电子邮件防火墙、FTP防火墙等针对特定服务的专业化防火墙将作为一种产品门类出现。 总的来说,未来的防火墙将是智能化、高速度、低成本、功能更加完善、管理更加人性化的网络安全产品的主力军。
参考文献:
[1] 袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.
[2] 常红.网络完全技术与反黑客[M].长春:冶金工业出版社,2001.
[3] 张兆信.计算机网络安全与应用[M].北京:机械工业出版社,2005.
[4] 李大友.计算机网络安全.北京:清华大学出版社,2005.
[5] 徐国爱.网络安全.北京:北京邮电大学出版社,2003.
[6] 屈长青.防火墙及其维护技术研究.沈阳化工学院学报,2002,15.