防火墙技术的介绍
网络的快速发展给人们带来了极大的方便,不出家门便可坐知天下事、完成相应工作。同时因特网也面临着空前的威胁,各类网络违法案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。目前新一代的计算机病毒将具有更多智能化的特征。因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。防火墙技术作为内、外网之间的屏障,可以有效的防御网络攻击。因此探索防火墙技术及如何选用合适的防火墙是非常必要的。下面就由学习啦小编给大家说说防火墙的技术知识。
防火墙技术的介绍一:
1 网络安全面临的威胁
计算机网络系统的安全威胁主要来自三个方面
1)计算机病毒。当前,计算机病毒高达数万种,病毒通过各种途径进入网络,破坏网络资源,造成网络不能正常工作甚至瘫痪。
2)黑客侵袭。黑客以非法的手段进入网络并使用网络资源。 通过隐蔽通道进行非法活动,通过匿名用户破坏网络,通过网络监听截取用户名和密码,非法获取网上传输的数据,突破防火墙等。
3)拒绝服务攻击。强行占用系统资源,使系统无法完成正常的需求响应。例如“点在邮件炸弹”,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪。
针对各种网络威胁,我们应该采用相应的安全技术,例如数据加密技术、认证技术、防火墙技术、入侵检测技术、防病毒技术、文件系统安全等技术。
2 防火墙技术
2.1 防火墙的概念
防火墙是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。
2.2 防火墙的分类
防火墙总的来说可以分为两类:软件防火墙和硬件防火墙。
软件防火墙需要以一台计算机为载体,通过在操作系统底层工作来实现网络管理和防御的功能,有时也称为“个人”防火墙,功能有限。
硬件防火墙集成了软硬件功能,并且软、硬件都单独设计,采用专用的网络芯片处理数据包。有自己特定的系统平台,避免了通用操作系统的安全性漏洞。功能强大,目前已经普遍使用。我们下面多说的防火墙都只硬防火墙。
2.3 硬防火墙技术
我们在使用防火墙是首先要考虑是使用硬、还是软防火墙。硬件防火墙由于独立的芯片,在性能和自身安全性方面都较软件防火墙先进许多,在资金允许的情况下,尽量选择硬防火墙。对于硬防火墙根据采用的过滤技术可分为:
2.3.1 包过滤防火墙。包过滤防火墙是最简单的一种防火墙,又分为动态包过滤和静态包过滤型防火墙。一般作用在网络层,故也称网络层防火墙或IP过滤器。它工作在IP 层和TCP层,根据防火墙的规则表,来检测攻击行为。处理包的速度比应用型防火墙快,且提供透明的服务,用户不用改变客户端程序。但因只涉及到TCP层,因此提供的安全级别较低;而且不支持用户认证;不提供日志功能。目前在广大中小型企业中应用最广,主要是价格便宜,性能也不错。安全性不足的缺点在这类企业中表现的不明显。
2.3.2 应用代理型防火墙。应用代理型防火墙是目前最为主流的防火墙技术,也是应用最广的防火墙类型。特别是在一些中型或中型以上的网络中。有非常全面的安全防护技术和措施,可以为企业提供全方位的安全防护和管理,但价格比包过滤型要贵许多。明显缺点是速度比包过滤型慢。
2.3.3 状态包过滤型防火墙。这类防火墙属于混合型防火墙,具有包过滤和应用代理两种技术的优势。传输速率和安全性得到进一步提高。尚处于发展之中,只是一些较大型企业或应用复杂的网络中采用,如WEB服务器、数据库应用、电子商务应用等。
2.4 防火墙使用参考
2.4.1 小型办公和家用网络。小型办公和家用网络(small office home office.SOHO)要管理的用户和机器比较少,且只需要访问极少量的网络服务,如电子邮件、web以及有时需要的流媒体。在这种情况下,简单的数据包过滤防火墙就可以了。现在大部分的SOHO路由器都具有防火墙、、地址映射、端口映射、DHCP服务、自动拨号、支持虚拟服务器以及动态DNS功能。
华为Quidway R1600,清华同方D-link、Netgear,3Com等公司的宽带路由。Cisco和check point也提供小型办公版本的PIX和FireWall-1,但价格要高一些。
2.4.2 中小企业网络。中小型企业网络以及远程办公环境需要提供WEB服务、电子邮件、流媒体以及文件传输和终端访问。防火墙多考虑高容量、高速度、低延时、高可靠性以及防火墙本身的健壮性,并且开始支持双机热备份。
东软NetEye、WatchGuard Firebox、和SonicWall等产品比较适合这种场合。
2.4.3 大型网络。大型企业、校园网和服务提供商面对的是复杂的大型环境,拥有众多用户并提供众多复杂服务,有些服务看似简单,但需要防护墙开发多个端口,如:VoIP和NetMeeting,这两种服务都需要为25种以上的不同服务开放端口。固在复杂的网络中,应该使用支持集中式防火墙管理和配置功能的防火墙。如:Cisco PIX、Check Point FireWall-1和NetScreen等。
3 总结
防火墙在网络安全中的重要性是众所周知的,选择合适的防火墙是在组建网络时应首先考虑的问题。但我们要明白尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。
防火墙技术的介绍二:
一、防火墙定义
防火墙是近年来新兴的保护计算机网络安全的技术性措施,是组建安全网络的重要组成部分。它是局域网和国际互连网(Intemet)之间的一道安全屏障,能够阻止对信息资源的非法访问。它是用一个或者一组网络设备将两个网络连接在一起,用于检测和控制两个网络之间的通信流,根据对流经的信息包的合法性判断,实现对重要信息资源的访问控制,达到保护信息系统安全的目标。防火墙是一种被动防御技术,它假设了网络的边界和服务,对来自于
内部的非法访问难以实现有效的控制。防火墙在网络中的逻辑位置如图1所示。
二、防火墙的基本功能
设立防火墙的目的就是要保护一个网络不被另一个网络攻击,对网络的保护通常包括几个工作:拒绝未经授权的用户访问、阻止未经授权的用户存取敏感数据、允许合法的用户无障碍访问想要的资源。防火墙的主要功能体现在以下几个方面:
1、防火墙作为网络安全的屏障
防火墙可以很好的增强内部网络的安全性能,能够过滤不安全的服务,从而降低了系统风险。只有经过防火墙许可的流量才能通过防火墙,防火墙同时具有保护网络免受某些基于路由攻击的能力,如源路由攻击和基于ICMP重定向中的重定向攻击。
2、对网络存取和访问进行监控审计
防火墙能够记录下所有流经防火墙的访问,同时可以得出日志记录,还能够对网络的使用情况进行统计,对可疑的操作,防护墙能及时的报警并提供相应的信息,如是否受到监测和攻击。
3、防止内部信息的对外泄漏
内部网络的划分可依据防火墙进行,以实现隔离内部重点网段,以便减少局部重点或敏感网络安全对全局的影响。内部网络中的一个忽略的小细节可能被外部攻击者发现并加以利用,也会给内部网络的带来极大的安全风险,增加全局网络的安全负担。使用防火墙就可以隐蔽那些容易透露内部细节的服务,如Finger和DNS等服务。
4、可以作为部署NAT的地点
网络地址转换(NAT)是一种将私有地址转化为合法IP地址的技术,它被广泛应用于各种类型的Interne接入。NAT技术能够很好的解决IP地址的不足的问题,还能够隐藏内部主机的IP地址,避免受到来自网络外部的攻击。
三、防火墙分类
防火墙的实现方式多种多样,从实现技术力一式划分防火墙主要分为数据包过滤、应用代理、状态检测等几种。
1、包过滤技术
包过滤作用在网络层和传输层,对流经防火墙的数据包依据系统设置的过滤规则进行检查和选择。TCP/IP协议通信的数据包可分为数据和包头两部分,根据包头源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤规则的数据包才能被转发到相应的目的地出口端,其余数据包则被丢弃,数据包过滤时按顺序进行检查,直到有规则匹配为止。实际实现了内部主机允许直接访问外网,而外网主机访问内网则要受到限制。
包过滤技术具有速度快、效率高的优点,并且对用户透明,对网络的性能影响不大,适合于应用环境简单的网络环境。但由于其工作在网络层和传输层,它过滤的信息是有限的,很多安全要求不能得到满足,随着规则数目的增加,会降低网络的性能。
2、应用代理型防火墙
应用代理型防火墙作用在应用层,它完全隔离了网络的通信流,对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的功能。客户机和服务器之间的数据交流被代理服务器完全阻挡,当终端需要数据时,先将请求发给代理,由代理向服务器发送请求,同样由代理向终端返回数据,这种情况下,内外主机之间没有直接的数据通道,阻断了外部网络对内网的侵入。
该种类型的防火墙具有较好的安全性能,工作在051的最高层,起着监视和隔绝应用层通信流的作用。这种类型往往会增加系统管理的复杂性,降低系统的整体性能。
3、状态检测技术
状态检测防火墙采用了状态检测包过滤技术,在网络层有一个检查引擎截获数据包并抽取与应用层状态有关的信息,并以此为依据决定该连接是接受还是拒绝,该种技术提供了高度安全的解决方案,具有较好的适应性和扩展性。该种防火墙摒弃了包过滤防火墙仅检查输入网络的数据包,而不关心数据包连接状态的缺点,在防火墙的核心建立状态连接表,在对数据包进行检查时,除了依据规则表,也会将数据包能否符合会话所处的状态考虑进来,因此提供了完整的对传输层的控制能力。状态检测防火墙工作在数据链路层和网络层之问,确保了截取和检查所有通过网络的原始数据包。它工作在较低层,但是它能够检测所有应用层的数据包,从中提取有用信息,如IP地址、端口号、数据内容等,使得安全性得到很大提高;状态检测防火墙和应用代理防火墙不同,它不需要为每个应用都建立一个服务程序,只是根据从数据包中提取出的信息、对应的安全策略及过滤规规处理数据包,具有很好的伸缩性和扩展性。
防火墙是现今广泛采用的计算机安全技术之一。对于防火墙的应用,能够更加有效的保证网络的安全使用。