防火墙技术
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇防火墙技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
防火墙技术范文第1篇
随着计算机和网络在社会中的应用的不断增多,计算机和网络安垒技术正变得越来越重要,部门能够使用的安全设备和软件的不断增多,大量数据纷纷涌人事件日志,致使网络管理员的工作难度越来越高,负担越来越重。
防火墙是一个由软件和硬件设备组合而成,在网络之间实施访问控制的一个系统,通过执行访问控制策略,限制两个网络之间数据的自由流动,通过控制和检测网络之间的信息交换和访问行为实现对网络安全的有效管理。
网络防火墙是加强网络之间访问控制的设备,防止外部网络用户以非法手段通过外部网络进人内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
1.防火墙一般有三个特性:
所有的通信都经过防火墙
防火墙只放行经过授权的网络流量
防火墙能经受的住对其本身的攻击
我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器(Route+ACL),一台多个网络接口的计算机,服务器等,被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。
2.防火墙将保护以下三个主要方面的风险:
机密性的风险
数据完整性的风险
用性的风险
3.防火墙的主要优点如下:
防火墙可以通过执行访问控制策略而保护整个网络的安垒,并且可以将通信约束在一个可管理和可靠性高的范围之内。
防火墙可以限制某些特殊服务的访问。
防火墙功能单一,不需要在安全性、可用性和功能上做取舍。
防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长安全响应的周期。
4.防火墙也有许多弱点:
不能防御已经授权的访问,以及存在于网络内部系统间的攻击。
不能防御合法用户恶意的攻击,以及社交攻击等非预期的威胁。
不能修复脆弱的管理措施和存在问题的安全策略。
不能防御不经过防火墙的攻击和威胁。
5.根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换一NAT、型和监测型。
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单、实用和成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
包过滤技术也有明显的缺陷。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵人,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
网络地址转化―NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。其优点是安垒性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型
监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
监测型防火墙由于实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙:基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安垒性需求,同时也能有效地控制安全系统的总拥有成本。
6.防火墙的不足
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文伴,以及无法防范数据驱动型的攻击。
这样各单位均通过其他手段进行安全强化,如:入侵监测、杀毒软件、网络监控、网络认证等。
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次。不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
防火墙技术范文第2篇
关键词:防火墙;包过滤;自适应;分布式防火墙
中图分类号:TP309.5文献标识码:A文章编号:1009-3044(2010)20-5444-02
1 防火墙及其发展
1.1 防火墙的定义
防火墙的本义原是指古代人们之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、检测)出入网络的信息流,且本身具有较强的抗攻击能力。
1.2 防火墙的工作原理
所有的防火墙都具有IP地址过滤功能。这项任务要检查 IP包头,根据其IP源地址和目标地址和目标地址作出放行/丢弃决定。例如:两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。防火墙的目的和功能通常应用防火墙的目的有一下几个方面:限制他人进入内部网络;过滤掉不安全的服务和非法;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视局域网安全特工方便。
一般来说,防火墙具有以下几种功能:1)可以很方便地监视网络的安全性,并报警;2)允许网络管理员定义一个中心点来防止非法用户进入内部网络;3)利用NAT技术,可以作为部署NAT的地点,将有限的IP地址动态或静态地与内部IP地址对应起来,用来缓解空间短缺的问题。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式地宫部门级的计算。
2 防火墙技术
防火墙的安全技术包括过滤技术、技术、网络地址转换―NAT技术、分布式防火墙技术等。
2.1 包过滤防火墙数据
包过滤防火墙(Proxy)技术是防火墙为系统提供安全保障的主要技术,它通过设备对进出网络的数据流进行有选择的控制和操作。包过滤操作可以在路由器上进行,也可以在网桥,甚至在一个单独的主机上进行。数据包过滤是一个网络安全保护机制,它通过控制存在与某一网段的网络流量类型来控制流出和流入网络的数据,包过滤可以控制存在于某一网段的服务方式。不符合网络安全的那些服务将被严格限制。
包过滤的缺点:1)一些应用协议不要合适于数据包过滤;2)不能彻底防止地址欺骗;3)数据包工具存在很多局限性包过滤防火墙技术有一定的优点,但包过滤毕竟是第一代防火墙技术,本身存在较多缺陷,不能提供较高的安全性。在实际应用中,现在很少把包过滤技术当作单独的安全解决方案,而是把它与其他防火墙技术揉合在一起使用。
2.2 防火墙
防火墙是一种针对特定的用户层协议,它工作于应用层。防火墙能在用户层和应用协议层提供访问控制,是通过编程来弄清用户应用层的流量。服务器作为内部网络客户端的服务器,拦截住所有要求,也向客户端转发响应。客户(proxy client)负责内部客户端向外部服务器发出请求,当然也向服务器转发响应。
技术的缺点:1)对用户不透明;2)服务通常要求对客户、过程之一或两者进行限制;3)对于每项服务可能要求不同的服务器;4)速度较路由器慢。
2.3 分布式防火墙
分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以"分布式防火墙"是一个完整的系统,而不是单一的产品。
分布式防火墙的组成部分根据其所需完成的功能,新的防火墙体系结构包含如下部分:1)中心管理(Central Management):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总;2)主机防火墙(Host Firewall):它是用于内部网与外部网之间,以及内部网各子网之间的防护;3)网络防火墙(Network Firewall):它是用于内部网与外部网之间,以及内部网各子网之间的防护。后者区别于前者的一个特征是需要支持内部网可能有的IP和非IP协议。
4 结束语
未来防火墙技术会全面考虑操作系统的安全、网络安全、数据的安全、应用程序的安全、用户的安全,五者综合应用。与此同时,网络的防火墙产品还将把网络前沿技术,如Web页面超高速缓存、虚拟网络和带宽管理等其自身结合起来。
参考文献:
[1] 董立军,李立明,李峰.计算机网络安全技术[M].北京:中国水利水电出版社,2006.
[2] 楚狂.网络安全与防火墙技术[M].北京:人民政电出版社,2008.
防火墙技术范文第3篇
关键词:防火墙;包过滤;服务器;状态检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)04-10942-01
1 引言
近年来,计算机网络在全球得到了迅速的发展,其应用涉及到社会的各个领域,人们的诸多活动也越来越依赖于网络。然而,网络并非是安全的,由于网络本身存在的安全缺陷,再加上黑客攻击、病毒传播以及各种各样的威胁日益增多,使得网络的安全防线十分脆弱。为了确保网络系统的安全,目前人们研究并使用了多种安全防护措施,防火墙技术就是其中非常重要的一种防御手段。
2 防火墙的概念
防火墙是建立在内部网络和外部网络边界上的一种网络安全检测系统,它可以记录进出网络的数据传输,并且能根据已经制定好的安全策略,决定是否允许数据流通过。其目的是要防止未经授权的通信进出被保护的内部网络,通过边界控制来强化内部网络的安全政策。在这里内部网络被认为是安全和可信赖的,外部网络通常指的是Internet,被认为是不安全的和不可信赖的。
一般来说,防火墙都具有以下这些功能:一是限制来自网络外部的访问,过滤掉不安全的服务和非法用户,保护内部网络资源不受外部的入侵;二是提供集中管理方式,即将所有的安全软件配置在防火墙上来保护内部网络;三是尽可能对外隐藏内部网络的数据、结构和运行状况;四是能完整地记录网络访问情况,一旦网络发生了入侵或者遭到破坏,就可以通过对日志进行审计和查询以获得相关信息。
防火墙作为内部和外部网络之间的一道屏障,两种网络之间的接口,必须满足以下几点才可以起作用:所有进出被保护网络的通信都应该通过防火墙;所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;理论上讲,防火墙本身是不可进入的。
3 防火墙的关键技术
3.1 包过滤技术
包过滤(Packet Filter)技术又称为静态数据包过滤,是最早出现的防火墙技术,虽然防火墙技术发展到现在提出了很多新的理念,但是包过滤仍然是防火墙为系统提供安全保障的主要技术,它可以阻挡攻击,禁止外部/内部访问某些站点以及限制单个IP地址的流量和连接数。包过滤技术的原理是在网络层中依据过滤规则和包头信息选择性地转发或阻断数据包。用户可以根据自身的安全需求制定相关的规则,这些规则存储在包过滤设备的端口中,当数据包到达端口时,防火墙会依据这些过滤规则,独立地审查每个数据包的包头,根据数据包的源地址、目的地址、所使用的TCP或UDP端口、包头中的各种标志位及用来传送数据包的协议等因素来确定是允许该数据包通过还是删除该数据包。
包过滤技术的优点是简单实用,处理速度快,而且它对于用户来说是透明的,合法用户在进出网络时,根本感觉不到它的存在。同时,包过滤技术的缺陷也很明显的:一是安全性低,一般的包过滤防火墙对数据包数据内容不做任何检查,只检查数据包头信息,无法彻底防止地址欺骗;二是过滤规则很难配置,规则之间会存在冲突或漏洞,检查起来相对困难;三是缺少日志功能,当系统被渗入或被攻击时,很难得到大量的有用信息。
3.2 服务器技术
服务器(Proxy Server)在网络应用层提供授权检查,并且在内部用户与外部主机进行信息交换时起到中间转发作用。当内部客户机要使用外部服务器的数据时会向其发出访问请求,服务器接收到该请求后会检查其是否符合规定,如果规则允许,服务器会修改数据包中的IP地址,然后发送给外部服务器,此时会认为是服务器发送访问请求;同样外部服务器返回的数据包会经过服务器的检测,得到允许后转发给发送请求的客户机。服务器运行在两个网络之间,对于客户机来说像是一台真的服务器,对于外界的服务器来说它又是一台客户机。由于每个内外网络之间的连接都要经过服务器的介入和转换,因此没有给内外网络的计算机以任何直接会话的机会,从而确保内部网络安全。
服务器的优点是有安全性好,能有效隔离内外网的直接通信,实施较强的数据流监控、过滤和日志功能。但是它也存在一些缺陷,首先它会使访问速度变慢,因为进出网络的每次通信都必须经过,而服务都要消耗一定的时间;其次,对于每一种应用服务都必须为其设计一个专门的软件模块来进行安
全控制,而且,并不是所有的互联网应用软件都可以使用服务。
3.3 状态检测技术
状态检测(Stateful Inspection)防火墙又叫做动态包过滤防火墙,是在传统包过滤技术的基础上进行改进的结果,传统包过滤技术只能检查单个的数据包并且安全规则是静态的,而状态检测防火墙可以将前后数据包的上下文联系起来,根据过去的通信信息和其他应用程序获得的状态信息动态生成过滤规则,并根据此规则过滤新的通信。而新的通信结束后新生成的过滤规则将自动从规则表中删除。
状态检测防火墙的理论基础是使用客户机/服务器模式进行的连接具有连接状态,最典型的是TCP连接,TCP连接必须经过3次握手,在这些不同的阶段中其状态是不一样的,而状态的转换又有着其规律,因此防火墙通过TCP包头的标志位就可以确定连接处于何种状态,一旦发现所发送包和状态不符,就可认为是状态异常的包进行拒绝,而不必对IP地址或TCP端口进行检查。
状态检测防火墙中有一个规则集和一个状态表(State Table)。状态表中保留着当前活动的合法连接,它的内容是动态变化的。当防火墙接收到初始化TCP连接的数据包时,会根据事先设定的静态规则集对此数据包进行检查,如果在检查所有的规则之后,该数据包都没有被允许通过,那么拒绝此次连接。如果该数据包被接受,则在状态表中记录下该连接的相关信息。对于随后的数据包,就将其与状态表里纪录的连接内容进行比较,如果状态表中存在此会话而且数据包状态正确,则接受此数据包,否则丢弃。
这种方式的好处在于:不是每个数据包都要和安全规则比较,只有在新的请求连接的数据包到来时才进行安全检查,从而提高了系统的性能;而且状态表是动态的,保存了数据包的状态信息,安全性高。
4 防火墙的局限性
虽然防火墙能够提高网络的安全性,但它并不是全能的,它也具有一定的局限性:
4.1 防火墙不能防范不通过它的连接。
防火墙一般位于内部网络的边界上,监控所有通过它的通信,如果信息能够通过无线接入技术或拨号访问等方式绕过防火墙进出网络,那么防火墙就没有任何用处。
4.2 防火墙不能防范全部的威胁。
防火墙是在已知的攻击模式下制定相应的安全策略的,因此能够防范已知的威胁,对于全新的攻击方式则难以有效。
4.3 防火墙不能防止感染了病毒的软件或文件的传输。
虽然很多防火墙都会对通过的所有数据包进行安全检测,已决定是否允许其通过,但一般只会检查数据包的包头部分,对数据包的具体内容不太关心。即使是最先进的数据包过滤,在病毒防范上也是不适用的,因为病毒的种类太多,操作系统也有多种,而且有很多方法可以将病毒在数据中隐藏起来,因此不能期望防火墙能替代杀毒软件。要解决病毒问题还必须在每台主机上安装专门的杀病毒软件。
4.4 防火墙不能防范内部用户的恶意行为。
由于内部用户进行的偷窃数据或其它破坏行为都处于网络内部,其各种信息均不通过防火墙,因此防火墙无法阻止。
5 防火墙的发展方向
随着网络技术的发展,黑客攻击、恶意软件及病毒等各种安全威胁的进一步升级,促使防火墙也在不断发展。
5.1 目前的防火墙采取数据匹配检查的方法,安全性越高,需要的计算量就越大,效率也就随之降低。未来的防火墙要求是高安全性和高效率的统一。使用专门的芯片负责访问控制功能,设计新的防火墙的技术构架是未来防火墙的方向。
5.2 分布式防火墙。当前的防火墙一般都是边界防火墙,只能监控通过防火墙的数据,并且认为内部网络是绝对安全的。然而事实并非如此,网络上的很多灾难常常是由内部用户的无意或恶意行为造成的,于是提出了分布式防火墙的概念。分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三个部分,对网络边界、各子网和网络内部各节点之间的进行安全防护。这种方式加强了对内部网络的监控,构建了一个全方位的保护体系。
5.3 联动防火墙。基于防火墙本身的局限性以及其他安全技术的成熟应用,出现了联动防火墙的概念。将防火墙同其他安全设备进行整合,充分发挥各自的优势,协同配合,架构起立体的安全防范体系。例如将防火墙与防病毒产品联动,可以在网关处对病毒进行查杀,将病毒阻挡在网络之外。此外防火墙与入侵监测系统的联动也是非常重要的,因为两种技术有很强的互补性。
5.4 智能防火墙。智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。智能防火墙能解决普遍存在的拒绝服务攻击(DDOS)的问题,病毒传播的问题和高级应用入侵的行为,比传统的防火墙更安全,效率更高。
6 结束语
防火墙是网络安全的屏障,能有效地提高网络的安全性,但不要将网络安全单纯的依赖于防火墙,它仅是全面的安全策略中的一个重要组成部分,应该和防病毒、入侵检测、数据加密、身份认证等安全防护技术结合起来,共同建立一个有效的安全防范体系。
参考文献:
[1]黎连业,张维,向东明.防火墙及其应用技术[M].北京:清华大学出版社,2004.7.
[2]胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.1.
[3]陈天洲,陈纯,谷小妮.计算机安全策略[M].浙江大学出版社,2004.8.
防火墙技术范文第4篇
关键词:网络安全;防火墙
1从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packetfiltering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用(ApplicationProxy)型。
应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。
类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
5按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).
防火墙技术范文第5篇
关键词:网络安全 防火墙 网络处理器
Abstract:Personal transparent firewall can protect personal computer from being attacked and avoid that personal data is stilled。 Because small volume and used easily, it will be adopted for net protection。
Key words:Network security Firewall Network processor
前言
随着计算器的普及,尤其网络的普及,人们习惯使用个人计算机、智能终端处理、保存日常工作、生活的信息或资料。最近我国首个个人信息保护专项的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》已完成,正在报批【1】。“个人信息保护”国家标准将有利于人们重视个人信息安全问题。绝大数用户忽视信息安全,停留于计算机病毒、木马程序的概念,对黑客的能力一无所知。由于个人计算机和智能终端具有网络通信和更新程序的功能,黑客可以通过操作系统或应用软件的漏洞或后门对个人计算机或智能终端进行攻击并埋下黑客软件,或者利用用户的好奇或无知在网上传播黑客软件。常听到的黑客软件主要是获取账号密码。但不被人知道的黑客软件更为可怕,它可能专门攻击某个人使其个人计算机或智能终端的数据完全暴露在他的眼下。
不管是否安装杀毒防毒软件,只要运行网络监测程序就可以发现许多网络连接或网络通信。可以说由于黑客攻击的多样性,安装在个人计算机上的杀毒软件只能降低黑客的可能性,难以抵挡黑客的入侵,对有针对性的黑客的所作所为无动于衷。
虽然大部分单位会在互联网接入口安装企业级防火墙,但由于它仅防止来自互联网的已知攻击或人们熟知的攻击,对内网基本上不具备防范能力。
因此,为阻止黑客的入侵或攻击,防止黑客获取数据,最有效办法是在个人计算机外增加个人硬件防火墙。本文将介绍个人硬件透明防火墙。
1、透明防火墙
网络安全技术中最常用是防火墙技术,通过网络访问控制策略抵御外部攻击。通常人们把使用防火墙技术仅用于抵御外网入侵的计算器称为硬件防火墙,应用在个人计算器上的防火墙技术称为软件防火墙。目前防火墙已经成为计算器操作系统的一个组成部分,软件防火墙的概念已成为历史。
透明防火墙是一种专用网络安全设备,它具有防火墙的各种功能,它特别之处是不影响网络的拓扑结构,在网络外侧不能发现它的存在,黑客不可能对它发动攻击。透明防火墙具有更高的智能程度,在黑客攻击过程仍确保主机的运行。透明防火墙是单主机专用很容易判断主机通信是否合理,因而能避免信息泄漏或削弱隐藏在主机的黑客软件的活动能力。
2、硬件结构
个人透明防火墙是专门为个人计算机设计的透明防火墙,要求使用方便、便于携带。因此,个人透明防火墙硬件结构紧凑,外表看有两个网络口,好像一个网络联机器,用户只要把个人透明防火墙串在网在线,即一个网络接口与计算机的网口连接,另一个与网络连接,再通过usb接口向个人透明防火墙提供电源,个人透明防火墙就开始工作。
个人透明防火墙内部由继承网口的网络处理器以及支持网络处理器工作的DDR RAM和NAND FLASH组成。严格意义上个人透明防火墙是一个高度智能化的网桥。
3、透明防火墙算法
防火墙技术必须在操作系统的核心态实现。利用开源操作系统实现硬件防火墙具有较高的安全性,Linux是真正的开源操作系统,因此大部分硬件防火墙选用Linux操作系统。操作系统实现防火墙技术是在网络处理过程设立监控点,通过访问策略决定信息包的去留。在Linux内核中为实现防火墙功能增加网络过滤的钩子函数NF_HOOK。即,在网络信息处理过程中可利用内核其他功能或其他内核模块的其他功能提高网络的安全性。Linux内核为arp、bridge、decnet、ipv4、ipv6等网络通信定义了标识,对应为NFPROTO_ARP、NFPROTO_BRIDGE、NFPROTO_DECNET、NFPROTO_IPV4、NFPROTO_IPV6。根据处理位置定义了5个标识PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT、POST_ROUTING。在Linux的netfilter中已经实现包过滤的防火墙算法,并结合iptables实现防火墙功能。大部分硬件防火墙就是利用Linux的netfilter和iptables实现的。
但要求非计算器专业人士直接使用iptables进行设置是难度极高的,而且iptables采用链表方式,在链表较长的情况下运行效率比较低,所以直接使用iptables作为透明防火墙效果一般;虽然linux已为ipv6设置NF_HOOK,但iptables并不真正支持ipv6,所以,仅靠iptables或iptables-ipv6还不能有效实现网络安全。
从Linux的NF_HOOK分类可以看到只有bridge属于结构分类,其他为协议分类,因此在个人透明防火墙主要针对bridge进行数据监测最有成效。所有通过网桥的信息,不管使用什么协议,均可以在bridge的监测点监测。
4、用户接口
为防止黑客通过http端口破坏透明防火墙的运作,方便用户设置和及时知道黑客可能的攻击情况,透明防火墙采用独立的控制软件,把透明防火墙的监测数据转入个人计算机进行处理,通过动态追踪方式实现通信审计工作。
结语
通过接入透明防火墙,有效隔离各种广告信息,断开计算机在启动过程形成的各个连接。通过接入透明防火墙的前后比对,发现接上透明防火墙后内存剩余空间明显增加。
