時間:2023-10-29 14:56:21
序論:在您撰寫防火墻技術(shù)的研究時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
關(guān)鍵詞: 防火墻 技術(shù)原理 體系結(jié)構(gòu)
一、防火墻簡介
1.防火墻的概念
防火墻的本義是指古代人們房屋之間修建的那道墻,這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。防火墻技術(shù)是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)的總稱。
2.防火墻的發(fā)展
(1)第一代防火墻
第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn),采用了包過濾(Packet filter)技術(shù)。
(2)第二、三代防火墻
1989年,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應(yīng)用層防火墻(防火墻)的初步結(jié)構(gòu)。
(3)第四代防火墻
1992年,USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。
(4)第五代防火墻
1998年,NAI公司推出了一種自適應(yīng)(Adaptive proxy)技術(shù),并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn),給類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
二、防火墻的類型
從技術(shù)上看,防火墻有三種基本類型:包過濾型、服務(wù)器型和復(fù)合型。
包過濾型防火墻(Packet Filter Firewall)通常建立在路由器上,在服務(wù)器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡(luò)層,基于單個IP包實施網(wǎng)絡(luò)控制。它對所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報文的源端口號及目的端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù),與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問控制表進行比較,確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。
服務(wù)器型防火墻(Proxy Service Firewall)通過在計算機或服務(wù)器上運行的服務(wù)程序,直接對特定的應(yīng)用層進行服務(wù),因此也稱為應(yīng)用層網(wǎng)關(guān)級防火墻。服務(wù)器型防火墻的核心,是運行于防火墻主機上的服務(wù)器進程,實質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。
復(fù)合型防火墻(Hybrid Firewall)把包過濾、服務(wù)和許多其他的網(wǎng)絡(luò)安全防護功能結(jié)合起來,形成新的網(wǎng)絡(luò)安全平臺,以提高防火墻的靈活性和安全性。
三、防火墻技術(shù)原理
防火墻從原理上主要有三種技術(shù):包過濾(PackeFiltering)技術(shù)、服務(wù)(ProxyService)技術(shù)和狀態(tài)檢測(StateInspection)技術(shù)。
1.包過濾(PacketFiltering)技術(shù)
在基于TCP/IP協(xié)議的計算機網(wǎng)絡(luò)上,所有網(wǎng)絡(luò)上的計算機都是利用IP地址的唯一標(biāo)志來確定其在網(wǎng)絡(luò)中的位置的,而所有來往于計算機之間的信息都是以一定格式的數(shù)據(jù)包的形式來傳輸?shù)模瑪?shù)據(jù)包中包含了標(biāo)志發(fā)送者位置的IP地址、端口號和接受者位置的IP地址、端口號等地址信息。當(dāng)這些數(shù)據(jù)包被送上計算機網(wǎng)絡(luò)時,路由器會讀取數(shù)據(jù)包中接受者的IP地址,并根據(jù)這一IP地址選擇一條合適的物理線路把數(shù)據(jù)包發(fā)送出去,當(dāng)所有的數(shù)據(jù)包都到達目的主機之后再被重新組裝還原。包過濾性防火墻就是根據(jù)數(shù)據(jù)在網(wǎng)絡(luò)上的這一傳輸原理來設(shè)計的,它可以實現(xiàn)網(wǎng)絡(luò)中數(shù)據(jù)包的訪問控制。首先包過濾防火墻會檢查所有通過它的數(shù)據(jù)流中每個數(shù)據(jù)包的IP包頭信息,然后按照網(wǎng)絡(luò)管理員所設(shè)定的過濾規(guī)則進行過濾。
2.服務(wù)(ProxyService)技術(shù)
實際是設(shè)置在Internet防火墻網(wǎng)關(guān)上有特殊功能的應(yīng)用層代碼,是在網(wǎng)管員允許下或拒絕特定的應(yīng)用程序或者特定服務(wù),還可應(yīng)用于實施數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。在應(yīng)用層,提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用,內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其他接點的直接請求。的工作原理比較簡單。用戶與服務(wù)器建立連接,將目的站點告知,對于合法的請求,以自己的身份(應(yīng)用層網(wǎng)關(guān))與目的站點建立連接,然后在這兩個連接中轉(zhuǎn)發(fā)數(shù)據(jù)。其主要特點是有狀態(tài)性,能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息,能提供全部的審計和日志功能,能隱藏內(nèi)部IP地址,能實現(xiàn)比包過濾路由器更嚴(yán)格的安全策略。
3.狀態(tài)檢測(StateInspection)技術(shù)
狀態(tài)檢測又稱動態(tài)包過濾,是在傳統(tǒng)包過濾上的功能擴展,最早由Checkpoint提出。狀態(tài)檢測作為防火墻技術(shù)其安全特性最佳,它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎,稱為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下,采用抽取相關(guān)數(shù)據(jù)(狀態(tài)信息)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測,并動態(tài)地保存狀態(tài)信息作為以后制定安全決策的參考。
四、各防火墻體系結(jié)構(gòu)的優(yōu)缺點
1.雙重宿主主機體系結(jié)構(gòu)提供來自于多個網(wǎng)絡(luò)相連的主機的服務(wù)(但是路由關(guān)閉),它圍繞雙重宿主主計算機構(gòu)筑。該計算機至少有兩個網(wǎng)絡(luò)接口,位于因特網(wǎng)與內(nèi)部網(wǎng)之間,并被連接到因特網(wǎng)和內(nèi)部網(wǎng)。兩個網(wǎng)絡(luò)都可以與雙重宿主主機通信,但相互之間不行,它們之間的IP通信被完全禁止。雙重宿主主機僅能通過或用戶直接登錄到雙重宿主主機來提供服務(wù)。
2.被屏蔽主機體系結(jié)構(gòu)使用1個單獨的路由器提供來自僅僅與內(nèi)部網(wǎng)絡(luò)相連的主機的服務(wù)。屏蔽路由器位于因特網(wǎng)與內(nèi)部網(wǎng)之間,提供數(shù)據(jù)包過濾功能。堡壘主機是1個高度安全的計算機系統(tǒng),通常因為它暴露于因特網(wǎng)之下,作為聯(lián)結(jié)內(nèi)部網(wǎng)絡(luò)用戶的橋梁,易受到侵襲損害。這里它位于內(nèi)部網(wǎng)上,數(shù)據(jù)包過濾規(guī)則設(shè)置它為因特網(wǎng)上唯一能連接到內(nèi)部網(wǎng)絡(luò)上的主機系統(tǒng)。它也可以開放一些連接(由站點安全策略決定)到外部世界。在屏蔽路由器中,數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行:①允許其他內(nèi)部主機,為了某些服務(wù)而開放到因特網(wǎng)上的主機連接(允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù))。②不允許來自內(nèi)部主機的所有連接(強迫這些主機經(jīng)由堡壘主機使用服務(wù))。這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全,而保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn),因為它提供了非常有限的服務(wù)組,所以這種體系結(jié)構(gòu)提供了比雙重宿主主機體系結(jié)構(gòu)更好的安全性和可用性。弊端是,若是侵襲者設(shè)法入侵堡壘主機,則在堡壘主機與其他內(nèi)部主機之間無任何保護網(wǎng)絡(luò)安全的東西存在;路由器同樣可能出現(xiàn)單點失效,若被損害,則整個網(wǎng)絡(luò)對侵襲者開放。
3.被屏蔽子網(wǎng)體系結(jié)構(gòu)考慮到堡壘主機是內(nèi)部網(wǎng)上最易被侵襲的機器(因為它可被因特網(wǎng)上用戶訪問),我們添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)中,將堡壘主機放在額外的安全層,構(gòu)成了這種體系結(jié)構(gòu)。這種在被保護的網(wǎng)絡(luò)和外部網(wǎng)之間增加的網(wǎng)絡(luò),為系統(tǒng)提供了安全的附加層,稱之為周邊網(wǎng)。這種體系結(jié)構(gòu)有兩個屏蔽路由器,每一個都連接到周邊網(wǎng)。1個位于周邊網(wǎng)與內(nèi)部網(wǎng)之間,稱為內(nèi)部路由器,另一個位于周邊網(wǎng)與外部網(wǎng)之間,稱之為外部路由器。堡壘主機位于周邊網(wǎng)上。侵襲者若想侵襲內(nèi)部網(wǎng)絡(luò),必須通過兩個路由器,即使他侵入了堡壘主機,仍無法進入內(nèi)部網(wǎng)。因此這種結(jié)構(gòu)沒有損害內(nèi)部網(wǎng)絡(luò)的單一易受侵襲點。
五、對防火墻技術(shù)造成的安全漏洞的建議
防火墻的管理及配置相當(dāng)復(fù)雜,要想成功地維護防火墻,防火墻管理員必須對網(wǎng)絡(luò)安全的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解。防火墻的安全策略無法進行集中管理。一般來說,由多個系統(tǒng)組成的防火墻,管理上有所疏忽也是在所難免的。
對此可作如下改進:管理上的安全問題,關(guān)鍵在于提高管理員的素質(zhì),積極學(xué)習(xí)安全管理及網(wǎng)絡(luò)安全知識,熟練掌握防火墻的系統(tǒng)配置關(guān)系,多多實踐,積累足夠的經(jīng)驗,多個系統(tǒng)防火墻的管理一定要有高度認(rèn)真、負(fù)責(zé)到底的精神。總而言之,提高管理者的素質(zhì)至關(guān)重要。
參考文獻:
關(guān)鍵詞:防火墻;帶寬技術(shù);網(wǎng)絡(luò)端口;阻塞
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1007-9599 (2013) 01-0164-02
防火墻帶寬控制技術(shù)就是通過某些控制工具實現(xiàn)數(shù)據(jù)的分類整理,進行順暢通過的技術(shù)。防火墻控制技術(shù)的實現(xiàn)解決了互聯(lián)網(wǎng)的一個技術(shù)瓶頸,帶來了網(wǎng)速的飛躍;但是也帶來了問題。帶寬控制技術(shù)的實現(xiàn)帶來了哪些飛躍,又帶來了哪些問題呢?
1 防火墻帶寬控制技術(shù)
隨著網(wǎng)絡(luò)的發(fā)展,帶寬也得到了飛速的發(fā)展。雖然帶寬已經(jīng)達到了比較高的水平,但是在公司或者學(xué)校等集中使用網(wǎng)絡(luò)的地方還是容易出現(xiàn)一些問題。因為在企業(yè)或者學(xué)校使用的是局域網(wǎng),所有的網(wǎng)絡(luò)數(shù)據(jù)都通過一個渠道輸送。因此,雖然在企業(yè)或者單位使用的網(wǎng)速很好,已經(jīng)達到很多兆了,但是在數(shù)據(jù)的輸出網(wǎng)口還是會出現(xiàn)堵塞的情況。這就影響了用戶的正常使用。因此,為了解決這一問題,電腦研發(fā)者研究出了防火墻帶寬控制技術(shù),這是專門為了解決局域網(wǎng)大量數(shù)據(jù)擁擠的情況而研究的。防火墻帶寬控制技術(shù)就是通過對數(shù)據(jù)流進行分組,讓同一種類的數(shù)據(jù)流可以同時通過而不影響通過速度。簡單來說,就是在同一時間將通過端口的數(shù)據(jù)流按照類型進行分類,然后按等級通過,等級高的先通過,等級低的后通過。同一等級的可以同時通過。有了防火墻帶寬控制技術(shù)很多企業(yè)由于大數(shù)據(jù)流量同時通過而造成的擁擠現(xiàn)象解決了。這項技術(shù)的研發(fā)目前還不是特別成熟,因為它在對數(shù)據(jù)流進行分類的同時也影響了防火墻的性能。防火墻也是在斷口處進行設(shè)卡,以阻止不良信息的通過,但是通過帶寬控制技術(shù)將信息進行分類后,有些不良信息可能混進某一類而進入電腦中,從而給電腦帶來傷害。
2 防火墻帶寬控制技術(shù)實現(xiàn)的必要性
2.1 網(wǎng)絡(luò)端口的阻塞問題。網(wǎng)絡(luò)是新時代的產(chǎn)物,是改變我們生活的一種工具,它讓生活變得更方便、更快捷?;ヂ?lián)網(wǎng)提供給人們的不僅僅是隨時隨地的新聞,身邊的電影院,還為企業(yè)提供一系列的服務(wù)。企業(yè)可以利用互聯(lián)網(wǎng)開展電子商務(wù),就是在互聯(lián)網(wǎng)上進行業(yè)務(wù)的洽談,為了企業(yè)內(nèi)部交流的需要,IT研究者研發(fā)了局域網(wǎng),局域網(wǎng)的好處就是企業(yè)內(nèi)部使用同一個端口,便于交流,也可以節(jié)省一些網(wǎng)絡(luò)費用。但同時也出現(xiàn)了一些問題,因為企業(yè)內(nèi)部同時使用網(wǎng)絡(luò)的人員較多,所以容易造成數(shù)據(jù)流的集中,如果大量的數(shù)據(jù)同時通過端口,就有可能造成端口的堵塞,從而影響整個局域網(wǎng)的網(wǎng)速。通俗來講,就跟堵車一樣,如果在同一個路口有大量車同時通過,通過的速度就會變慢,甚至出現(xiàn)停滯不前的情況。如果端口堵塞了,就會影響企業(yè)的辦公效率。因此,必須研發(fā)一種帶寬控制技術(shù),讓所有的數(shù)據(jù)按照一定的規(guī)則通過,這樣就不會造成堵塞的現(xiàn)象了。
2.2 某些應(yīng)用長期占用網(wǎng)速。在企業(yè)的電子商務(wù)中,人們從事的崗位不同,工作所處理的任務(wù)不同,因此使用互聯(lián)網(wǎng)所傳輸?shù)臄?shù)據(jù)也就有了區(qū)別,有些數(shù)據(jù)流量較大,占用網(wǎng)速較多,有些數(shù)據(jù)流量較小,占用網(wǎng)速也少。但是如果流量大的數(shù)據(jù)和流量小的數(shù)據(jù)同時通過端口的時候,流量大的數(shù)據(jù)就會長期占用網(wǎng)速,導(dǎo)致流量小的數(shù)據(jù)無法通過。就好像我們?nèi)绻螺d大型游戲的同時觀看電影,就會造成電影的不順暢,甚至很多網(wǎng)頁都打不開,兩者是同一個道理。所以為了優(yōu)化處理這個問題,就需要帶寬控制技術(shù),通過在防火墻的端口實施帶寬控制,就能嚴(yán)禁某些數(shù)據(jù)長期占用網(wǎng)速。通過帶寬控制技術(shù),將數(shù)據(jù)流進行分類,讓數(shù)據(jù)流量小的內(nèi)容也能順利通過。
3 帶寬控制工具TC的功能實現(xiàn)
TC是帶寬控制技術(shù)的一個實現(xiàn)工具,通過在網(wǎng)絡(luò)端口安裝TC,達到規(guī)范數(shù)據(jù)流順暢通過的目的。TC的工作原理就是將同時通過端口的數(shù)據(jù)按照隊列進行分類,然后按照次序一次通過,同一種類的數(shù)據(jù)可以同時通過。就好比十字路口的紅綠燈,發(fā)揮著指揮的作用。如果在十字路口,沒有交通信號燈的管制,幾個方向的車同時通過,不僅通過的速度緩慢,還有可能造成事故。而采用了紅綠燈后,對車輛進行分類,每個方向的車都按照“直行”“左轉(zhuǎn)”“右轉(zhuǎn)”排好隊,這樣通過時就能順暢了。TC的工作原理就等同于路口紅綠燈的功能,將所有要通過的數(shù)據(jù)按照不同種類進行分類后,然后再一次通過,就保障了網(wǎng)速的順暢。
4 防火墻帶寬控制技術(shù)的優(yōu)缺點
關(guān)鍵詞:防火墻;linux;iptables;netfilter
中圖法分類號:TP309文獻標(biāo)識碼:A文章編號:1009-3044(2008)08-10ppp-0c
隨著網(wǎng)絡(luò)的開放性、共享性和互連程度擴大,特別是Internet的發(fā)展,網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。隨著網(wǎng)絡(luò)上各種新興業(yè)務(wù)的興起,比如電子商務(wù)、電子現(xiàn)金、數(shù)字貨幣網(wǎng)絡(luò)銀行等,以及各種專用網(wǎng)的建設(shè),比如金融網(wǎng)等,使得安全問題顯得越來越重要。因此網(wǎng)絡(luò)安全成了數(shù)據(jù)通信領(lǐng)域研究和發(fā)展的一個重要方向,對網(wǎng)絡(luò)安全技術(shù)的研究成了現(xiàn)在計算機和通信領(lǐng)域的一個熱點。而防火墻技術(shù)是針對網(wǎng)絡(luò)安全特點而建立的防范措施。而LINUX操作系統(tǒng)不僅具有開放源代碼的巨大優(yōu)勢,而且能適用于多種CPU和硬件平臺,性能穩(wěn)定,非常適合作為一些嵌入式防火墻設(shè)備的操作系統(tǒng),因此,研究基于LINUX的防火墻技術(shù)具有重要的意義。
1 防火墻原理
1.1 防火墻的概念和工作原理
防火墻技術(shù)是目前各種網(wǎng)絡(luò)安全解決方案中常用的技術(shù),它通過控制和檢測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)的安全管理。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,它主要是用來拒絕未經(jīng)授權(quán)的用戶訪問,阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù),同時允許合法用戶不受阻礙地訪問網(wǎng)絡(luò)資源,從總體上看,防火墻應(yīng)具有以下五大基本功能:
過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包。
管理進出網(wǎng)絡(luò)的訪問行為。
封堵某些禁止的訪問行為。
記錄通過防火墻的信息內(nèi)容和活動。
對網(wǎng)絡(luò)攻擊進行檢測和告警。
為實現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們要應(yīng)用網(wǎng)絡(luò)拓?fù)浼夹g(shù)、計算機操作系統(tǒng)技術(shù)、路由技術(shù)、加密技術(shù)、訪問控制技術(shù)、安全審計技術(shù)等成熟或先進的技術(shù)手段。其工作原理是:按照事先規(guī)定好的配置與規(guī)則,監(jiān)測并過濾通過防火墻的數(shù)據(jù)流,只允許授權(quán)的或者符合規(guī)則的數(shù)據(jù)通過。防火墻應(yīng)該能夠記錄有關(guān)連接的信息、服務(wù)器或主機間的數(shù)據(jù)流量以及任何試圖通過防火墻的非法訪問記錄。同時、防火墻自身也應(yīng)具備較高的抗攻擊性能。
1.2 防火墻的分類
按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法,大致可以將防火墻分為兩大體系:包過濾防火墻和防火墻(應(yīng)用層網(wǎng)關(guān)防火墻)。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
表1 兩種防火墻的比較
包過濾防火墻分為靜態(tài)和動態(tài)。靜態(tài)包過濾防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包。以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制b},報頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP, UDP, ICMP等等)、TCP/UDP目標(biāo)端口, ICMP消息類型等,包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”,即明確允許那些管理員希望通過的數(shù)據(jù)包,禁止其他的數(shù)據(jù)包。動態(tài)包過濾防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測技術(shù)。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤,并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。
防火墻也叫應(yīng)用層網(wǎng)關(guān)(Application Gateway)防火墻。這種防火墻通過一種(Proxy)技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。類型防火墻的最突出的優(yōu)點就是安全。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換,通過專門為特定的服務(wù)如Http編寫的安全化的應(yīng)用程序進行處理,然后由防火墻本身提交請求和應(yīng)答,沒有給內(nèi)外網(wǎng)絡(luò)的計算機以任何直接會話的機會,從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。
自適應(yīng)技術(shù)(Adaptive proxy)是最近在商業(yè)應(yīng)用防火墻中實現(xiàn)的一種革命性的技術(shù)。它可以結(jié)合類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點,在毫不損失安全性的基礎(chǔ)之上將型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個:自適應(yīng)服務(wù)器 (Adaptive Proxy Server)與動態(tài)包過濾器 (Dynamic Packet filter)。
在自適應(yīng)與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進行配置時,用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)Proxy的管理界面進行設(shè)置就可以了。然后,自適應(yīng)就可以根據(jù)用戶的配置信息,決定是使用服務(wù)從應(yīng)用層請求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者,它將動態(tài)地通知包過濾器增減過濾規(guī)則,滿足用戶對速度和安全性的雙重要求。
2 linux防火墻的實現(xiàn)
2.1 linux 防火墻簡介
Linux最初從2.0內(nèi)核的ipfwadm開始具備了基本的包過濾功能。ipfwadm能透過IP據(jù)包頭的分析,分辨出數(shù)據(jù)包的來源IP與目的地IP、數(shù)據(jù)包類型、來源端口號與目的端口號、數(shù)據(jù)包流向、數(shù)據(jù)包進入防火墻的網(wǎng)卡界面等,并依此分析結(jié)果來對比規(guī)則進行數(shù)據(jù)包過濾,同時也支持IP偽裝的功能,利用這個功能可以解決IP不足的問題,但是這些程序缺乏彈性設(shè)計,用戶無法自行建立規(guī)則組合(rule set)作更精簡的設(shè)定,同時也缺乏網(wǎng)址轉(zhuǎn)換功能,無法應(yīng)付越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境,已經(jīng)逐漸被淘汰。隨后取而代之的是ipchains。Ipchains不但指令語法更容易理解,功能也較ipfwadm優(yōu)越:ipchain允許自訂規(guī)則組合(rule set),稱之為user-define chains,可以將彼此相關(guān)的規(guī)則組合在一起,在需要的時候跳到該組規(guī)則進行過濾,有效的將規(guī)則數(shù)量大幅縮減,克服了以往ipfw僅能進行循序過濾,導(dǎo)致規(guī)則過長的缺陷。同時,ipchains能提供網(wǎng)址轉(zhuǎn)換的能力,從而滿足NAT的完整需求,基本構(gòu)成一套成熟的防火墻。,
在Linux2.4內(nèi)核以后,被稱為iptables/netfilter的防火墻以更好的結(jié)構(gòu)重新構(gòu)造,并實現(xiàn)了許多新功能,如完整的動態(tài)NAT(2.2內(nèi)核實際是多對一的"地址偽裝")、基于MAC及用戶的過濾、真正的基于狀態(tài)的過濾(不再是簡單的查看tcp的標(biāo)志位等)、包速率限制等。它比以前任何一個Linux內(nèi)核的防火墻子系統(tǒng)都要完善和強大。
2.2 iptables/netfilter框架
Netfilter提供了一個抽象的、通用的框架,該框架定義的一個子功能實現(xiàn)的就是包過濾子系統(tǒng)。Netfilter由一系列基于協(xié)議棧的鉤子組成,這些鉤子都對應(yīng)某一具體的協(xié)議。當(dāng)前的Netfilter,已經(jīng)基于IPv4, IPX, IPv6等協(xié)議開發(fā)了對應(yīng)的鉤子函數(shù)。
Netfilter是嵌入內(nèi)核IP協(xié)議棧的一系列調(diào)用入口,設(shè)置在報文處理的路徑上。網(wǎng)絡(luò)報文按照來源和去向,可以分為三類:流入的、流經(jīng)的和流出的。其中流入和流經(jīng)的報文需要經(jīng)過路由才能區(qū)分,而流經(jīng)和流出的報文則需要經(jīng)過投遞,此外,流經(jīng)的報文還有一個FORWARD的過程,即從一個NIC轉(zhuǎn)到另一個NIC。 Netfilter就是根據(jù)網(wǎng)絡(luò)報文的流向,在以下幾個點插入處理過程:
(1)NF_IP_PRE_ROUTING,在報文作路由以前執(zhí)行;
(2)NF_IP_FORWARD,在報文轉(zhuǎn)向另一個NIC以前執(zhí)行;
(3)NF_IP_POST_ROUTING,在報文流出以前執(zhí)行;
(4)NF_IP_LOCAL_IN,在流入本地的報文作路由以后執(zhí)行;
(5)NF_IP_LOCAL_OUT,在本地報流出路由前執(zhí)行。
Netfilter框架為多種協(xié)議提供了一套類似的鉤子(HOOK),用一個struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]二維數(shù)組結(jié)構(gòu)存儲,一維為協(xié)議族,二維為上面提到的各個調(diào)用入口。每個希望嵌入Netfilter中的模塊都可以為多個協(xié)議族的多個調(diào)用點注冊多個鉤子函數(shù)(HOOK ),這些鉤子函數(shù)將形成一條函數(shù)指針鏈,每次協(xié)議棧代碼執(zhí)行到NF HOOK()函數(shù)時(有多個時機),都會依次啟動所有這些函數(shù),處理參數(shù)所指定的協(xié)議棧內(nèi)容。
每個注冊的鉤子函數(shù)經(jīng)過處理后都將返回下列值之一,告知Neifilter核心代碼處理結(jié)果,以便對報文采取相應(yīng)的動作:
(1)NF_ACCEPT, 繼續(xù)正常傳輸數(shù)據(jù)報;
(2)NF_DROP, 丟棄該數(shù)據(jù)報,不再傳輸;
(3)NF_STOLEN, 模塊接管該數(shù)據(jù)報,不要繼續(xù)傳輸該數(shù)據(jù)報;
(4)NF_QUEUE, 對該數(shù)據(jù)報進行排隊(通常用于將數(shù)據(jù)報給用戶空間的進程進行處理);
(5)NF_REPEAT, 再次調(diào)用該鉤子函數(shù)。
如圖1所示,數(shù)據(jù)報從左邊進入系統(tǒng),進行IP校驗以后,數(shù)據(jù)報經(jīng)過第一個鉤子函數(shù)NF_IP_PRE ROUTING進行處理;然后就進入路由代碼,其決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機的;若該數(shù)據(jù)包是發(fā)被本機的,則該數(shù)據(jù)經(jīng)過鉤子函數(shù)NF_IP_LOCAL_IN處理以后然后傳遞給上層協(xié)議;若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則它被NF IP FORWARD處理;經(jīng)過轉(zhuǎn)發(fā)的數(shù)據(jù)報經(jīng)過最后一個鉤子函數(shù)NF_IP_POST_ROUTING處理以后,再傳輸?shù)骄W(wǎng)絡(luò)上。本地產(chǎn)生的數(shù)據(jù)經(jīng)過鉤子函數(shù)NF_IP_LOCAL_OUT處理可以后,進行路由選擇處理,然后經(jīng)過NF_IP_POST_ROUTING處理以后發(fā)送到網(wǎng)絡(luò)接口。
Netfilter組件也稱為內(nèi)核空間(kernel space),是內(nèi)核的一部分,由一些信息包過濾表組成,這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集。
與之相對應(yīng)的iptables組件是一種工具,也稱為用戶空間(user space),它使插入、修改和除去信息包過濾表中的規(guī)則變得容易。通過使用用戶空間,可以構(gòu)建自己的定制規(guī)則,這些規(guī)則存儲在內(nèi)核空間的信息包過濾表中。這些規(guī)則具有目標(biāo),它們告訴內(nèi)核對來自某些源、前往某些目的地或具有某些協(xié)議類型的信息包做些什么。如果某個信息包與規(guī)則匹配,那么使用日標(biāo)ACCEPT允許該信息包通過。還可以使用目標(biāo)DROP或REJECT來阻塞并殺死信息包。
內(nèi)核模塊提供三個規(guī)則表((table),分別是數(shù)據(jù)報過濾表(filter table),網(wǎng)絡(luò)地址轉(zhuǎn)換表(nat table)及數(shù)據(jù)報處理表(mangle table)。
數(shù)據(jù)報過濾表(filter table):
表格不會對數(shù)據(jù)報進行修改,而只對數(shù)據(jù)報進行過濾。iptables優(yōu)于ipchains的一個方面就是它更為小巧和快速。它是通過鉤子函數(shù)NF_IP_LOCAL_IN,NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此對于任何一個數(shù)據(jù)報只有一個地方對其進行過濾。這相對ipchains來說是一個巨大的改進,因為在ipchains中一個被轉(zhuǎn)發(fā)的數(shù)據(jù)報會遍歷三條鏈。
網(wǎng)絡(luò)地址轉(zhuǎn)換表(nat table):
NAT表格監(jiān)聽三個Netfilter鉤子函數(shù):NF_IP_PRE_ROUTING,NF_IP_POST_ROUTING及NF_ IP_LOCAL_OUT。NF_IP_PRE_ROUTING實現(xiàn)對需要轉(zhuǎn)發(fā)的數(shù)據(jù)報的源地址進行地址轉(zhuǎn)換而NF_IP_POST_ROUTING則對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包的目的地址進行地址轉(zhuǎn)換。對于本地數(shù)據(jù)報的目的地址的轉(zhuǎn)換則由NF_IP_LOCAL_OUT來實現(xiàn)。
NAT表格不同于filter表格,因為只有新連接的第一個數(shù)據(jù)報將遍歷表格,而隨后的數(shù)據(jù)報將根據(jù)第一個數(shù)據(jù)報的結(jié)果進行同樣的轉(zhuǎn)換處理。NAT表格被用在源NAT,目的NAT,偽裝(其是源NAT的一個特例)及透明(其實是目的NAT的一個特例)。
數(shù)據(jù)報處理表(mangle table):
mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進行注冊。使用
mangle表,可以實現(xiàn)對數(shù)據(jù)報的修改或給數(shù)據(jù)報附上一些帶外數(shù)據(jù)。當(dāng)前mangle表支持修改TOS位及設(shè)置skb的nfmard字段。
3 iptables的命令配置與應(yīng)用
Iptables的基本語法是:
iptables [-t table] command [match] [- j target/jump]
其中Ct參數(shù)用來指定規(guī)則表,當(dāng)未指定規(guī)則表時,則默認(rèn)認(rèn)為是filter
下面根據(jù)實例來詳細(xì)解釋下iptables的用法,配置防火墻的基本規(guī)則是先拒絕所有的服務(wù),然后根據(jù)需要再添加新的規(guī)則。在實例中,我們開放了WEB服務(wù)器,郵件服務(wù)器,F(xiàn)TP服務(wù)器等常用的端口,在實際情況中可以根據(jù)特定的網(wǎng)絡(luò)狀況,特定的安全要求做特別的處理:
iptables CF#刪除已經(jīng)存在的規(guī)則
iptables -P INPUT DROP#配置默認(rèn)的拒絕規(guī)則。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT#打開WEB服務(wù)端口的tcp協(xié)議
iptables -A INPUT -p tcp --dport 110 -j ACCEPT #打開POP3服務(wù)端口的tcp協(xié)議
iptables -A INPUT -p tcp --dport 25 -j ACCEPT#打開SMTP服務(wù)端口的tcp協(xié)議
iptables -A INPUT -p tcp --dport 21 -j ACCEPT#打開FTP服務(wù)端口的tcp協(xié)議
4 結(jié)論
Linux內(nèi)核防火墻的iptables/netfilter框架設(shè)計得非常成功,它將所有對數(shù)據(jù)包的處理都統(tǒng)一到這個一個框架之下。Netfilter不僅僅有此高效的設(shè)計,同時還具備很大的靈活性,這主要表現(xiàn)在iptable/netfilter中的很多部分都是可擴充的,包括Table, Match, Target等。
參考文獻:
[1]毛德操,胡希明.Linux內(nèi)核源代碼情景分析[M].浙江大學(xué)出版.2001,9.
[2]Marcus Goncalves.宋書民,等,譯.防火墻技術(shù)指南[M].機械工業(yè)出版社,2000,11.
[3]Robert L.Ziegler..余青霓,等,譯.LINUX防火墻[M].人民工業(yè)出版社,2000,10.
[4]博嘉科技主編.LINUX防火墻技術(shù)探秘[M].國防工業(yè)出版社,2002,10.
【關(guān)鍵詞】計算機網(wǎng)絡(luò) 防火墻技術(shù) 功能 趨勢
隨著信息化時代的到來,計算機網(wǎng)絡(luò)逐漸成為人們有效開展信息交換的重要手段,并滲透到社會生活的各個方面,給人們生活帶來了巨大影響。與此同時,保障計算機網(wǎng)絡(luò)信息安全,愈來愈成為當(dāng)今社會面臨的亟需解決的課題。
1 防火墻技術(shù)的含義
“所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障?!彼且环N計算機硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。它實際上是一種隔離技術(shù)。
2 防火墻的功能
防火墻對計算機網(wǎng)絡(luò)具有很好的保護作用。入侵者必須先穿越防火墻的安全防線,才能接觸目標(biāo)計算機。具體來說防火墻有以下功能。
2.1 防火墻有保障計算機網(wǎng)絡(luò)安全的功能
防火墻通過自身過濾功能將不安全的數(shù)據(jù)包隔擋在“代碼墻”以外,降低Internet給計算機造成的風(fēng)險。然后通過驗證程序檢測哪些數(shù)據(jù)包是安全的,并使之進入計算機,由此使得網(wǎng)絡(luò)環(huán)境變得更安全。
2.2 防火墻具有監(jiān)控網(wǎng)絡(luò)存取和訪問的功能
由于進入計算機的數(shù)據(jù)包都要經(jīng)過防火墻的檢測和篩選,那么防火墻就能記錄下這些數(shù)據(jù)包并對網(wǎng)絡(luò)的使用情況進行統(tǒng)計。當(dāng)發(fā)生可疑數(shù)據(jù)包時,防火墻能進行適當(dāng)?shù)膱缶?,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。因此,防火墻對網(wǎng)絡(luò)使用統(tǒng)計與監(jiān)控具有非常重要的作用。
2.3 可以防止內(nèi)部信息的外泄
隱私是網(wǎng)絡(luò)使用者最關(guān)心的問題。很多隱私的被流露于公眾的視野,多數(shù)都是因為計算機網(wǎng)絡(luò)內(nèi)部某些安全漏洞。而使用防火墻就可以利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,實現(xiàn)內(nèi)部網(wǎng)的隔離,從而限制了局部或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。進而隱蔽了那些透漏內(nèi)部細(xì)節(jié)DNS服務(wù)。這樣一臺主機的域名和IP地址就不會被外界所了解。
2.4 防火墻對數(shù)據(jù)庫安全的實時保護功能
防火墻通過驗證工具和包過濾系統(tǒng)分析,根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL 操作通過,阻斷非法違規(guī)操作,形成數(shù)據(jù)庫的防御圈,實現(xiàn)SQL 危險操作的主動預(yù)防、實時審計。同時,還可以對來自于外部的入侵行為,提供SQL 注入禁止和數(shù)據(jù)庫虛擬補丁包功能。
3 防火墻技術(shù)的發(fā)展趨勢
隨著新的網(wǎng)絡(luò)病毒的出現(xiàn),防火墻技術(shù)的發(fā)展更應(yīng)該注重放行數(shù)據(jù)的安全性研究。因為使用者對網(wǎng)絡(luò)安全的要求是既要保證網(wǎng)絡(luò)安全,也必須保證網(wǎng)絡(luò)的正常運行。因此,新型防火墻技術(shù)在研發(fā)過程中要集成其它安全技術(shù),使防火墻的安全性得以進一步提升。這一些新的發(fā)展趨勢,可以從防火墻體系結(jié)構(gòu)、包過濾技術(shù)和防火墻系統(tǒng)管理三方面展開。
3.1 防火墻的體系結(jié)構(gòu)發(fā)展趨勢
隨著信息化潮流的到來,計算機網(wǎng)絡(luò)的應(yīng)用更加廣泛,規(guī)模更加龐大。使用者對網(wǎng)絡(luò)寬帶的安全提出了更高的要求。這意味著防火墻技術(shù)必須緊跟時代的發(fā)展,加快提升自身處理數(shù)據(jù)的能力,為計算機網(wǎng)絡(luò)提供更加有效的安全保護和有效的運行保障。尤其是,在當(dāng)今信息化社會的生活中,計算機網(wǎng)絡(luò)、手機網(wǎng)絡(luò)等網(wǎng)絡(luò)媒體的應(yīng)用越來越普遍,這就要求防火墻技術(shù)對流入網(wǎng)絡(luò)的數(shù)據(jù)處理更加有效、準(zhǔn)確、及時。要想滿足這種需要,防火墻技術(shù)研發(fā)人員就必須制定超前的研發(fā)方案,完善防火墻的結(jié)構(gòu)體系。例如當(dāng)前部分制造商開發(fā)的基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。
3.2 防火墻數(shù)據(jù)包過濾技術(shù)發(fā)展趨勢
(1)防火墻的主要功能就是對來自外網(wǎng)的木馬程序、病毒程序等危險程序進行防范和抵御。因而,在實際網(wǎng)絡(luò)使用中使用主體通常經(jīng)防火墻稱之為病毒防火墻。從目前網(wǎng)絡(luò)使用者通過各種途徑選取不同的防火墻,并按照與計算機內(nèi),目的就是防范病毒的入侵。
(2)注重研發(fā)多級過濾技術(shù)。“所謂多級過濾技術(shù),是指防火墻采用多級過濾措施,并輔以鑒別手段”。該過濾技術(shù)主要是通過編制不同的程序系統(tǒng),逐級設(shè)立功能。各級根據(jù)自身的功能開展對流入網(wǎng)絡(luò)的數(shù)據(jù)流進行識別,檢測。層層把關(guān),能夠更加有效的抵御病毒對計算機網(wǎng)絡(luò)的入侵。這是一種綜合性防火墻技術(shù),它可以彌補各種單一過濾技術(shù)的不足。
(3)為了進一步強化防火墻的安全策略功能。目前,很多防火墻技術(shù)生產(chǎn)商在現(xiàn)有的防火墻技術(shù)的基礎(chǔ)上,又增加了用戶認(rèn)證系統(tǒng)。用戶認(rèn)證系統(tǒng)隨著無線網(wǎng)絡(luò)的普及應(yīng)用,獲得了眾多無線網(wǎng)絡(luò)電信商和用戶的青睞。并逐漸成為無線網(wǎng)絡(luò)安全應(yīng)用的必備系統(tǒng)。
3.3 防火墻的系統(tǒng)管理發(fā)展趨勢
隨著防火墻技術(shù)的快速發(fā)展,加強防火墻的系統(tǒng)管理也成為網(wǎng)絡(luò)技術(shù)發(fā)展的重點。首先是集中式管理。集中式管理的優(yōu)點就是能夠使生產(chǎn)商以最小的投入獲取最大的效益。同時,還可以保證網(wǎng)絡(luò)安全保障系統(tǒng)的一致性。從目前成功研發(fā)的事例來看,Cisco(思科)、3Com等幾個大的防火墻技術(shù)開發(fā)商已經(jīng)在注重加強防火墻的系統(tǒng)管理發(fā)展。其次是加大開發(fā)防火墻的監(jiān)控和審計功能的力度。在防火墻技術(shù)研發(fā)過程中,我們不僅要注重事后治理,更要注重事前預(yù)防,未雨綢繆,將潛在的威脅扼殺在流入之初。最后是建立以防火墻為核心的網(wǎng)絡(luò)安全體系。因為我們在現(xiàn)實中發(fā)現(xiàn),僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個以防火墻為核心的安全體系,就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線,各種安全技術(shù)各司其職,從各方面防御外來入侵。
參考文獻
[1]羅霽.并行多模式匹配算法及硬件實現(xiàn)研究[D].杭州電子科技大學(xué),2013(06):10.
[2]楊旭.計算機網(wǎng)絡(luò)信息安全技術(shù)研究[D]. 南京理工大學(xué),2008(06):43
[3]信息技術(shù)研究中心.網(wǎng)絡(luò)信息安全新技術(shù)與標(biāo)準(zhǔn)規(guī)范實用手冊(第1版) [M].北京:電子信息出版社,2004:20-21.
作者簡介
鄧龍敏(1998-),男 ,湖北省黃石市人?,F(xiàn)就讀于鄂南高中,熱衷于計算機網(wǎng)絡(luò)技術(shù)研究。
關(guān)鍵詞:因特網(wǎng);網(wǎng)絡(luò)安全;計算機防火墻技術(shù)
中圖分類號:TP393.08 文獻標(biāo)識碼:A 文章編號:1007-9599 (2012) 16-0000-02
計算機防火墻是一種獲取安全性方法的形象說法,它由硬件設(shè)備和軟件組合而成、在專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的界面上構(gòu)造一個保護屏障,使得不同的網(wǎng)絡(luò)之間建立一個安全網(wǎng)關(guān),以保護內(nèi)部專門網(wǎng)絡(luò),使其免受非法用戶的入侵[1]。
計算機防火墻的主要功能有:過濾掉不安全服務(wù)和非法用戶[2];控制對特殊站點的訪問;提供監(jiān)視Internet安全和預(yù)警的方便端點。其功能主要體現(xiàn)在訪問控制,內(nèi)容控制,全面的日志;集中管理,自身的安全和可用性;流量控制,NAT,VPN等方面。
目前防火墻技術(shù)正在朝著智能化和分布化的方向發(fā)展,其中智能防火墻技術(shù)對數(shù)據(jù)的識別是通過利用記憶、概率、統(tǒng)計和決策的智能方法來進行的,以實現(xiàn)訪問控制。智能防火墻采用新的數(shù)學(xué)方法,消除了匹配檢查所需要的海量計算,高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值,直接進行訪問控制,可以很好的解決目前存在的網(wǎng)絡(luò)安全問題。智能防火墻技術(shù)是計算機防火墻技術(shù)發(fā)展的必然趨勢[3,4]。
1 計算機防火墻的分類及其原理
計算機防火墻根據(jù)工作機制的不同可分為包過濾防火墻、應(yīng)用型防火墻、網(wǎng)絡(luò)地址翻譯及復(fù)合型防火墻。
1.1 包過濾防火墻
包過濾防火墻技術(shù)中預(yù)先設(shè)定有包過濾規(guī)則,包過濾防火墻工作在網(wǎng)絡(luò)層,接收到的每個數(shù)據(jù)包都要同包過濾規(guī)則進行比較,然后決定該數(shù)據(jù)包是通過還是阻塞。
包過濾防火墻又分為無狀態(tài)包過濾和有狀態(tài)檢查包過濾。無狀態(tài)包過濾防火墻是最原始的防火墻,它是根據(jù)每個包頭部的信息來決定是否要將包繼續(xù)傳輸,從而增強安全性。其安全程度相對較低,它的內(nèi)部網(wǎng)絡(luò)很容易暴露,進而容易遭受攻擊。在通信中,無法維持足夠的信息來決定是否應(yīng)該放棄這個包,因為任何一條不完善的過濾規(guī)則都會給網(wǎng)絡(luò)黑客可乘之機。但是有狀態(tài)檢查包過濾其可以記住經(jīng)過防火墻的所有通信狀態(tài),并依據(jù)其記錄下來的狀態(tài)信息數(shù)據(jù)包的允許與否。動態(tài)包過濾防火墻是目前最流行的防火墻技術(shù)。
1.2 應(yīng)用型防火墻
是指服務(wù)器利用偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請求,然后將這些請求發(fā)到外部的網(wǎng)絡(luò)中;當(dāng)服務(wù)器從公共服務(wù)器處接收到響應(yīng)后,其再將響應(yīng)返回給原始的客戶,其與原始的公共服務(wù)器所起的作用是一樣的[3]。
應(yīng)用級技術(shù)采用在OSI的最高層檢查每一個IP包,進而獲得安全策略。應(yīng)用技術(shù)雖然在一定程度上保證了網(wǎng)絡(luò)的安全,但是它對每一種服務(wù)都需要,且它工作在協(xié)議棧高層,執(zhí)行效率明顯降低,有時會成為網(wǎng)絡(luò)的瓶頸。
1.3 網(wǎng)絡(luò)地址翻譯
網(wǎng)絡(luò)地址翻譯將專用網(wǎng)絡(luò)中的ip地址轉(zhuǎn)換成在因特網(wǎng)上使用的全球唯一的公共ip地址。盡管最初設(shè)計nat的目的是為了增加在專用網(wǎng)絡(luò)中可使用的ip地址數(shù),但是它有一個隱蔽的安全特性,如內(nèi)部主機隱蔽等。這在一定程度上保證了網(wǎng)絡(luò)安全。nat實際上是一個基本的,一個主機代表內(nèi)部所有主機發(fā)出請求,并代表外部服務(wù)器對內(nèi)部主機進行響應(yīng)等。但nat工作在傳輸層,因此它還需要使用低層和高層服務(wù)來保證網(wǎng)絡(luò)的安全。
1.4 復(fù)合型防火墻
出于更高安全性的要求,有些開發(fā)商常把包過濾的方法與應(yīng)用的方法結(jié)合起來,開發(fā)出復(fù)合型的防火墻產(chǎn)品,這種復(fù)合型的防火墻用以下兩種方式實現(xiàn)網(wǎng)絡(luò)安全維護功能:(1)通過屏蔽主機防火墻體系結(jié)構(gòu),使分組過濾路由器或防火墻與互聯(lián)網(wǎng)相連,同時在內(nèi)部網(wǎng)絡(luò)安裝一個堡壘機,利用對過濾規(guī)則的設(shè)置,使堡壘機成為互聯(lián)網(wǎng)上其他網(wǎng)絡(luò)訪問所能到達的唯一節(jié)點,確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)的外部用戶的攻擊。(2)通過屏蔽子網(wǎng)防火墻體系結(jié)構(gòu),將堡壘機安裝在一個內(nèi)部子網(wǎng)內(nèi),同時在這一子網(wǎng)的兩端安裝兩個分組過濾路由器,使這一子網(wǎng)與互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)分離,進而確保這一子網(wǎng)不受未授權(quán)的外部用戶的攻擊。在結(jié)構(gòu)中,堡壘機和分組過濾路由器共同構(gòu)成了整個屏蔽子網(wǎng)防火墻體系的安全基礎(chǔ)。
2 常見網(wǎng)絡(luò)攻擊方式及網(wǎng)絡(luò)安全策略
2.1 網(wǎng)絡(luò)攻擊方式
2.1.1 病毒
盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時進行病毒掃描的功能,但仍然很難將所有的病毒阻止于網(wǎng)絡(luò)之外,黑客欺騙用戶下載某個程序,從而使惡意代碼進入到計算機內(nèi)網(wǎng)。應(yīng)對策略:設(shè)置網(wǎng)絡(luò)安全等級,對于未經(jīng)安全檢測的下載程序,嚴(yán)格阻止其任務(wù)執(zhí)行[5]。
2.1.2 口令字
窮舉與嗅探是口令字的兩種攻擊方式。窮舉是通過外部網(wǎng)絡(luò)的攻擊對防火墻的口令字進行猜測。嗅探通過監(jiān)測內(nèi)部網(wǎng)絡(luò)來獲取主機給防火墻的口令字。應(yīng)對策略:通過設(shè)計使主機和防火墻通過單獨接口進行通信或是采用一次性口令等。
2.1.3 郵件
借助郵件進行的網(wǎng)絡(luò)攻擊方式日益明顯,垃圾郵件的制造者通過復(fù)制方式,把一條消息變成幾百幾萬份消息,并將其發(fā)送到很多人,當(dāng)郵件被收到并打開時,惡意代碼便進入到計算機系統(tǒng)。應(yīng)對策略:打開防火墻上的過濾功能,在內(nèi)網(wǎng)主機上采取相應(yīng)阻止措施。
2.1.4 IP地址
黑客通過利用與內(nèi)部網(wǎng)絡(luò)相似的IP地址,能夠避開服務(wù)器的檢測,從而進入到內(nèi)部網(wǎng)進行攻擊。應(yīng)對策略:打開內(nèi)核的rp_filter功能,把具有內(nèi)部地址但是是來自網(wǎng)絡(luò)外部的數(shù)據(jù)包全部丟棄;同時把IP地址和計算機的MAC綁定,擁有相應(yīng)MAC地址的用戶才能使用被綁定的IP地址進行網(wǎng)絡(luò)訪問[5]。
2.2 網(wǎng)絡(luò)安全策略
2.2.1物理安全策略
物理安全策略的目的有:(1)保護計算機、服務(wù)器、打印機等硬件設(shè)備與通信鏈路不受到人為破壞與搭線攻擊等。(2)驗證用戶身份與使用權(quán)限,防止越權(quán)操作。(3)為計算機系統(tǒng)提供良好的工作環(huán)境。(4)建立安全管理制度,防止發(fā)生非法進入計算機控制室以及偷竊破壞活動等[6]。
目前,物理安全的防護措施主要有:(1)傳導(dǎo)發(fā)射進行防護。如:在信號線與電源線上加裝濾波器,使導(dǎo)線與傳輸阻抗間的交叉耦合減到最小。(2)對輻射進行防護。主要采取電磁屏蔽措施與干擾措施,在計算機系統(tǒng)工作時,通過利用屏蔽裝置或者干擾裝置來產(chǎn)生一種噪聲,該噪聲輻射到空中,能夠掩蓋計算機系統(tǒng)的信息特征與工作頻率。
2.2.2 訪問控制策略
作為最重要的網(wǎng)絡(luò)安全策略之一,訪問控制是確保網(wǎng)絡(luò)安全運行的技術(shù)策略,其主要任務(wù)是指保護網(wǎng)絡(luò)資源不被非常訪問和非法使用。防火墻技術(shù)就是網(wǎng)絡(luò)安全訪問控制策略在實踐中主要的應(yīng)用。
2.2.3 網(wǎng)絡(luò)安全管理策略
為了保證網(wǎng)絡(luò)安全,除了采用物理安全策略和訪問控制策略之外,加強網(wǎng)絡(luò)的安全管理,制訂有關(guān)規(guī)章制度,對于確保網(wǎng)絡(luò)安全、可靠地運行,能起到十分有效的作用。
3 結(jié)論
隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全方面的問題必將引起人們越來越多的重視。計算機防火墻技術(shù)是用來維護網(wǎng)絡(luò)安全的一種重要措施和手段,它主要作用是:拒絕未經(jīng)授權(quán)的用戶訪問相關(guān)數(shù)據(jù),阻止未經(jīng)授權(quán)的用戶存儲或下載敏感數(shù)據(jù),同時也要確保合法用戶訪問網(wǎng)絡(luò)資源不受影響。防火墻目的在于為用戶提供信息的保密,認(rèn)證和完整性保護機制,使網(wǎng)絡(luò)中的服務(wù),數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。相信,隨著新的計算機安全問題的出現(xiàn)和科學(xué)技術(shù)的進一步發(fā)展,計算機防火墻也將獲得進一步的改進。
參考文獻:
[1] Richard Tibbs, Edward Oakes. 防火墻與VPN原理與實踐[M].清華大學(xué)出版社,2008.
[2]閻慧.防火墻原理與技術(shù)[M].機械工業(yè)出版社,2004.
[3]王艷.淺析計算機安全[J].電腦知識與技術(shù),2010,5:1054-1055.
[4]欒江.計算機防火墻發(fā)展現(xiàn)狀及應(yīng)用前景[J].信息與電腦,2010,6:17.
[5]周立.計算機防火墻技術(shù)原理分析及應(yīng)用展望[J].硅谷,2008,10:49-50.
關(guān)鍵詞:防火墻 深度檢測 研究分析
中圖分類號:TP393.08 文獻標(biāo)識碼:A 文章編號:1007-9416(2016)04-0000-00
傳統(tǒng)的防火墻主要在訪問控制列表為基礎(chǔ)進行過濾的,它有專門的內(nèi)部網(wǎng)絡(luò)入口,也被人稱作“邊界防火墻”。在近幾年來防火墻技術(shù)的地位越來越重要,其最新改進的技術(shù)――深度包檢測技術(shù),是可以看到傳統(tǒng)防火墻的入侵檢測與阻止的整合,也是解決傳統(tǒng)防火墻所遇到問題的新技術(shù),在防火墻發(fā)展過程中具有重要的作用。
1 防火墻技術(shù)發(fā)展歷程
1.1 包過濾防火墻
第一代防護墻包過濾是沒有相關(guān)狀態(tài)的概念,管理工作人員只需要通過過濾就可以允許或是禁止訪問控制列表中的選項。包過濾防火墻在發(fā)展中其安全屬性具有一定的缺陷,應(yīng)用層的信息是系統(tǒng)沒有辦法獲取的,防火墻沒有辦法理解通信的內(nèi)容是非常容易被黑客攻擊的。正是因為這個原因,人們更多的人們包過濾防火墻技術(shù)不夠安全,在發(fā)展中慢慢被狀態(tài)檢測防火墻技術(shù)取代了。
2.2 狀態(tài)檢測防火墻
相對于包過濾防火墻技術(shù)來說,狀態(tài)防火墻技術(shù)在性能、擴展等方面的表現(xiàn)出來的優(yōu)勢使其很快就成為防火墻技術(shù)的佼佼者。在上個世紀(jì)九十年代推出第一臺商用的狀態(tài)檢測防火墻產(chǎn)品,隨后得到快速的發(fā)展。狀態(tài)檢測防火墻主要是在網(wǎng)絡(luò)層工作,對包過濾防火墻比較看,它所做出的決策是在會話信息基礎(chǔ)上而不是包的信息。狀態(tài)檢測防火墻在驗證數(shù)據(jù)包時候會先判定這個數(shù)據(jù)是否符合當(dāng)前的會話,同時還可以在狀態(tài)中保存這些信息。狀態(tài)檢測防火墻技術(shù)對異常的TCP網(wǎng)絡(luò)層的攻擊有著一定的阻止作用。有些網(wǎng)絡(luò)設(shè)備是可以將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀。該種防火墻技術(shù)在一定的時間內(nèi)是人們使用最廣泛的技術(shù),用來保護計算機網(wǎng)絡(luò)不受到黑客的攻擊,但是專門對應(yīng)用層網(wǎng)絡(luò)攻擊的現(xiàn)象越來越多時候,狀態(tài)檢測防火墻技術(shù)的有效性也在不斷的下降。由于狀態(tài)防火墻在設(shè)計的時候并沒有專門的根據(jù)Web應(yīng)用程序的攻擊進行設(shè)計,這樣深度包檢測防火墻技術(shù)應(yīng)用而生。
2.3 深度包檢測防火墻
深度包檢測防火墻技術(shù)可以更好的處理應(yīng)用程序上的流量問題,可以很好的防范目標(biāo)系統(tǒng)受到各種復(fù)雜的攻擊,將狀態(tài)檢測的優(yōu)勢很好的結(jié)合起來。它可以對數(shù)據(jù)流量進行分析同時還可以做出訪問的控制判決,根據(jù)允許的數(shù)據(jù)流量對負(fù)載做出相關(guān)的決策。
3 深度包檢測技術(shù)特點
隨著科技的發(fā)展,深度包檢測技術(shù)在不斷的更新?lián)Q代中進而實現(xiàn)深度包檢測的功能。深度包檢測防火墻技術(shù)在一定的程度上融合了包過濾與狀態(tài)檢測防火墻技術(shù)的功能,主要具有以下4個功能特征。
3.1 應(yīng)用層加密與解密
SSL通常被運用在Web瀏覽器與服務(wù)器之間認(rèn)證身份的加密數(shù)據(jù)傳輸,進而確保數(shù)據(jù)的安全性。該種技術(shù)在運用的時候?qū)Ψ阑饓σ簿吞岢隽烁叩囊蟥D―要對數(shù)據(jù)的加密與解密進行處理。若是不能夠?qū)SL加密的數(shù)據(jù)進行解密的話嗎,那么防火墻就沒有辦法對負(fù)載的信息進行相關(guān)的分析,更沒有辦法判斷出數(shù)據(jù)中是否具有相關(guān)應(yīng)用層的攻擊信息,同時沒有辦法體現(xiàn)出深度包檢測的優(yōu)勢。SSL的加密性能非常高,當(dāng)前很多企業(yè)使用來保證應(yīng)用程序數(shù)據(jù)的安全,若是深度包檢測技術(shù)沒有辦法對企業(yè)中的關(guān)鍵應(yīng)用程序提高安全性能的化,那么也就是說整個深度包檢測失去它的意義。
3.2 正?;夹g(shù)
為了可以很好的防范應(yīng)用層的攻擊通常情況下主要是依賴字符串的匹配,但是不正常的匹配在很大的程度上會造成安全漏洞。例如,為了能知道某種請求是否可以啟用,防火墻的請求就會與安全策略來匹配,只有匹配成功了,防火墻才會采用安全策略。在解決字符匹配的時候是需要利用正常化技術(shù)的,只有深度包檢測才具備這樣的功能,可以識別與阻止大量的危險攻擊。
3.3 協(xié)議一致性
應(yīng)用層協(xié)議一致性通常在應(yīng)用程序中會用到,協(xié)議都是由RFC進行規(guī)范建設(shè)的。因為深度包檢測是在應(yīng)用層中進行狀態(tài)檢測的,因而就必須要明確應(yīng)用層中的數(shù)據(jù)是否與這些協(xié)議一致,這樣才會防止隱藏的攻擊。
3.4 雙向負(fù)載檢測
與包過濾檢測、狀態(tài)檢測來說,深度包檢測具有很強大的功能,它是可以允許與拒絕數(shù)據(jù)包的通過,通常主要是檢查與修改四到七層的數(shù)據(jù)包,主要有包頭、負(fù)載。深度檢測防火墻是可以自動的進行匹配,這樣能正確檢測出服務(wù)質(zhì)量如何。若是請求不匹配那么深度包檢測就會自動將其丟掉,同時將其寫入到日志中,也會向管理員發(fā)出警告。另外,深度包檢測技術(shù)是可以進行修改URL,這一點是與應(yīng)用層的NAT相似。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,為了可以提供全面的防護,進行深度包檢測是一定的。深度包檢測技術(shù)還在不斷的發(fā)展中,但其基本具有以上的特點。最近幾年里,隨著編程ASIC技術(shù)發(fā)展與有效的規(guī)則算法出現(xiàn)使得深度包檢測引擎的執(zhí)行能力加強,應(yīng)用深度檢測技術(shù)越來越受到好評,很多防火墻的供應(yīng)商都在不斷的增加對防火墻產(chǎn)品中應(yīng)用數(shù)據(jù)進行分析。
4 結(jié)語
雖然深度包檢測技術(shù)受到越來越多好評,但是其也具有相當(dāng)多的缺點。當(dāng)前的深度包檢測產(chǎn)品通常都是一體化的安全設(shè)備,這樣就會由于單個安全組件的癱瘓而引起整個網(wǎng)絡(luò)處于安全漏洞的狀態(tài)下。同時將更多的功能集中在一起,也就越可能的限制單個產(chǎn)品供應(yīng)商,這樣在一定的程度上就會使我們喪失了靈活性。網(wǎng)絡(luò)安全問題正在處于復(fù)雜的境地,有著各種各樣的傳統(tǒng)防火墻與入侵技術(shù),因而當(dāng)深度包檢測的融合能否降低復(fù)雜性,還是需要不斷的發(fā)展觀察。
參考文獻
[1] 劉坤燦.防火墻深度包檢測技術(shù)的研究與實現(xiàn)[D].北京郵電大學(xué),2013(01).
[2] 蘆志朋.深度包檢測主機防火墻的研究與實現(xiàn)[D].電子科技大學(xué),2010(03).
[3] 艾鑫.眾核環(huán)境下深度包檢測系統(tǒng)的設(shè)計與優(yōu)化[D].哈爾濱工業(yè)大學(xué),2013(06).
關(guān)鍵詞:網(wǎng)絡(luò)隔離;防火墻技術(shù);比較
中圖分類號:TP393 文獻標(biāo)識碼:A文章編號:1007-9599 (2011) 09-0000-01
Comparative Study of Network Isolation and Firewall Technology
Wang Lei
(Hunan Women's University,Changsha410004,China)
Abstract:Based on the network and firewall technology,isolation technology and the principles described in terms of security from both analysis and comparison of network isolation to draw users to solve network security problems is the best choice.
Keywords:Network isolation;Firewall technology;Comparison
一、前言
隨著Internet的飛速發(fā)展以及我國政府信息化為代表的電子政務(wù)的蓬勃發(fā)展,寬帶網(wǎng)已經(jīng)得到普及。業(yè)界電子商務(wù)的開展,海量的網(wǎng)絡(luò)信息,日趨豐富的網(wǎng)絡(luò)功能使得“網(wǎng)上辦公”條件已經(jīng)成熟。辦公信息化帶來了辦公效率質(zhì)的飛躍,但辦公信息化的安全,也極大地引起人們的關(guān)注和思考,相應(yīng)的網(wǎng)絡(luò)隔離技術(shù)與防火墻技術(shù)的應(yīng)用研究引起了人們的高度重視。
二、網(wǎng)絡(luò)隔離技術(shù)簡介
(一)網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程
網(wǎng)絡(luò)隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如:TCP/IP)通過不可路由的協(xié)議(如:IPX/SPX、NetBEUI等)進行數(shù)據(jù)交換而達到隔離目的。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(Protocol Isolation)。
(二)網(wǎng)絡(luò)隔離技術(shù)原理
網(wǎng)絡(luò)隔離產(chǎn)品采用了網(wǎng)絡(luò)隔離技術(shù),是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于兩個獨立主機系統(tǒng)之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以,網(wǎng)絡(luò)隔離產(chǎn)品從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現(xiàn)了真正的安全。
(三)網(wǎng)絡(luò)隔離設(shè)備的實現(xiàn)機制
網(wǎng)絡(luò)隔離設(shè)備由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專用隔離硬件組成。網(wǎng)絡(luò)隔離硬件包括一個獨立的固態(tài)存儲單元和一個獨立的調(diào)度和控制單元,內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元在同一時刻最多只有一個同固態(tài)存儲單元建立非TCP/IP協(xié)議的數(shù)據(jù)連接,并通過私有協(xié)議進行數(shù)據(jù)的交換。
三、防火墻的體系架構(gòu)介紹
目前的防火墻大都依靠于對數(shù)據(jù)包的信息進行檢查,檢查的重點是網(wǎng)絡(luò)協(xié)議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應(yīng)用層包頭以及數(shù)據(jù)加載的包頭,要了解防火墻的具體架構(gòu),就需要分析檢查它是哪一層協(xié)議的信息。根據(jù)OSI模型,防火墻架構(gòu)包含以下幾種:包過濾防火墻,電路網(wǎng)關(guān)防火墻,應(yīng)用網(wǎng)關(guān)防火墻,狀態(tài)檢測包過濾防火墻和切換防火墻。防火墻是建立在內(nèi)外網(wǎng)邊界上的過濾封鎖機制,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的,而外部網(wǎng)絡(luò)被認(rèn)為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進出被保護的內(nèi)部網(wǎng)絡(luò)。防火墻對網(wǎng)絡(luò)安全的保護程度,很大程度上取決于防火墻的體系架構(gòu)。隨著網(wǎng)絡(luò)應(yīng)用的增加,對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。
四、防火墻存在的安全漏洞
防火墻設(shè)備側(cè)重于網(wǎng)絡(luò)層到應(yīng)用層的策略隔離,操作系統(tǒng)、內(nèi)部系統(tǒng)的漏洞、通用協(xié)議的缺陷等都成為不安全的潛在因素。首先由防火墻的體系架構(gòu)可知,防火墻可能會產(chǎn)生網(wǎng)絡(luò)層短路,從而導(dǎo)致偽造合法數(shù)據(jù)包帶來的危害;防火墻還難以抵御數(shù)據(jù)驅(qū)動式攻擊,即大量合法的數(shù)據(jù)包將導(dǎo)致網(wǎng)絡(luò)阻塞而使正常通信癱瘓。其次,防火墻很難阻止由通用協(xié)議本身漏洞發(fā)起的入侵。第三,防火墻系統(tǒng)本身的缺陷也是影響內(nèi)部網(wǎng)絡(luò)安全的重要因素,當(dāng)防火墻主機被控制后,內(nèi)部受保護網(wǎng)絡(luò)就會暴露無疑。第四,要使防火墻發(fā)揮有效的安全性,需要正確、合理地配置防火墻相關(guān)的安全策略,而配置的復(fù)雜程度不僅帶來繁瑣的工作量,同時也增加了配置不當(dāng)帶來的安全隱患。
五、安全性分析比較
(一)指導(dǎo)思想不同
1.防火墻的思路是在保障互聯(lián)互通的前提下,盡可能安全;
2.網(wǎng)絡(luò)隔離技術(shù)的思路是在保證必須安全的前提下,盡可能互聯(lián)互通。
(二)體系架構(gòu)不同
網(wǎng)絡(luò)隔離產(chǎn)品一般為雙機或三機系統(tǒng),而防火墻由一臺處理機組成,為單機系統(tǒng)。而網(wǎng)絡(luò)隔離設(shè)備實現(xiàn)了OSI模型七層的斷開和應(yīng)用層內(nèi)容的檢查機制,因而不會產(chǎn)生網(wǎng)絡(luò)層短路,消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。
(三)安全規(guī)則配置的復(fù)雜程度不同
防火墻主要依據(jù)網(wǎng)絡(luò)治理工程師配置的規(guī)則進行安全檢查,其安全性的高低與規(guī)則配置情況密切相關(guān)。規(guī)則配置十分復(fù)雜,規(guī)則最終所起的作用不僅與每條規(guī)則有關(guān),而且與每條規(guī)則的先后順序、規(guī)則之間的相關(guān)性都有很大關(guān)系。網(wǎng)絡(luò)治理工程師必須仔細(xì)檢查每條規(guī)則,以保證其結(jié)果是其預(yù)期的結(jié)果。從另一個方面講,防火墻的配置要求網(wǎng)絡(luò)治理工程師有較高的網(wǎng)絡(luò)知識和技術(shù)水平。防火墻只是一個被動的安全策略執(zhí)行設(shè)備,防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅,規(guī)則配置錯誤將造成不安全通道打開。而網(wǎng)絡(luò)隔離設(shè)備無需進行復(fù)雜的規(guī)則配置,只需設(shè)定一些內(nèi)外網(wǎng)訪問政策。網(wǎng)絡(luò)隔離設(shè)備僅答應(yīng)定制的信息進行交換,即使出現(xiàn)錯誤,也至多是數(shù)據(jù)不再答應(yīng)傳輸,而不會造成重大安全事故。
參考文獻: