0373-5939925
2851259250@qq.com
浅谈Internet防火墙技术
作者:王艳淑、贺慧来源:《美与时代》日期:2014-04-12人气:1353
21世纪全世界的计算机不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
一、防火墙的分类
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
(一)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。
(二)网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。
(三)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
(四)监测型
监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
二、现代企业面临的安全风险
现代企业对网络依赖主要来自于运行在网络上的各种应用,同样的,网络的范围也覆盖到整个企业的运营区域。
(一)网络内部
网络内部,即面向企业内部员工的工作站,我们不能保证用户每一次操作都是正确与安全的,绝大情况下,他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。
(二)混合性威胁
用多种方法和技术来传播和实施的攻击或威胁,因而必须有多种方法来保护和压制这种攻击或威胁。如: CodeRed. CodeRed II. CodeBlue. Nimda.
三、利用防火墙解决企业中存在的安全风险
通过在内部网络中的每台工作站上部署防病毒,防火墙,入侵检测,补丁管理与系统监控,我们可以集中收集内部网络中的威胁,分析面对的风险,灵活适当的调整安全管理策略。更重要的就是从网络结构上的接入层,汇聚层和核心交换层设备上做好访问控制与流量管理。
如果部署安全策略,在提高安全性的同时,势必会影响其可用性。这个矛盾是不可调和的。关键区域的防火墙主要是面对内部用户,保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁,也要提供诸如NAT服务,出站控制,远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域,提供深层次的检测与告警。因为一旦涉及到数据包深入检测,将会大大影响设备的性能。
如今的防火墙的功能越来越强大,这里我们选择业界一流的防火墙CheckPoint的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。 简单来说,状态检测技术工作在OSI参考模型的Data Link与Network层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速,有效的控制数据的进出和做出控制决策。
CheckPoint的Web Intelligence,有一种名为Malicious Code Protector(可疑代码防护器)来提供对应用层的保护。如何去判断上述的一些威胁呢?MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码,模拟行来判断攻击,将可执行代码放置到一个虚拟的仿真服务器中运行,检测是否对虚拟系统造成威胁,最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击,并且误报率相当低。
四、结 论
一个好的防火墙应该具有高度安全性、高透明性和高网络性能。 此外,人们也在开展其他计算机网络安全技术的研究,随着Internet在我国的迅速发展,防火墙技术引起了各方面的广泛关注。 一方面在对国 外信息安全和防火墙技术的发展进行跟踪,另一方面也已经自行开展了一些研究工作。目前使用较多的,是在路由器上采用分组过滤技术提供安全保证,对其它方面的技术尚缺乏深入了解。防火墙技术还处在一个发展阶段,仍有许多问题有待解决。 因此,密切关注防火墙的最新发展,对推动Internet在我国的健康发展有着重要的意义。
【参考文献】
[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001
[2]段钢.加密与解密(第二版)[M].北京:电子工业出版社,2003
【作者单位:郑州经贸职业学院计算机系】
一、防火墙的分类
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
(一)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。
(二)网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。
(三)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
(四)监测型
监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
二、现代企业面临的安全风险
现代企业对网络依赖主要来自于运行在网络上的各种应用,同样的,网络的范围也覆盖到整个企业的运营区域。
(一)网络内部
网络内部,即面向企业内部员工的工作站,我们不能保证用户每一次操作都是正确与安全的,绝大情况下,他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。
(二)混合性威胁
用多种方法和技术来传播和实施的攻击或威胁,因而必须有多种方法来保护和压制这种攻击或威胁。如: CodeRed. CodeRed II. CodeBlue. Nimda.
三、利用防火墙解决企业中存在的安全风险
通过在内部网络中的每台工作站上部署防病毒,防火墙,入侵检测,补丁管理与系统监控,我们可以集中收集内部网络中的威胁,分析面对的风险,灵活适当的调整安全管理策略。更重要的就是从网络结构上的接入层,汇聚层和核心交换层设备上做好访问控制与流量管理。
如果部署安全策略,在提高安全性的同时,势必会影响其可用性。这个矛盾是不可调和的。关键区域的防火墙主要是面对内部用户,保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁,也要提供诸如NAT服务,出站控制,远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域,提供深层次的检测与告警。因为一旦涉及到数据包深入检测,将会大大影响设备的性能。
如今的防火墙的功能越来越强大,这里我们选择业界一流的防火墙CheckPoint的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。 简单来说,状态检测技术工作在OSI参考模型的Data Link与Network层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速,有效的控制数据的进出和做出控制决策。
CheckPoint的Web Intelligence,有一种名为Malicious Code Protector(可疑代码防护器)来提供对应用层的保护。如何去判断上述的一些威胁呢?MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码,模拟行来判断攻击,将可执行代码放置到一个虚拟的仿真服务器中运行,检测是否对虚拟系统造成威胁,最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击,并且误报率相当低。
四、结 论
一个好的防火墙应该具有高度安全性、高透明性和高网络性能。 此外,人们也在开展其他计算机网络安全技术的研究,随着Internet在我国的迅速发展,防火墙技术引起了各方面的广泛关注。 一方面在对国 外信息安全和防火墙技术的发展进行跟踪,另一方面也已经自行开展了一些研究工作。目前使用较多的,是在路由器上采用分组过滤技术提供安全保证,对其它方面的技术尚缺乏深入了解。防火墙技术还处在一个发展阶段,仍有许多问题有待解决。 因此,密切关注防火墙的最新发展,对推动Internet在我国的健康发展有着重要的意义。
【参考文献】
[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001
[2]段钢.加密与解密(第二版)[M].北京:电子工业出版社,2003
【作者单位:郑州经贸职业学院计算机系】
热门排行
推荐信息
期刊知识
- 我用了一个很复杂的图,帮你们解释下“23版最新北大核心目录有效期问题”。
- 重磅!CSSCI来源期刊(2023-2024版)最新期刊目录看点分析!全网首发!
- CSSCI官方早就公布了最新南核目录,有心的人已经拿到并且投入使用!附南核目录新增期刊!
- 北大核心期刊目录换届,我们应该熟知的10个知识点。
- 注意,最新期刊论文格式标准已发布,论文写作规则发生重大变化!文字版GB/T 7713.2—2022 学术论文编写规则
- 盘点那些评职称超管用的资源,1,3和5已经“绝种”了
- 职称话题| 为什么党校更认可省市级党报?是否有什么说据?还有哪些机构认可党报?
- 《农业经济》论文投稿解析,难度指数四颗星,附好发选题!
- 期刊知识:学位论文完成后是否可以拆分成期刊论文发表?
- 号外!出书的人注意啦:近期专著书号有空缺!!
