爱华网
引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。
2.Internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
●过滤进、出网络的数据;
●管理进、出网络的访问行为;
●封堵某些禁止行为;
●记录通过防火墙的信息内容和活动;
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
●对网络攻击进行检测和告警。
4)有效地阻止破坏者对你的计算机系统进行破坏。
3.1基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(AccessList)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足之处十分明显,具体表现为:
●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。
●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,所以一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来更多的错误。
●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种方法去对付黑客的攻击是存在蛮大的风险的
3.2用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:配置和维护过程复杂、费时;对用户的技术要求比较高;全软件实现的同时,使用中出现差错的情况也很多。
3.3建立在通用操作系统上的防火墙
由于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品
近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:
1)它们是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)可以更安全的保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度也大大的提高了。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时
间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
4.第四代防火墙的主要技术及功能:第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能:
4.1双端口或三端口的结构:新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部
之间,另一个网卡可专用于对服务器的安全保护。
4.2透明的访问方式:以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率
4.3灵活的代理系统:代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
4.4多级过滤技术:为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
4.5网络地址转换技术:第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6Internet网关技术:由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
4.7安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。
SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
4.8用户鉴别与加密
为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
4.9用户定制服务:为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。
4.10审计和告警:第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
5.第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。
5.1安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:
1)取消危险的系统调用;2)限制命令的执行权限;3)取消IP的转发功能;4)检查每个分组的接口;5)采用随机连接序号;6)驻留分组过滤模块;7)取消动态路由功能;8)采用多个安全内核。
5.2代理系统的建立
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。
在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:
1)源地址;2)目的地址;3)时间;4)同类服务器的最大数量。
5.3分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。
)进站接口;2)出站接口;3)允许的连接;4)源端口范围;5)源地址;6)目的端口的范围等。
5.4安全服务器的设计
安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:
1)解决分组过滤器与SSN的连接;2)支持通过防火墙对SSN的访问;3)支持代理服务。
5.5鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(CryptoCard);另一种是SecureID,这两种都是一次性口令的生成工具。
对信息内容的加密与鉴别则涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和主权,各国有不同的要求。
6.第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
1抗IP假冒攻击;2抗特洛伊木马攻击;3抗口令字探寻攻击;4抗网络安全性分析;5抗邮件诈骗攻击
7.防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
•伴随着防火墙技术的不断发展,我们便可以更放心的在网上自由畅游,因为防火墙的技术越来越完善了,不过人们选择防火墙的标准也将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面上。
12楼
“状态监视”(StatefulInspection)技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(SessionFiltering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,
里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,
那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,
从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。防火墙论文全套出售,有意者请联系QQ66170166
五.防火墙的典型配置
目前比较流行的有以下三种防火墙配置方案。
1、双宿主机网关(DualHomedGateway)
这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。
堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。双宿主机网关有一个致命弱点,
一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络(如图1)。
2、屏蔽主机网关(ScreenedHostGateway)
屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。
一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接(如图2)。
通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,
确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。
双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器(如图3)。
双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。
3、屏蔽子网(ScreenedSubnet)
这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图4),
两个路由器一个控制Intranet数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,
但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。
这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。防火墙论文全套出售,有意者请联系QQ66170166
当然,防火墙本身也有其局限性,如不能防范绕过防火墙的入侵,像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之,防火墙只是一种整体安全防范策略的一部分,仅有防火墙是不够的,
安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。
六.各种防火墙体系结构优缺点
(1)双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),它围绕双重宿主主计算机构筑。该计算机至少有2个网络接口,位于因特网与内部网之间,并被连接到因特网和内部网。2个网络都可以与双重宿主主机通信,但相互之间不行,它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。它能提供级别非常高的控制,并保证内部网上没有外部的IP包。但这种体系结构中用户访问因特网的速度会较慢,也会因为双重宿主主机的被侵袭而失效。(2)被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间,提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统,通常因为它暴露于因特网之下,作为联结内部网络用户的桥梁,易受到侵袭损害。这里它位于内部网上,数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接(由站点安全策略决定)到外部世界。在屏蔽路由器中,数据包过滤配置可以按下列之一执行:①允许其他内部主机,为了某些服务而开放到因特网上的主机连接(允许那些经由数据包过滤的服务)。②不允许来自内部主机的所有连接(强迫这些主机经由堡垒主机使用代理服务)。 这种体系结构通过数据包过滤来提供安全,而保卫路由器比保卫主机较易实现,因为它提供了非常有限的服务组,因此这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。
弊端是,若是侵袭者设法入侵堡垒主机,则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在;路由器同样可能出现单点失效,若被损害,则整个网络对侵袭者开放。
(3)被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器(因为它可被因特网上用户访问),我们添加额外的安全层到被屏蔽主机体系结构中,将堡垒主机放在额外的安全层,构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络,为系统提供了安全的附加层,称之为周边网。这种体系结构有2个屏蔽路由器,每1个都连接到周边网。1个位于周边网与内部网之间,称为内部路由器,另1个位于周边网与外部网之间,称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络,必须通过2个路由器,即使他侵入了堡垒主机,仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。
七.对防火墙技术的防火墙难于管理和配置,易造成安全漏洞这一缺点进行改进(或避免)防火墙论文全套出售,有意者请联系QQ66170166
缺点:防火墙的管理及配置相当复杂,要想成功的维护防火墙,要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说,由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成的防火墙,管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明,30%的入侵发生在有防火墙的情况下。尤其目前国内使用的多数防火墙产品又都是国外的,其复杂的用户界面和英文说明,使多数管理员望而却步。
对此可做如下改进:很容易看出,关于管理上的安全问题,关键在于提高管理员的素质,积极学习安全管理以及网络安全知识,熟练掌握防火墙的系统配置关系,多多实践,积累足够的经验,多个系统防火墙的管理一定要有高度认真,负责的精神,当然,由于防火墙产品多数来自国外,所以其管理人员一定要有有关方面的比较高的英语水平。总而言之,归根结底还是一个管理者素质的问题!提高管理者的素质,无疑是该问题的关键!
十. 防火墙的发展趋势
1.优良的性能
新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全,而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护,但是同时它也成为限制网络带宽的瓶颈,这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。自然,数据通过率越高,防火墙性能越好。现在大多数的防火墙产品都支持NAT功能,它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边,但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行,否则将成为网络通信的瓶颈。
2.可扩展的结构和功能
对于一个好的防火墙系统而言,它的规模和功能应该能够适应内部网络的规模和安全策略的变化。选择哪种防火墙,除了应考虑它的基本性能之外,毫无疑问,还应考虑用户的实际需求与未来网络的升级。
未来的防火墙系统应是一个可随意伸缩的模块化解决方案,从最为基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。
3.简化的安装与管理防火墙论文全套出售,有意者请联系QQ66170166
防火墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时,若防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面。NT防火墙市场的发展证明了这种趋势。WindowsNT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常落后于基于Unix的防火墙,但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售。
14楼
4.主动过滤
防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如,许多防火墙具有内置病毒和内容扫描功能或允许用户与病毒与内容扫描程序进行集成。今天,许多防火墙都包括对过滤产品的支持,并可以与第三方过滤服务连接,这些服务提供了不受欢迎Internet站点的分类清单。防火墙还在它们的Web代理中包括时间限制功能,允许非工作时间的冲浪和登录,并提供冲浪活动的报告。
5.防病毒与防黑客
尽管防火墙在防止不良分子进入上发挥了很好的作用,但TCP/IP协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中,攻击者试图使企业Internet服务饱和或使与它连接的系统崩溃,使Internet无法供企业使用。防火墙市场已经对此做出了反应。虽然没有防火墙可以防止所有的拒绝服务攻击,但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像序列号预测和IP欺骗这类简单攻击,这些年来已经成为了防火墙工具箱的一部分。像SYN泛滥这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务,这样没有数据流可以进入。
十一. 技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。如今,Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,成为了本文探讨的重点。
几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。防火墙论文全套出售,有意者请联系QQ66170166
十.结束语
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
十一.参考文献
1、梅杰,许榕生.Internet防火墙技术最新发展.微电脑世界.1996,6:27-30上海共享网
2、林晓东,杨义先.网络防火墙技术.电信科学
3、黄允聪,严望佳.防火墙的选型、配置、安装和维护.
