摘要:Internet的迅速发展给人们生活带来了极大的方便,但同时也面临着空前的威胁,安全性已经成为互联网技术中最关键的问题。防火墙是网络安全的关键技术,作为一种隔离内部安全网络与外部不信任网络的防御技术已经成为计算机网络安全体系结构中的一个重要组成部分。本文讨论了防火墙的安全功能、实现防火墙的主要技术手段以及防火墙新技术的发展趋势。
关键词:防火墙;Internet;发展趋势
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2013) 03-0000-02
1 引言
随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件等网络安全问题也引起人们的广泛关注,作为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的防火墙产品,已经充斥了整个网络世界。做为保护网络边界的安全产品,防火墙技术也已经逐步趋于成熟,并为广大用户所认可,在Internet网中得到越来越广泛的应用。
2 防火墙及安全功能
防火墙的概念
在网络中,“防火墙”是指一种将内网和外网分开的一种隔离技术,控制两个或多个网络之间访问的软硬件集合,是在网络间通讯时执行的一种访问控制尺度。它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。防火墙是最具策略性的网络安全基础结构组件,可以检测所有通信流。因此,防火墙是企业网络安全控制的中心,通过部署防火墙来强化网络的安全性,是实施安全策略的最有效位置。
防火墙是网络的第一道防线。为了保证网络的安全,一个合格的防火墙应该具有下述基本功能:
(1)网络安全屏障。防火墙通过使用过滤技术来允许或禁止某种服务,一般通过过滤不安全的服务来降低网络风险,防火墙的安全策略应遵循安全防范的基本原则,即“除非明确允许,否则就禁止”。
(2)加强网络安全策略。防火墙本身支持安全策略,而不是后添加的;必须以防火墙为中心来配置安全方案。防火墙要求具备先进的认证手段和有挂钩程序,能够安装先进的认证方法;安全软件和安全措施能够配置在防火墙上。集中安全管理的防火墙比将网络安全问题分散到各个终端上相比更为安全和经济。
(3)监控和审计网络访问和存取。防火墙应该能够集中和过滤拨入访问,当有可疑动作发生时,防火墙能在第一时间发出报警,并提供详细信息以确认网络是否受到监测和攻击,并记录网络流量和可疑动作。另外,防火墙应具有精简日志的能力以增加日志的可读性。为了了解防火墙抵挡攻击者攻击和探测的效果,防火墙另一项重要的工作是收集网络的使用和误用情况,这有助于作出网络需求分析和威胁分析以了解防火墙的控制是否充分有效。
(4)对内部信息的保护。防火墙应允许外界对内部站点的合法访问,应把对外服务和其他内部服务分开。防火墙通过对内部网络的职能划分来隔离内部网络中的重点网段,内部网络中不同部门之间的互相访问也由它来控制,这样就提高了网络内部敏感数据的安全。防火墙也应具有集中管理邮件的功能,集中处理整个站点的电子邮件。严格控制外界服务器和SMTP服务器的直接连接。如果不使用防火墙来有效隐藏和保护那些透露内部细节的服务,在某些时候内部网络中一个小疏忽,可能包含了有关安全的线索而引起攻击者的攻击,因而造成内部网络私密数据的泄漏,甚至暴露了内部网络的某些漏洞。
3 防火墙的关键技术分类
传统意义上的防火墙技术分为四大类。无论一个防火墙的实现过程多么复杂,归根结底都是在这四种技术的基础上进行功能扩展的。
3.1 包过滤(Packetfilter)防火墙,又称筛选路由器(Screeningrouter)或网络层防火墙(Networklevelfirewall)。包过滤是最早使用的一种防火墙技术。包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙在不太复杂的、小型的站点比较容易实现。过滤路由器比代理服务器价钱要便宜一些。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但它的缺点也很明显:因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
3.2 应用层网关级(Applicationlevelgatewav)防火墙,又称代理(Proxy),这种防火墙技术是目前最通用的一种。应用网关防火墙工作在应用层,它能够设置为有选择地允许或者拒绝某一特征的服务或者协议。它的基本思想是在两个网络之间设置一个“中间检查站”,称为代理服务器。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化代理应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进一步处理后,将答复交给发送请求的客户。它发挥了中间连接和隔离内、外网络的作用,因此以叫代理防火墙。应用网关防火墙具有可伸缩性差的缺点。
3.3 状态检测防火墙。这是第三代防火墙技术,能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。它保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。
3.4 复合型防火墙。常规的防火墙不能阻止隐蔽在网络流量里的攻击,复合型防火墙是综合了透明代理与状态检测的新一代的防火墙,把内容过滤、防病毒等功能整合到防火墙产品中,甚至还包括VPN、IDS功能,多单元融为一体,基于ASIC架构,是一种新突破。把内容过滤、防病毒与防火墙结合起来,在网络界面对应用层扫描,这体现了复合型防火墙对网络与信息安全的新思路。
4 防火墙的未来发展趋势
不论从功能还是从性能来讲,防火墙产品的演进并不会放慢速度,反而产品的丰富程度和推出速度会不断的加快,这也反映了安全需求不断上升的一种趋势,未来防火墙的发展趋势是朝更安全、多功能、高速度的方向发展。
4.1 模式转变更安全。过去的防火墙通常都以数据流进行分隔,设置在网络的边界位置,形成安全管理区域。但有时恶意攻击的并不是仅仅来自于外部,内网中经常存在着很多安全隐患,所以分布式结构也开始越来越多的出现在现在的防火墙产品中。分布式体系的防火墙保护对象为网络节点,大大地提升了安全防护的强度。
4.2 功能扩展更强大。用户总是希望防火墙可以支持更多的功能,因而多功能是防火墙的发展方向之一,满足组网时为用户节省投资的需要。很多防火墙产品中附加了AAA、VPN、PKI、IPSec等功能,有的防火墙中甚至加入了防治病毒、入侵检测这样的主流功能,虽然这样的设计提升了不少管理性能,但同时也对防火墙产品的另外两个重要因素--性能和自身的安全问题产生了很大的影响。
4.3 性能提高速度快。随着网络应用的日益丰富、流量日益增多,对未来防火墙产品在功能性上的扩展也提出了更多的要求。除了硬件性能因素之外,软件上的算法及规则处理方式对防火墙的性能也会造成明显的影响,所以在防火墙的软件部分的设计技术也应该会有更高的要求,会要求更强的处理性能。
参考文献:
[1]陈爱民.计算机安全与保密[M].北京:电子工业出版社,1992.
[2]郝玉洁,常征.网络安全与防火墙技术[J].电子科技大学学报社科版,2002,1.
[3]崔文斌.防火墙技术原理和展望[J].科技天地.