防火墻技術(shù)的研究以及發(fā)展
今天學(xué)習(xí)啦小編要跟大家介紹下防火墻技術(shù)的研究以及發(fā)展,下面就是學(xué)習(xí)啦小編為大家整理到的資料,請(qǐng)大家認(rèn)真看看!
防火墻技術(shù)的研究
一、防火墻簡介
1.防火墻的概念
防火墻的本義是指古代人們房屋之間修建的那道墻,這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。防火墻技術(shù)是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)的總稱。
2.防火墻的發(fā)展
(1)第一代防火墻
第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn),采用了包過濾(Packet filter)技術(shù)。
(2)第二、三代防火墻
1989年,貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時(shí)提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。
(3)第四代防火墻
1992年,USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。
(4)第五代防火墻
1998年,NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù),并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn),給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
二、防火墻的類型
從技術(shù)上看,防火墻有三種基本類型:包過濾型、代理服務(wù)器型和復(fù)合型。
包過濾型防火墻(Packet Filter Firewall)通常建立在路由器上,在服務(wù)器或計(jì)算機(jī)上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡(luò)層,基于單個(gè)IP包實(shí)施網(wǎng)絡(luò)控制。它對(duì)所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報(bào)文的源端口號(hào)及目的端口號(hào)、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù),與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問控制表進(jìn)行比較,確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。
代理服務(wù)器型防火墻(Proxy Service Firewall)通過在計(jì)算機(jī)或服務(wù)器上運(yùn)行代理的服務(wù)程序,直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù),因此也稱為應(yīng)用層網(wǎng)關(guān)級(jí)防火墻。代理服務(wù)器型防火墻的核心,是運(yùn)行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程,實(shí)質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。
復(fù)合型防火墻(Hybrid Firewall)把包過濾、代理服務(wù)和許多其他的網(wǎng)絡(luò)安全防護(hù)功能結(jié)合起來,形成新的網(wǎng)絡(luò)安全平臺(tái),以提高防火墻的靈活性和安全性。
三、防火墻技術(shù)原理
防火墻從原理上主要有三種技術(shù):包過濾(PackeFiltering)技術(shù)、代理服務(wù)(ProxyService)技術(shù)和狀態(tài)檢測(cè)(StateInspection)技術(shù)。
1.包過濾(PacketFiltering)技術(shù)
在基于TCP/IP協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)上,所有網(wǎng)絡(luò)上的計(jì)算機(jī)都是利用IP地址的唯一標(biāo)志來確定其在網(wǎng)絡(luò)中的位置的,而所有來往于計(jì)算機(jī)之間的信息都是以一定格式的數(shù)據(jù)包的形式來傳輸?shù)?,?shù)據(jù)包中包含了標(biāo)志發(fā)送者位置的IP地址、端口號(hào)和接受者位置的IP地址、端口號(hào)等地址信息。當(dāng)這些數(shù)據(jù)包被送上計(jì)算機(jī)網(wǎng)絡(luò)時(shí),路由器會(huì)讀取數(shù)據(jù)包中接受者的IP地址,并根據(jù)這一IP地址選擇一條合適的物理線路把數(shù)據(jù)包發(fā)送出去,當(dāng)所有的數(shù)據(jù)包都到達(dá)目的主機(jī)之后再被重新組裝還原。包過濾性防火墻就是根據(jù)數(shù)據(jù)在網(wǎng)絡(luò)上的這一傳輸原理來設(shè)計(jì)的,它可以實(shí)現(xiàn)網(wǎng)絡(luò)中數(shù)據(jù)包的訪問控制。首先包過濾防火墻會(huì)檢查所有通過它的數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的IP包頭信息,然后按照網(wǎng)絡(luò)管理員所設(shè)定的過濾規(guī)則進(jìn)行過濾。
2.代理服務(wù)(ProxyService)技術(shù)
代理實(shí)際是設(shè)置在Internet防火墻網(wǎng)關(guān)上有特殊功能的應(yīng)用層代碼,是在網(wǎng)管員允許下或拒絕特定的應(yīng)用程序或者特定服務(wù),還可應(yīng)用于實(shí)施數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。在應(yīng)用層,提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用,內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其他接點(diǎn)的直接請(qǐng)求。代理的工作原理比較簡單。用戶與代理服務(wù)器建立連接,將目的站點(diǎn)告知代理,對(duì)于合法的請(qǐng)求,代理以自己的身份(應(yīng)用層網(wǎng)關(guān))與目的站點(diǎn)建立連接,然后代理在這兩個(gè)連接中轉(zhuǎn)發(fā)數(shù)據(jù)。其主要特點(diǎn)是有狀態(tài)性,能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息,能提供全部的審計(jì)和日志功能,能隱藏內(nèi)部IP地址,能實(shí)現(xiàn)比包過濾路由器更嚴(yán)格的安全策略。
3.狀態(tài)檢測(cè)(StateInspection)技術(shù)
狀態(tài)檢測(cè)又稱動(dòng)態(tài)包過濾,是在傳統(tǒng)包過濾上的功能擴(kuò)展,最早由Checkpoint提出。狀態(tài)檢測(cè)作為防火墻技術(shù)其安全特性最佳,它采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎,稱為檢測(cè)模塊。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下,采用抽取相關(guān)數(shù)據(jù)(狀態(tài)信息)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè),并動(dòng)態(tài)地保存狀態(tài)信息作為以后制定安全決策的參考。
四、各防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn)
1.雙重宿主主機(jī)體系結(jié)構(gòu)提供來自于多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉),它圍繞雙重宿主主計(jì)算機(jī)構(gòu)筑。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口,位于因特網(wǎng)與內(nèi)部網(wǎng)之間,并被連接到因特網(wǎng)和內(nèi)部網(wǎng)。兩個(gè)網(wǎng)絡(luò)都可以與雙重宿主主機(jī)通信,但相互之間不行,它們之間的IP通信被完全禁止。雙重宿主主機(jī)僅能通過代理或用戶直接登錄到雙重宿主主機(jī)來提供服務(wù)。
2.被屏蔽主機(jī)體系結(jié)構(gòu)使用1個(gè)單獨(dú)的路由器提供來自僅僅與內(nèi)部網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。屏蔽路由器位于因特網(wǎng)與內(nèi)部網(wǎng)之間,提供數(shù)據(jù)包過濾功能。堡壘主機(jī)是1個(gè)高度安全的計(jì)算機(jī)系統(tǒng),通常因?yàn)樗┞队谝蛱鼐W(wǎng)之下,作為聯(lián)結(jié)內(nèi)部網(wǎng)絡(luò)用戶的橋梁,易受到侵襲損害。這里它位于內(nèi)部網(wǎng)上,數(shù)據(jù)包過濾規(guī)則設(shè)置它為因特網(wǎng)上唯一能連接到內(nèi)部網(wǎng)絡(luò)上的主機(jī)系統(tǒng)。它也可以開放一些連接(由站點(diǎn)安全策略決定)到外部世界。在屏蔽路由器中,數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行:①允許其他內(nèi)部主機(jī),為了某些服務(wù)而開放到因特網(wǎng)上的主機(jī)連接(允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù))。②不允許來自內(nèi)部主機(jī)的所有連接(強(qiáng)迫這些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全,而保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn),因?yàn)樗峁┝朔浅S邢薜姆?wù)組,所以這種體系結(jié)構(gòu)提供了比雙重宿主主機(jī)體系結(jié)構(gòu)更好的安全性和可用性。弊端是,若是侵襲者設(shè)法入侵堡壘主機(jī),則在堡壘主機(jī)與其他內(nèi)部主機(jī)之間無任何保護(hù)網(wǎng)絡(luò)安全的東西存在;路由器同樣可能出現(xiàn)單點(diǎn)失效,若被損害,則整個(gè)網(wǎng)絡(luò)對(duì)侵襲者開放。
3.被屏蔽子網(wǎng)體系結(jié)構(gòu)考慮到堡壘主機(jī)是內(nèi)部網(wǎng)上最易被侵襲的機(jī)器(因?yàn)樗杀灰蛱鼐W(wǎng)上用戶訪問),我們添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)中,將堡壘主機(jī)放在額外的安全層,構(gòu)成了這種體系結(jié)構(gòu)。這種在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)之間增加的網(wǎng)絡(luò),為系統(tǒng)提供了安全的附加層,稱之為周邊網(wǎng)。這種體系結(jié)構(gòu)有兩個(gè)屏蔽路由器,每一個(gè)都連接到周邊網(wǎng)。1個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)之間,稱為內(nèi)部路由器,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)之間,稱之為外部路由器。堡壘主機(jī)位于周邊網(wǎng)上。侵襲者若想侵襲內(nèi)部網(wǎng)絡(luò),必須通過兩個(gè)路由器,即使他侵入了堡壘主機(jī),仍無法進(jìn)入內(nèi)部網(wǎng)。因此這種結(jié)構(gòu)沒有損害內(nèi)部網(wǎng)絡(luò)的單一易受侵襲點(diǎn)。
五、對(duì)防火墻技術(shù)造成的安全漏洞的建議
防火墻的管理及配置相當(dāng)復(fù)雜,要想成功地維護(hù)防火墻,防火墻管理員必須對(duì)網(wǎng)絡(luò)安全的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解。防火墻的安全策略無法進(jìn)行集中管理。一般來說,由多個(gè)系統(tǒng)組成的防火墻,管理上有所疏忽也是在所難免的。
對(duì)此可作如下改進(jìn):管理上的安全問題,關(guān)鍵在于提高管理員的素質(zhì),積極學(xué)習(xí)安全管理及網(wǎng)絡(luò)安全知識(shí),熟練掌握防火墻的系統(tǒng)配置關(guān)系,多多實(shí)踐,積累足夠的經(jīng)驗(yàn),多個(gè)系統(tǒng)防火墻的管理一定要有高度認(rèn)真、負(fù)責(zé)到底的精神。總而言之,提高管理者的素質(zhì)至關(guān)重要。
防火墻技術(shù)的發(fā)展
一、防火墻的概念和原理
防火墻原來就是在保護(hù)房屋安全的一到屏障,在當(dāng)今網(wǎng)絡(luò)社會(huì),防火墻就是各個(gè)計(jì)算機(jī)與互聯(lián)網(wǎng)連接方面通過一系列的軟硬件設(shè)備組成的訪問控制技術(shù),用于防止外面的互聯(lián)網(wǎng)對(duì)局域網(wǎng)的威脅與入侵,位計(jì)算機(jī)正常運(yùn)行提供安全保障。防火墻的主要目的就是為保護(hù)網(wǎng)絡(luò)安全而把內(nèi)網(wǎng)和外網(wǎng)分隔開的。
二、防火墻的分類
防火墻技術(shù)可以分為好多類,但是根據(jù)防火墻對(duì)數(shù)據(jù)的處理,我們可以把防火墻大致分為包過濾防火強(qiáng)和代理型防火墻兩大體系。
(一)包過濾防火墻:數(shù)據(jù)包過濾技術(shù)是防火墻位系統(tǒng)提供安全保障的主要技術(shù),主要是通過對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查過濾控制,從而對(duì)數(shù)據(jù)進(jìn)行選擇。包過濾型防火墻是作用于網(wǎng)絡(luò)層與傳輸層之間通過路由來檢測(cè)數(shù)據(jù)包的技術(shù)。因?yàn)槊總€(gè)數(shù)據(jù)包都包含有特定信息,而路由器就只是對(duì)數(shù)據(jù)包包頭的信息進(jìn)行檢測(cè),具有較高性價(jià)比。包過濾防火墻又分為靜態(tài)包過濾、動(dòng)態(tài)包過濾技術(shù)和狀態(tài)監(jiān)測(cè)防火墻。
1.靜態(tài)包過濾:最傳統(tǒng)的包過濾防火墻就是靜態(tài)包過濾防火墻,靜態(tài)包過濾規(guī)則是在啟動(dòng)配置好的,只有系統(tǒng)管理員才可以修改的一種過濾規(guī)則。這種防火墻就好似根據(jù)原來定義好的過濾規(guī)則來審查每一個(gè)數(shù)據(jù)包,把每個(gè)數(shù)據(jù)包與規(guī)則表中的信息進(jìn)行匹配來審核,以便確定其中是否與某一條包過濾規(guī)則匹配。
2.動(dòng)態(tài)包過濾:這種防火墻相比較靜態(tài)包過濾防火墻來說最大的有點(diǎn)就是他可以動(dòng)態(tài)的監(jiān)測(cè)用戶可以使用的服務(wù)范圍,比較靈活,而且只有符合條件的網(wǎng)絡(luò)服務(wù)才被防火墻打開端口允許訪問,在結(jié)束后再關(guān)閉端口。這種技術(shù)的包過濾防火墻是對(duì)通過的每一條連接進(jìn)行跟蹤監(jiān)測(cè),然后再根據(jù)需要在過濾規(guī)則中可以動(dòng)態(tài)的增加或者更新規(guī)則條目。這就是采用了基于連接狀態(tài)的監(jiān)測(cè)和動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法。
3.狀態(tài)監(jiān)測(cè)防火墻:狀態(tài)監(jiān)測(cè)防火墻把網(wǎng)絡(luò)中的不同鏈接階段表現(xiàn)為狀態(tài),狀態(tài)的改變表現(xiàn)為連接數(shù)據(jù)包不同標(biāo)志位參數(shù)的不同。狀態(tài)監(jiān)測(cè)防火墻在根據(jù)規(guī)則表檢查完數(shù)據(jù)包后,再根據(jù)狀態(tài)的變化檢查各個(gè)數(shù)據(jù)包之間的關(guān)聯(lián)性。防火墻的內(nèi)部放置了分布探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)節(jié)點(diǎn)上,不僅能防范外網(wǎng)的入侵也能制止內(nèi)患,具有雙重防范作用。
(二)代理型防火墻:代理防火墻是為對(duì)每一個(gè)用戶的請(qǐng)求進(jìn)行處理,是用一個(gè)比較安全的代理應(yīng)用程序來處理,然后再傳遞到真實(shí)的服務(wù)器上,就是通過代理先處理安全后再轉(zhuǎn)發(fā)。真實(shí)的服務(wù)器應(yīng)答后再將答復(fù)發(fā)給最終用戶。代理型防火墻工作在應(yīng)用層上,這樣就使內(nèi)網(wǎng)外網(wǎng)間阻斷,任何想進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)流都必須經(jīng)過代理審核,使得系統(tǒng)更安全不易遭受攻擊。應(yīng)用網(wǎng)關(guān)防火墻起到了一個(gè)特殊的作用,它首先對(duì)用戶發(fā)來的服務(wù)請(qǐng)求進(jìn)行解析,當(dāng)服務(wù)通過審核后防火墻就再把數(shù)據(jù)封裝成數(shù)據(jù)包,讓防火墻代替用戶把服務(wù)進(jìn)行轉(zhuǎn)發(fā)。電路級(jí)網(wǎng)關(guān)防火墻是工作在傳輸層上的,在傳輸層上對(duì)通信端點(diǎn)之間轉(zhuǎn)換數(shù)據(jù)包。自適應(yīng)代理服務(wù)器和動(dòng)態(tài)包過濾組成自適應(yīng)代理型防火墻。
三、幾種防火墻的技術(shù)比較
(一)包過濾防火墻是對(duì)數(shù)據(jù)包本身進(jìn)行過濾的而不是針對(duì)具體的網(wǎng)絡(luò)服務(wù),所以包過濾防火墻能適應(yīng)于所有的網(wǎng)絡(luò)。而且包過濾防火墻主要是通過路由器進(jìn)行數(shù)據(jù)包檢測(cè)的,大多數(shù)路由器都集成了數(shù)據(jù)包檢測(cè)的功能,所以包過濾型防火墻的價(jià)格比較低,性價(jià)比很高,處理速度也比較快。但是,這種防火墻安全性并不是很高,難以對(duì)用戶的身份進(jìn)行辨別等缺點(diǎn)。
(二)代理型防火墻是工作在應(yīng)用層上的,對(duì)網(wǎng)絡(luò)連接中的內(nèi)容可以進(jìn)行監(jiān)控,他在一定程度上斷開了內(nèi)外網(wǎng)絡(luò)的連接,使得網(wǎng)絡(luò)活動(dòng)更安全,但是它在對(duì)網(wǎng)絡(luò)中更深的內(nèi)容進(jìn)行檢測(cè)的時(shí)候也使得它的速度減慢,當(dāng)數(shù)據(jù)的吞吐量比較大事容易出現(xiàn)問題,所以不適用于高速網(wǎng)。
四、防火墻的局限性
防火墻對(duì)我們信息的正確性與安全性有著重要的作用,防火墻是網(wǎng)絡(luò)安全不可或缺的一部分,那么防火墻的局限性在哪呢?1.防火墻是防外不防內(nèi)——防火墻可以阻止外部網(wǎng)上的不安全用戶對(duì)內(nèi)網(wǎng)的攻擊和危險(xiǎn)入侵,也可以對(duì)內(nèi)屏蔽內(nèi)網(wǎng)上連接外網(wǎng)的重要站點(diǎn)和端口。但是卻很難解決內(nèi)部網(wǎng)的管理人員的安全問題,便是防外不防內(nèi)。而有些統(tǒng)計(jì)表明,網(wǎng)絡(luò)上的安全問題絕大一部分就是來自于內(nèi)部網(wǎng)絡(luò)管理人員。2.防火墻管理和配置有難度——相信第一次配置防火墻的人員都有這樣經(jīng)驗(yàn),它的配置和管理相當(dāng)復(fù)雜,有一系列的問題。因此對(duì)于管理人員來說它的維護(hù)就更要求要熟悉防火墻的系統(tǒng)配置,對(duì)它要有深刻了解才能更好的對(duì)它進(jìn)行安全的管理。它的安全策略無法集中地管理。3.防火墻的訪問控制不夠徹底——防火墻不能對(duì)網(wǎng)絡(luò)連接中的所有數(shù)據(jù)包進(jìn)行拆分檢查只能實(shí)現(xiàn)粗粒度的訪問控制,并且不能與網(wǎng)絡(luò)內(nèi)部的其他安全措施進(jìn)行集中使用。
五、防火墻未來的展望
防火墻是整個(gè)網(wǎng)絡(luò)安全系統(tǒng)中很重要的一部分。在現(xiàn)實(shí)生活中,要把防火墻與其他技術(shù)進(jìn)行配合使用才能更好地保證網(wǎng)絡(luò)安全,當(dāng)今社會(huì),最重要最有價(jià)值的就是數(shù)據(jù),要保證它的安全與正確,要更加注重防火墻的發(fā)展,才更能保證在信息安全系統(tǒng)中的堡壘作用。各種防火墻技術(shù)各有各的優(yōu)缺點(diǎn),防火墻技術(shù)的發(fā)展可以從這幾個(gè)方面著手:1.改進(jìn)防火墻的體系結(jié)構(gòu),防火墻是防外不防內(nèi)的,在防止外部危險(xiǎn)網(wǎng)絡(luò)入侵的同時(shí)也要加強(qiáng)對(duì)內(nèi)網(wǎng)的管理和控制,可以對(duì)防火墻進(jìn)行分布式的管理。內(nèi)部網(wǎng)中對(duì)防火墻造成的安全隱患更大些,因此要即時(shí)改進(jìn)更新防火墻的體系結(jié)構(gòu)來保障局域網(wǎng)的安全。2.深度過濾與檢測(cè)速度的提高。深度過濾技術(shù)是對(duì)數(shù)據(jù)進(jìn)行更深層次的檢測(cè),要是進(jìn)行深度過濾就是要以付出檢測(cè)速度為代價(jià),要實(shí)現(xiàn)兩者的結(jié)合就是最好。