現階段的防火牆技術知識介紹
Internet防火牆是這樣的系統***或一組系統***,它能夠使機構內部網路的安全性大大增強。要使一個防火牆有效,所有的Internet資訊都必須經過這一道防火牆,接受防火牆的安全檢查。只有授權的資料才能夠通過防火牆,並且防火牆本身也必須能夠免於滲透。但是,防火牆系統一旦發生被攻擊者現象時,就不能為我們提供任何的保護了。――我們應當特別注意的是,Internet不只是由堡壘主機和路由器以及其他裝置共同形成的防火牆,它本身還是一個重要的安全方式。下面就由小編跟大家說說現階段的防火牆技術知識有哪些。
一:
一、防火牆功能
總結來說,有這樣幾個功能:
***一***將不可靠的服務與不合法的使用者清除。
***二***訪問特殊的網站會有限制。
***三***可以進行網際網路的安全和預警的檢測。
二、防火牆的技術
根據層次可以將防火牆分成兩類,一個是報文過濾,另一個是應用層閘道器。前者是於IP層進行的,在是因特網時,完全不能感受到它,操作十分簡單。它有一個特別明顯的弱點就是不可以在使用者的級別中進行過濾處理,也就是無法辨別不一樣的使用者,也不能阻止惡意盜取IP地址的行為。若是有人將自己的IP地址改成一個合法的地址,完全能夠輕鬆地躲過過濾的危機。
這種過濾形式也可以用應用層閘道器將弱點改善。可以利用多種方式對應用層進行防火牆的設定,以下就是幾種常見的設計。
***一***應用代理伺服器***Application Gateway Proxy***
此類防火牆是在應用層進行保護的,主要就是檢查授權以及一些代理業務。如果外面的主機想要訪問這個網站,就一定要先在這裡驗證一下身份。只有驗證合格之後,才會專門為使用者專門一個程式,將外面的主機連線進來。整個過程中,防火牆完全可以攔截外部主機的訪問,也可以控制訪問的方式與時間。另外,受到了防火牆保護的內部使用者如果需要連線到外部的主機,也要經過驗證,才能執行各項指令。
這種防火牆有一個顯著的優勢,就是將內部的IP地址掩藏起來,也能夠給個別的使用者訪問的權利。即使有人真的運用了一個正常的IP地址,也無法經過嚴格的認證程式。這種方式在安全性上比報文過濾更出色。然而,這種方式也因此讓應用閘道器無法保持透明度,使用者往往需要不斷認證,有許多不方面的地方。另外,這種技術還要在每個閘道器都設定專門的訪問程式。
***二***迴路級代理伺服器
這就是人們常用的一般的伺服器,可以進行多項協議,卻無法解釋應用協議,一定要以其它的方式來獲取資訊。因此,這種伺服器往往需要使用者程式進行修改。
這種伺服器也被稱為套接字伺服器,意味著這是一個以國際標準為準神的一種技術。如果受到了保護的客戶機要跟外面的網路進行資訊的交流,只有防火牆上面的伺服器對使用者進行各項的認證之後,沒有問題,才能讓套接字伺服器跟外面的伺服器進行連線。站在使用者的位置上,看到的保護網與外面的網路進行資訊交流的時候完全是透明的,根本感受不到有一層防火牆,就因為所有的使用者都不必登入進入防火牆。然而,在客戶端使用的使用者所用的軟體一定要適應 “Socketsified API”,受到保護的使用者在進入公共網的時候所用的IP地址全都是屬於防火牆的。
***三***IP通道***IP Tunnels***
有時會有這樣的情況出現,一個公司有多個分公司,利用網際網路互相傳遞資訊。這時候,就能夠利用IP Tunnels來阻礙網上的黑客對資訊的攔截,這樣就形成了一個網際網路上的虛擬企業系統。
假如分公司的網路中的一臺主機要傳遞報文給另一個分公司,這個報文在通過本網的防火牆的時候,會先判斷一下報文是不是發到同一個系統中的分公司的。如果是,就再添上一個爆頭,這樣就形成了到另一個分公司防火牆的報文。原先發出報文的IP地址也會加入資料系統一起加密傳送到另一個分公司的防火牆。;另一個分公司的防火牆在接收到這則報文以後,會再判斷其IP地址是不是同一個公司系統之內的。如果是,就將報頭去除,再進行解密,傳輸到網路中。從網路上看,就是兩方的防火牆在進行資訊交流。如果有黑客進行偽裝的報文傳送,就會因為不能進行解密而被傳送失敗。
***四***網路地址轉換器***NAT Network Address Translate***
如果受到保護的網路連線到了網際網路上,使用者訪問網際網路的時候,就必須用合法的IP地址。然而,合法的網際網路地址數量是有限的,並且受到保護的網路一般也都有獨到的網路地址方案。網路地址轉換器是將一個合法的網路地址集團安裝到防火牆上面。如果內網的使用者想要訪問網際網路,防火牆就會自動從準備好的地址集團中給使用者挑選一個還沒有分配的地址,這個使用者可以利用這一地址傳遞資訊。另外,一些內網的伺服器,如Web,轉換器可以給它分配一個固定的地址來使用。外網的使用者也可以在經過了防火牆驗證之後訪問到內網的資訊。此類技術可以讓主機多、IP地址少的問題得到緩解,在外網也無法獲取內網的IP地址,更加安全可靠。
***五***隔離域名伺服器***Split Domain Name Sever***
此類技術是利用防火牆來分離受到了保護的網路所擁有的域名伺服器與外網的域名伺服器的,這樣外網的域名伺服器只可以見到防火牆上的IP地址,不能看到受到了保護的網路的資訊,如此就能夠讓受到了保護的網路擁有的IP地址得到保護。
***六***郵件轉發技術***Mail forwarding***
如果防火牆運用了以上說的幾類技術形式而讓外網只能夠了解到防火牆上的IP地址和域名的時候,那些外網傳遞過來的郵件也只能傳送到防火牆。防火牆會對郵件進行來源檢測,如果其來源的地址是合法的,也是符合傳遞要求的,防火牆才會轉換郵件,傳送到內網的郵件伺服器,再轉發到目標主機上。
二:
21世紀全世界的計算機不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在。網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路使用者以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯裝置。
一、防火牆的分類
根據防火牆所採用的技術不同,我們可以將它分為四種基本型別:包過濾型、網路地址轉換—NAT、代理型和監測型。
***一***包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的資料都是以“包”為單位進行傳輸的,資料被分割成為一定大小的資料包,每一個數據包中都會包含一些特定資訊,如資料的源地址、目標地址、TCP/UDP源埠和目標埠等。
***二***網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準。它允許具有私有IP地址的內部網路訪問因特網。
***三***代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的資料交流。從客戶機來看,代理伺服器相當於一臺真正的伺服器;而從伺服器來看,代理伺服器又是一臺真正的客戶機。當客戶機需要使用伺服器上的資料時,首先將資料請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取資料,然後再由代理伺服器將資料傳輸給客戶機。
***四***監測型
監測型防火牆能夠對各層的資料進行主動的、實時的監測,在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,檢測型防火牆產品一般還帶有分散式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。
二、現代企業面臨的安全風險
現代企業對網路依賴主要來自於執行在網路上的各種應用,同樣的,網路的範圍也覆蓋到整個企業的運營區域。
***一***網路內部
網路內部,即面向企業內部員工的工作站,我們不能保證使用者每一次操作都是正確與安全的,絕大情況下,他們僅知道如何去使用面前的計算機來完成屬於自己的本職工作。
***二***混合性威脅
用多種方法和技術來傳播和實施的攻擊或威脅,因而必須有多種方法來保護和壓制這種攻擊或威脅。如:CodeRed.CodeRedII.CodeBlue.Nimda.
三、利用防火牆解決企業中存在的安全風險
通過在內部網路中的每臺工作站上部署防病毒,防火牆,入侵檢測,補丁管理與系統監控,我們可以集中收集內部網路中的威脅,分析面對的風險,靈活適當的調整安全管理策略。更重要的就是從網路結構上的接入層,匯聚層和核心交換層裝置上做好訪問控制與流量管理。
如果部署安全策略,在提高安全性的同時,勢必會影響其可用性。這個矛盾是不可調和的。關鍵區域的防火牆主要是面對內部使用者,保護重要服務和資源的訪問控制與完善安全日誌的收集。邊界防火牆不僅僅要防禦來自外部的各種威脅,也要提供諸如NAT服務,出站控制,遠端使用者和移動使用者訪問的授權等。我們可以將各種防禦的職能根據網路的結構和提供的應用來分派到兩類防火牆上來。即內部防火牆重點保護DMZ區域,提供深層次的檢測與告警。因為一旦涉及到資料包深入檢測,將會大大影響裝置的效能。
如今的防火牆的功能越來越強大,這裡我們選擇業界一流的防火牆CheckPoint的StatefulInspection***狀態檢測技術***和WebIntelligence***Web智慧技術***來簡單介紹下對於防火牆的智慧防禦與Web安全保護。簡單來說,狀態檢測技術工作在OSI參考模型的DataLink與Network層之間,資料包在作業系統核心中,在資料鏈路層和網路層時間被檢查。防火牆會生成一個會話的狀態表,InspectEngine檢測引擎依照RFC標準維護和檢查資料包的上下文關係。該技術是CheckPoint發明的專利技術。狀態檢測對流量的控制效率是很高的,同時對於防火牆的負載和網路資料流增加的延遲也是非常小。可以保證整個防火牆快速,有效的控制資料的進出和做出控制決策。
CheckPoint的WebIntelligence,有一種名為MaliciousCodeProt-ector***可疑程式碼防護器***來提供對應用層的保護。如何去判斷上述的一些威脅呢?MCP使用了通過分拆及分析嵌入在網路傳輸中的可執行程式碼,模擬行來判斷攻擊,將可執行程式碼放置到一個虛擬的模擬伺服器中執行,檢測是否對虛擬系統造成威脅,最終來決定是否定義為攻擊行為。該技術最大的優勢是可以非常精確的阻止已知和未知攻擊,並且誤報率相當低。
四、結語
一個好的防火牆應該具有高度安全性、高透明性和高網路效能。此外,人們也在開展其他計算機網路安全技術的研究,隨著Internet在我國的迅速發展,防火牆技術引起了各方面的廣泛關注。一方面在對國外資訊保安和防火牆技術的發展進行跟蹤,另一方面也已經自行開展了一些研究工作。目前使用較多的,是在路由器上採用分組過濾技術提供安全保證,對其它方面的技術尚缺乏深入瞭解。防火牆技術還處在一個發展階段,仍有許多問題有待解決。因此,密切關注防火牆的最新發展,對推動Internet在我國的健康發展有著重要的意義。