首页 > 信息安全 > 正文

防火墙技术现状与展望

2013-12-16 13:03:56  来源:e-works

摘要:随着信息技术的不断发展,越来越多的个人及企业在处理业务的同时,通过对Internet防火墙合理配置及使用,从而抵挡来自外网的威胁和入侵,提供一种相对安全的网络办公环境。
关键词: 防火墙 网络 服务器

    防火墙是安装在内部网和外部网之间的一种访问控制设备。从图1可以看出,它是不同网络安全域信息的唯一出入口,能根据个人及企业的不同安全需求来控制出入网络的信息流。从物理上讲,各站点防火墙的物理实现方式有所不同,通常来说它是一组硬件设备包括:路由器、主机或是路由器、计算机和配有适当软件的网络的多种组合。从逻辑上讲防火墙是限制器、分离器、分析器。

 

\

    1、防火墙的现状


    1.1 防火墙现阶段主要作用


    (1)增强网络安全性


    允许网络管理员定义一个中心来防止非法访问,通过对服务进行安全监测,将安全性弱的服务过滤掉,从而抗击来自各种路线的攻击。因此,防火墙可以极大地提高网络安全性,降低对内网的安全风险。


    (2)统计内部存取、监控和访问信息


    防火墙记录有关外网的访问请求并统计相关数据。如果防火墙发出警报,则还提供防火墙网络是否受到试探和攻击的细节。对网络数据的统计也可作为相关风险分析。


    (3)安全性集中


    通过配置防火墙安全方案,将一个子网内的所有安全软件集中存放在该系统中,与将分散的网络安全方案相比,防火墙集中式管理更经济、便于维护升级。


    (4)增强个人隐私保护


    因为防火墙可以封装域名服务系统,从而使Internet外部主机无法获取站点和Ip地址,进而使相关网站站点可防止DNS域名服务和finger获取合法用户有用信息。


    1.2防火墙的设计原理


    (1)数据包过滤,包过滤是在网络层根据访问控制表(Access Control Table)(如端口to+目的地址、accept from+源地址、端口+采取的动作、NAT地址转换、deny拒绝等等)进行包选择的,它可以用路由器完成。它是根据包的源端口、目的端口、源IP地址、目的IP地址、封装协议类型(TCP、UDP、ICMP等)、ICMP报文类型等报头信息(如图2、图3)来判断是否允许包通过和过滤用户定义的内容,如IP地址。


    如果数据包满足该过滤规则,则允许通过,否则将此数据包所要到达的网络物理上被断开,起到了保护内部网络的作用。防火墙系统在网络层检查数据包,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。数据包过滤防火墙优点:逻辑简单,网络性能好便于路由器安装;处理包速度比代理服务器快;实现包过滤比较经济,因为这些特点都包含在标准的路由器软件上;透明性好,不必对用户进行特殊的培训和安装特定的软件。缺点:数据包的源地址、目的地址以及IP端口号都在报头容易被假冒和窃听;因为定义数据包过滤器比较复杂,因而维护比较困难;随着过滤器数目的增加,路由器的吞吐量会下降。

 

    \
    

    (2)应用层代理,应用层代理防火墙(如图4)不允许网络直连,通常分为透明代理(Transparent Proxy)、传统代理(Traditional Proxy)。它是接收来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器的单独连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。因此无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。透明代理与传统代理工作原理相似,不同的是传统代理需要在客户端设置代理服务器。一般常见的应用程序有HTTP、SMTP、IRC、NET、FTP、NNTP、IMAP。应用层代理的优点:有强大的日志记录功能,能审查完整的网络数据;应用防火墙可以直接验证用户身份控制远程登录命令。缺点:每个协议都需要单独的代理程序,因此它对新的网络程序或网络协议的支持很有局限性;在对包解析会耗费大量CPU资源,因此会形成网络性能障碍。

 

    \

    1.3防火墙的局限性


    防火墙不能解决来自内部网络的安全问题,而且如果网络管理员对防火墙的不当配置,也会使内部网面临安全威胁。防火墙也不能防止受病毒感染的文件的传输因此需要制定一套严格的规章制度,降低安装黑客程序的可能性,当然尽管有一些防火墙提供了病毒检测功能,病毒还有可能传入被保护网络。同时它也不能防范不经过防火墙的攻击,如果安全网络可以正常拨号连接,那么黑客可以对准许的访问端口对服务器进行漏洞攻击或者进行骗取用户信息的钓鱼攻击。作为网络“屏障”,防火墙也要进行冗余配置避免系统或人为的损坏。


[page]    2、防火墙技术的展望


    2.1 防火墙的发程目标


    我认为现阶段防火墙技术已经引起了个人和企业的广泛关注,随着网络安全技术的不断提高,防火墙技术会朝着广度和深度双向发展,如何使防御即主动又有深度,如何使其加大网络边界防御力度进行研发分布式和嵌入式防火墙,如何从性能上使防火墙处理速度更快,硬件化、小型化提防火墙“单兵作战”能力,将成为日后网络安全系统升级的重要议题。


    2.2 未来防火墙的关键技术


    (1)高速防火墙


    通过采用具有微码编程的网络处理器技术,不但可以各取所需对系统进行及时升级,还能很好地兼容IPV6,而且它还集成了很多硬件协处理单元,使高速检测别的更容易。目前,大多采用ACL算法的CPU防火墙,受到应用协议的不断增加等技术限制,在对应用层进行高速检测上还没有更好的方法。


    (2)单向防火墙


    由于现在网络需求的不断增加,防火墙也有向专业化、硬件化发展的趋势。单向防火墙是为了让信息单向流动,只能从外网流入内网,而不能从内网流出到外网,从而达到一定的保密功能。当然如果将其固化到硬件中,不但会提高防火墙的执行速度,也会大大降低防火墙导致的网络延时。


    (3)防病毒、黑客攻击


    由于TCP/IP协议中的漏洞,冈此防火墙很难防御拒绝服务攻击。如IP欺骗和序列号预测这样的简单攻击,已经使得成为防火墙防御种类的一部分。而且如果防火墙嵌入智能芯片则会更有效的识别恶意数据流量和阻断恶意数据攻击且切断恶意病毒的流量攻击。如果防火墙可以基于MAC设计访问控制机制的话,则可以更好的支持MAC过滤,从而将其访问控制发展到数据链路层,这样便可防止MAC欺骗。


    (4)区域联防技术


    随着非法手段的提升,防火墙主机面临越来越大的安全威胁。因此升级防火墙的系统结构刻不容缓。新型的防火墙一定要是分布式的它需要结合主机型防火墙和个人计算机型防火墙及传统防火墙功能,取长补短,全方位的优化防火墙的防卫结构。其目的是利用各区域的加强防卫动作来化解对手的攻击行为。各终端设置相应的防护功能,彼此之问相互防护,从而保护个人和企业的业务安全。


    (5)深度检测


    因为随着专门针对应用层的WEB攻击现象的增多,使得状态检测防火墙有效性越来越低。深度检测防火墙,将状态检测和应用防火墙技术结合处理应用程序的流量,使其能够对数据流量迅速完成网络层级别的分析,对允许的数据流,根据应用层级别的信息,对负载做进一步决策。深度检测特征有正常化;协议一致性;双向负载检测;应用层加密/解密。


    3、总结


    目前,防火墙技术已经引起了人们的普遍关注,随着因特网基础技术的发展,也要求防火墙技术不断更新。只有对过去和现在防火墙系统面临的问题作充分的了解和总结,才能更高的把握住网络安全的趋势,从而全面、深度的提高防火墙技术,在攻防对弈的局面上占据主动地位,更好的维护个人及企业信息的安全,为人类造福。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。