防火墙技术
发布时间:2010-11-23   录入:启明星辰

防火墙概述


目前的防火墙主要有包过滤型、应用网关型、服务代理型和状态检测型等几种,其中包过滤型防火墙最为普遍。许多行业用户除希望防火墙产品具有一般的防护功能外,还希望它能提供其他功能,如防病毒、入侵检测、认证、加密、远程管理、代理等。为此,许多厂商提出了复合防火墙的概念:将多种应用功能组合在一起形成功能强大的复合防火墙。现在市面上绝大多数复合防火墙都只是技术复合而成,但随着网络应用的不断增多和变化,传统的复合防火墙在许多场合已不能满足用户的要求,因为它是以牺牲效率为代价,这可能是它最大的弊病,也是用户不能接受的。有鉴于此,一些厂商便提出了新型复合防火墙的概念,它包括软件、系统防护2个层面,是能满足现代网络安全需求的技术。


防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标:


1.实现一个公司的安全策略


防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。


2.创建一个阻塞点


防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤利检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检 查点,网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视利控制信息的点,系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。

3.记录Internet活动


防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。


4.限制网络暴露


防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的—些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查,以限制从外部发动的攻击。

 

防火墙技术


自从1986年美国Digital公司在Intemet上安装了全球第一个商用防火墙系统后,提出了防火墙的概念,防火墙技术得到了飞速的发展。目前有几十家公司推出了功能不同的防火墙系统产品。


第一代防火墙,又称包过滤防火墙,主要通过对数据包源地址、日的地址、端口号等参数来决定是否允许该数据包通过,对其进转发,但这种防火墙很难抵御IP地址欺骗等攻击,而且审计功能很差。


第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。


第三代防火墙有效地提高了防火墙的安全性,称为状态检测功能防火墙,它可以对每一层的数据包进行检测和监控。


随着网络攻击手段和信息安全技术的发展,新一代的功能更强人、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。


使用技巧


路由模式:支持静态路由和包括 RIPv1/v2、OSPF、BGP4、IGRP在内的动态路由协议,可以非常容易的部署在复杂路由网络中。


透明模式(桥接模式):采用透明模式部署防火墙,可以保持现有的网络结构,无须任何改动,是最简单快速的防火墙部署方式。


混合模式(透明和路由模式混用):混合模式可以同时在一台防火墙设备上同时采用透明模式和路由模式,具有最大的防火墙部署灵活性。


NAT模式:可以隐藏内部网络结构和节约合法IP地址资源,可以同路由模式同时使用。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号