防火牆主要技術

防火牆主要技術

防火牆技術(常用於BGP)是設定在被保護網路和外部網路之間的一道屏障,實現網路的安全保護,以防止發生不可預測的、潛在破壞性的侵入。防火牆本身具有較強的抗攻擊能力,它是提供信息安全服務、實現網路和信息安全的基礎設施。

基本介紹

  • 中文名:防火牆主要技術
  • 目的:實現網路的安全保護
  • 局限性:防火牆防外不防內。
  • 功能防病毒與防黑客
目的和功能,局限性,發展趨勢,相關技術,安全方面,

目的和功能

設定防火牆的目的和功能
(1)防火牆是網路安全的屏障
(2)防火牆可以強化網路安全策略
(3)對網路存取和訪問進行監控審計
(4)防止內部信息的外泄

局限性

(1)防火牆防外不防內。
(2)防火牆難於管理和配置,易造成安全漏洞
(3)很難為用戶在防火牆內外提供一致的安全策略
(4)防火牆只實現了粗粒度的訪問控制

發展趨勢

(1)優良的性能
(2)可擴展的結構和功能
(3)簡化的安裝與管理
(4)主動過濾
(5)防病毒與防黑客

相關技術

防火牆主要技術
先進的防火牆產品將網關與安全系統合二為一,具有以下技術與功能。
雙連線埠或三連線埠的結構
新一代防火牆產品具有兩個或三個獨立的網卡,內外兩個網卡可不作IP轉化而串接於內部網與外部網之間,另一個網卡可專用於對伺服器的安全保護。
透明的訪問方式
以前的防火牆在訪問方式上要么要求用戶作系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的套用。新一代防火牆利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯機率。
靈活的代理系統
代理系統是一種將信息從防火牆的一側傳送到另一側的軟體模組。新一代防火牆採用了兩種代理機制,一種用於代理從內部網路到外部網路的連線,另一種用於代理從外部網路到內部網路的連線。前者採用網路地址轉換(NAT)技術來解決,後者採用非保密的用戶定製代理或保密的代理系統技術來解決。
多級的過濾技術
為保證系統的安全性和防護水平,新一代防火牆採用了三級過濾措施,並輔以鑑別手段。在 分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在套用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務;在電路網關一級,實現內部主機與外部站點的透明連線,並對服務的通行實行嚴格控制。
網路地址轉換技術(NAT)
新一代防火牆利用NAT技術能透明地對所有內部地址作轉換,使外部網路無法了解內部網路的內部結構,同時允許內部網路使用自己定製的IP位址和專用網路,防火牆能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
同時使用NAT的網路,與外部網路的連線只能由內部網路發起,極大地提高了內部網路的安全性。 NAT的另一個顯而易見的用途是解決IP位址匱乏問題。
Internet網關技術
由於是直接串連在網路之中,新一代防火牆必須支持用戶在Internet互連的所有服務,同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的套用伺服器(包括FTP、 Finger、mail、Ident、News、WWW等)來實現網關功能。為確保伺服器的安全性,對所有的檔案和命令均要利用"改變根系統調用(chroot)"作物理上的隔離。
在域名服務方面,新一代防火牆採用兩種獨立的域名伺服器,一種是內部DNS伺服器,主要處理內部網路的DNS信息,另一種是外部DNS伺服器,專門用於處理機構內部向Internet提供的部份DNS信息。
在匿名FTP方面,伺服器只提供對有限的受保護的部份目錄的唯讀訪問。在WWW伺服器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火牆內運行,在Finger伺服器中,對外部訪問,防火牆只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件伺服器要對所有進、出防火牆的郵件作處理,並利用郵件映射與標頭剝除的方法隱除內部的郵件環境,Ident伺服器對用戶連線的識別作專門處理,網路新聞服務則為接收來自ISP的新聞開設了專門的磁碟空間。

安全方面

安全伺服器網路(SSN)
為適應越來越多的用戶向Internet上提供服務時對伺服器保護的需要,新一代防火牆採用分別保護的策略對用戶上網的對外伺服器實施保護,它利用一張網卡將對外伺服器作為一個獨立網路處理,對外伺服器既是內部網的一部分,又與內部網關完全隔離。這就是安全伺服器網路(SSN)技術,對SSN上的主機既可單獨管理,也可設定成通過FTP、Telnet等方式從內部網上管理。
SSN的方法提供的安全性要比傳統的"隔離區(DMZ)"方法好得多,因為SSN與外部網之間有防火牆保護,SSN與內部網之間也有防火牆的保護,而DMZ只是一種在內、外部網路網關之間存在的一種防火牆方式。換言之,一旦SSN受破壞,內部網路仍會處於防火牆的保護之下,而一旦DMZ受到破壞,內部網路便暴露於攻擊之下。
用戶鑑別與加密
為了降低防火牆產品在Telnet、FTP等服務和遠程管理上的安全風險,鑑別功能必不可少,新一代防火牆採用一次性使用的口令字系統來作為用戶的鑑別手段,並實現了對郵件的加密。
用戶定製服務
為滿足特定用戶的特定需求,新一代防火牆在提供眾多服務的同時,還為用戶定製提供支持,這類選項有:通用TCP,出站UDP、FTP、SMTP等類,如果某一用戶需要建立一個資料庫的代理,便可利用這些支持,方便設定。
審計和告警
新一代防火牆產品的審計和告警功能十分健全,日誌檔案包括:一般信息、核心信息、核心信息、接收郵件、郵件路徑、傳送郵件、已收訊息、已發訊息、連線需求、已鑑別的訪問、告警條件、管理日誌、進站代理、FTP代理、出站代理、郵件伺服器、名伺服器等。告警功能會守住每一個TCP或UDP探尋,並能以發出郵件、聲響等多種方式報警。 此外新一代防火牆還在網路診斷,數據備份與保全等方面具有特色。

相關詞條

熱門詞條

聯絡我們