新一代防火墙技术的应用和发展
摘 要:随着计算机网络技术的不断发展,计算机网络已经在国防、金融、电信、证券、商业以及日常生活中得到了大量的应用,但由于计算机网络多样性、开放性和互连性等诸多特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。所以网上信息的安全和保密是一个至关重要的问题。鉴于此,本文对新一代防火墙技术的应用和发展进行了探讨。
关键词:防火墙;网络;新一代
一、新一代防火墙技术的特点
1、多级过滤技术。
为保证系统的安全性和防护水平,新一代防火墙采用三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。
2、透明的访问方式
以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术从而降低了系统登录固有的安全风险和出错概率。
3、网络地址转换技术。
新一代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4、用户鉴别与加密
为了降低防火墙产品在Telnet FTP等服务和远程管理上的安全风险鉴别功能必不可少第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段并实现了对邮件的加密
5、审计和告警。
新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、己发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
二、新一代防火墙技术的应用和发展
1、智能防火墙技术
智能防火墙是利用统计、记忆、概率和决策的方法来对数据进行识别,并达到访问控制的目的。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地切断恶意病毒或木马的流量攻击。智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。智能防火墙支持包擦洗技术,对IP、TCP、UDP、ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。总之,智能防火墙解决了拒绝服务攻击的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向,与传统防火墙相比有质的飞跃。主要应用领域主要包括:入侵防御、防范黑客攻击、防范潜在风险、防范恶意数据攻击、防范,,智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、身份认证授权和审计管理等方面。
2、嵌入式防火墙技术
嵌入式防火墙也被称为阻塞点防火墙,是内潜于路由器或交换机的防火墙。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。嵌入式防火墙弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序而设计,它确保了企业内部与外部的网络具有以下功能:不论企业局域网的拓扑结构如何变更,防护措施都能延伸到网络边缘为网络提供保护;基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行,甚至在安全性较差的宽带链路上都能实现安全移动与远程接入,可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。能够为那些需要在家访问公司局域网的远程办公用户提供了保护。
3、分布式防火墙技术
分布式防火墙产品是指那些驻留在网络主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品。它包含:(l)网络防火墙。用于内部网和外部网之间和内部网子网之间的保护产品,后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。(2)主机防火墙。对于网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外,如托管服务器或便携式计算机。分布式防火墙克服了传统防火墙的缺陷,它的优势在于:在网络内部增加了另一层安全,有效抵御来自内部的攻击,消除网络边界上的通信瓶颈和单一故障点,支持基于加密和认证的网络应用;与拓扑无关,支持移动计算。主要应用在企业的网络和服务器主机,在于堵住内部网的漏洞,解决来自企业内部网的攻击。分布式防火墙实施在企业各个网络端点上,克服了传统防火墙的缺陷,有效地保护了主机,适应了新的网络应用的需要。
三、结语
总之,随着新的网络攻击方式的出现,对网络宽带提出了更高的要球。这意味着防火墙要能够以非常高的速率处理数据。在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小,同时满足来自灵活性和运行性能的要求。为了满足这种需要,新一代防火墙的研究将任重道远。
参考文献:
[1]周学广、刘艺,信息安全学,北京:机械工业出版社.2003
[2]毛剑,保护隐私的数字产品网上交易方案,电子学报,2005(6)
[3]陈月波,网络信息安全,武汉:武汉工业大学出版社,2005
下一篇:NXG150防火墙的管理与应用