現(xiàn)階段的防火墻技術(shù)知識介紹
Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能夠使機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性大大增強(qiáng)。要使一個防火墻有效,所有的Internet信息都必須經(jīng)過這一道防火墻,接受防火墻的安全檢查。只有授權(quán)的數(shù)據(jù)才能夠通過防火墻,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統(tǒng)一旦發(fā)生被攻擊者現(xiàn)象時,就不能為我們提供任何的保護(hù)了。――我們應(yīng)當(dāng)特別注意的是,Internet不只是由堡壘主機(jī)和路由器以及其他設(shè)備共同形成的防火墻,它本身還是一個重要的安全方式。下面就由學(xué)習(xí)啦小編跟大家說說現(xiàn)階段的防火墻技術(shù)知識有哪些。
現(xiàn)階段的防火墻技術(shù)知識介紹一:
一、防火墻功能
總結(jié)來說,有這樣幾個功能:
(一)將不可靠的服務(wù)與不合法的用戶清除。
(二)訪問特殊的網(wǎng)站會有限制。
(三)可以進(jìn)行互聯(lián)網(wǎng)的安全和預(yù)警的檢測。
二、防火墻的技術(shù)
根據(jù)層次可以將防火墻分成兩類,一個是報文過濾,另一個是應(yīng)用層網(wǎng)關(guān)。前者是于IP層進(jìn)行的,在是因特網(wǎng)時,完全不能感受到它,操作十分簡單。它有一個特別明顯的弱點就是不可以在用戶的級別中進(jìn)行過濾處理,也就是無法辨別不一樣的用戶,也不能阻止惡意盜取IP地址的行為。若是有人將自己的IP地址改成一個合法的地址,完全能夠輕松地躲過過濾的危機(jī)。
這種過濾形式也可以用應(yīng)用層網(wǎng)關(guān)將弱點改善??梢岳枚喾N方式對應(yīng)用層進(jìn)行防火墻的設(shè)置,以下就是幾種常見的設(shè)計。
(一)應(yīng)用代理服務(wù)器(Application Gateway Proxy)
此類防火墻是在應(yīng)用層進(jìn)行保護(hù)的,主要就是檢查授權(quán)以及一些代理業(yè)務(wù)。如果外面的主機(jī)想要訪問這個網(wǎng)站,就一定要先在這里驗證一下身份。只有驗證合格之后,才會專門為用戶專門一個程序,將外面的主機(jī)連接進(jìn)來。整個過程中,防火墻完全可以攔截外部主機(jī)的訪問,也可以控制訪問的方式與時間。另外,受到了防火墻保護(hù)的內(nèi)部用戶如果需要連接到外部的主機(jī),也要經(jīng)過驗證,才能執(zhí)行各項指令。
這種防火墻有一個顯著的優(yōu)勢,就是將內(nèi)部的IP地址掩藏起來,也能夠給個別的用戶訪問的權(quán)利。即使有人真的運用了一個正常的IP地址,也無法經(jīng)過嚴(yán)格的認(rèn)證程序。這種方式在安全性上比報文過濾更出色。然而,這種方式也因此讓應(yīng)用網(wǎng)關(guān)無法保持透明度,用戶往往需要不斷認(rèn)證,有許多不方面的地方。另外,這種技術(shù)還要在每個網(wǎng)關(guān)都設(shè)置專門的訪問程序。
(二)回路級代理服務(wù)器
這就是人們常用的一般的服務(wù)器,可以進(jìn)行多項協(xié)議,卻無法解釋應(yīng)用協(xié)議,一定要以其它的方式來獲取信息。因此,這種服務(wù)器往往需要用戶程序進(jìn)行修改。
這種服務(wù)器也被稱為套接字服務(wù)器,意味著這是一個以國際標(biāo)準(zhǔn)為準(zhǔn)神的一種技術(shù)。如果受到了保護(hù)的客戶機(jī)要跟外面的網(wǎng)絡(luò)進(jìn)行信息的交流,只有防火墻上面的服務(wù)器對用戶進(jìn)行各項的認(rèn)證之后,沒有問題,才能讓套接字服務(wù)器跟外面的服務(wù)器進(jìn)行連接。站在用戶的位置上,看到的保護(hù)網(wǎng)與外面的網(wǎng)絡(luò)進(jìn)行信息交流的時候完全是透明的,根本感受不到有一層防火墻,就因為所有的用戶都不必登錄進(jìn)入防火墻。然而,在客戶端使用的用戶所用的軟件一定要適應(yīng) “Socketsified API”,受到保護(hù)的用戶在進(jìn)入公共網(wǎng)的時候所用的IP地址全都是屬于防火墻的。
(三)IP通道(IP Tunnels)
有時會有這樣的情況出現(xiàn),一個公司有多個分公司,利用互聯(lián)網(wǎng)互相傳遞信息。這時候,就能夠利用IP Tunnels來阻礙網(wǎng)上的黑客對信息的攔截,這樣就形成了一個互聯(lián)網(wǎng)上的虛擬企業(yè)系統(tǒng)。
假如分公司的網(wǎng)絡(luò)中的一臺主機(jī)要傳遞報文給另一個分公司,這個報文在通過本網(wǎng)的防火墻的時候,會先判斷一下報文是不是發(fā)到同一個系統(tǒng)中的分公司的。如果是,就再添上一個爆頭,這樣就形成了到另一個分公司防火墻的報文。原先發(fā)出報文的IP地址也會加入數(shù)據(jù)系統(tǒng)一起加密傳送到另一個分公司的防火墻。;另一個分公司的防火墻在接收到這則報文以后,會再判斷其IP地址是不是同一個公司系統(tǒng)之內(nèi)的。如果是,就將報頭去除,再進(jìn)行解密,傳輸?shù)骄W(wǎng)絡(luò)中。從網(wǎng)絡(luò)上看,就是兩方的防火墻在進(jìn)行信息交流。如果有黑客進(jìn)行偽裝的報文傳送,就會因為不能進(jìn)行解密而被傳送失敗。
(四)網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT Network Address Translate)
如果受到保護(hù)的網(wǎng)絡(luò)連接到了互聯(lián)網(wǎng)上,用戶訪問互聯(lián)網(wǎng)的時候,就必須用合法的IP地址。然而,合法的互聯(lián)網(wǎng)地址數(shù)量是有限的,并且受到保護(hù)的網(wǎng)絡(luò)一般也都有獨到的網(wǎng)絡(luò)地址方案。網(wǎng)絡(luò)地址轉(zhuǎn)換器是將一個合法的網(wǎng)絡(luò)地址集團(tuán)安裝到防火墻上面。如果內(nèi)網(wǎng)的用戶想要訪問互聯(lián)網(wǎng),防火墻就會自動從準(zhǔn)備好的地址集團(tuán)中給用戶挑選一個還沒有分配的地址,這個用戶可以利用這一地址傳遞信息。另外,一些內(nèi)網(wǎng)的服務(wù)器,如Web,轉(zhuǎn)換器可以給它分配一個固定的地址來使用。外網(wǎng)的用戶也可以在經(jīng)過了防火墻驗證之后訪問到內(nèi)網(wǎng)的信息。此類技術(shù)可以讓主機(jī)多、IP地址少的問題得到緩解,在外網(wǎng)也無法獲取內(nèi)網(wǎng)的IP地址,更加安全可靠。
(五)隔離域名服務(wù)器(Split Domain Name Sever)
此類技術(shù)是利用防火墻來分離受到了保護(hù)的網(wǎng)絡(luò)所擁有的域名服務(wù)器與外網(wǎng)的域名服務(wù)器的,這樣外網(wǎng)的域名服務(wù)器只可以見到防火墻上的IP地址,不能看到受到了保護(hù)的網(wǎng)絡(luò)的信息,如此就能夠讓受到了保護(hù)的網(wǎng)絡(luò)擁有的IP地址得到保護(hù)。
(六)郵件轉(zhuǎn)發(fā)技術(shù)(Mail forwarding)
如果防火墻運用了以上說的幾類技術(shù)形式而讓外網(wǎng)只能夠了解到防火墻上的IP地址和域名的時候,那些外網(wǎng)傳遞過來的郵件也只能發(fā)送到防火墻。防火墻會對郵件進(jìn)行來源檢測,如果其來源的地址是合法的,也是符合傳遞要求的,防火墻才會轉(zhuǎn)換郵件,傳送到內(nèi)網(wǎng)的郵件服務(wù)器,再轉(zhuǎn)發(fā)到目標(biāo)主機(jī)上。
現(xiàn)階段的防火墻技術(shù)知識介紹二:
21世紀(jì)全世界的計算機(jī)不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。
一、防火墻的分類
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。
(一)包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。
(二)網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。
(三)代理型
代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。
(四)監(jiān)測型
監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。
二、現(xiàn)代企業(yè)面臨的安全風(fēng)險
現(xiàn)代企業(yè)對網(wǎng)絡(luò)依賴主要來自于運行在網(wǎng)絡(luò)上的各種應(yīng)用,同樣的,網(wǎng)絡(luò)的范圍也覆蓋到整個企業(yè)的運營區(qū)域。
(一)網(wǎng)絡(luò)內(nèi)部
網(wǎng)絡(luò)內(nèi)部,即面向企業(yè)內(nèi)部員工的工作站,我們不能保證用戶每一次操作都是正確與安全的,絕大情況下,他們僅知道如何去使用面前的計算機(jī)來完成屬于自己的本職工作。
(二)混合性威脅
用多種方法和技術(shù)來傳播和實施的攻擊或威脅,因而必須有多種方法來保護(hù)和壓制這種攻擊或威脅。如:CodeRed.CodeRedII.CodeBlue.Nimda.
三、利用防火墻解決企業(yè)中存在的安全風(fēng)險
通過在內(nèi)部網(wǎng)絡(luò)中的每臺工作站上部署防病毒,防火墻,入侵檢測,補(bǔ)丁管理與系統(tǒng)監(jiān)控,我們可以集中收集內(nèi)部網(wǎng)絡(luò)中的威脅,分析面對的風(fēng)險,靈活適當(dāng)?shù)恼{(diào)整安全管理策略。更重要的就是從網(wǎng)絡(luò)結(jié)構(gòu)上的接入層,匯聚層和核心交換層設(shè)備上做好訪問控制與流量管理。
如果部署安全策略,在提高安全性的同時,勢必會影響其可用性。這個矛盾是不可調(diào)和的。關(guān)鍵區(qū)域的防火墻主要是面對內(nèi)部用戶,保護(hù)重要服務(wù)和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅,也要提供諸如NAT服務(wù),出站控制,遠(yuǎn)程用戶和移動用戶訪問的授權(quán)等。我們可以將各種防御的職能根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)和提供的應(yīng)用來分派到兩類防火墻上來。即內(nèi)部防火墻重點保護(hù)DMZ區(qū)域,提供深層次的檢測與告警。因為一旦涉及到數(shù)據(jù)包深入檢測,將會大大影響設(shè)備的性能。
如今的防火墻的功能越來越強(qiáng)大,這里我們選擇業(yè)界一流的防火墻CheckPoint的StatefulInspection(狀態(tài)檢測技術(shù))和WebIntelligence(Web智能技術(shù))來簡單介紹下對于防火墻的智能防御與Web安全保護(hù)。簡單來說,狀態(tài)檢測技術(shù)工作在OSI參考模型的DataLink與Network層之間,數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中,在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時間被檢查。防火墻會生成一個會話的狀態(tài)表,InspectEngine檢測引擎依照RFC標(biāo)準(zhǔn)維護(hù)和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專利技術(shù)。狀態(tài)檢測對流量的控制效率是很高的,同時對于防火墻的負(fù)載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小??梢员WC整個防火墻快速,有效的控制數(shù)據(jù)的進(jìn)出和做出控制決策。
CheckPoint的WebIntelligence,有一種名為MaliciousCodeProt-ector(可疑代碼防護(hù)器)來提供對應(yīng)用層的保護(hù)。如何去判斷上述的一些威脅呢?MCP使用了通過分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼,模擬行來判斷攻擊,將可執(zhí)行代碼放置到一個虛擬的仿真服務(wù)器中運行,檢測是否對虛擬系統(tǒng)造成威脅,最終來決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢是可以非常精確的阻止已知和未知攻擊,并且誤報率相當(dāng)?shù)汀?/p>
四、結(jié)語
一個好的防火墻應(yīng)該具有高度安全性、高透明性和高網(wǎng)絡(luò)性能。此外,人們也在開展其他計算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究,隨著Internet在我國的迅速發(fā)展,防火墻技術(shù)引起了各方面的廣泛關(guān)注。一方面在對國外信息安全和防火墻技術(shù)的發(fā)展進(jìn)行跟蹤,另一方面也已經(jīng)自行開展了一些研究工作。目前使用較多的,是在路由器上采用分組過濾技術(shù)提供安全保證,對其它方面的技術(shù)尚缺乏深入了解。防火墻技術(shù)還處在一個發(fā)展階段,仍有許多問題有待解決。因此,密切關(guān)注防火墻的最新發(fā)展,對推動Internet在我國的健康發(fā)展有著重要的意義。