Internet防火墙是这样的系统(或一组系统),它能够使机构内部网络的安全性大大增强。要使一个防火墙有效,所有的Internet信息都必须经过这一道防火墙,接受防火墙的安全检查。只有授权的数据才能够通过防火墙,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦发生被攻击者现象时,就不能为我们提供任何的保护了。――我们应当特别注意的是,Internet不只是由堡垒主机和路由器以及其他设备共同形成的防火墙,它本身还是一个重要的安全方式。下面就由小编跟大家说说现阶段的防火墙技术知识有哪些。
现阶段的防火墙技术知识介绍一:一、防火墙功能总结来说,有这样几个功能:
(一)将不可靠的服务与不合法的用户清除。
(二)访问特殊的网站会有限制。
(三)可以进行互联网的安全和预警的检测。
二、防火墙的技术根据层次可以将防火墙分成两类,一个是报文过滤,另一个是应用层网关。前者是于IP层进行的,在是因特网时,完全不能感受到它,操作十分简单。它有一个特别明显的弱点就是不可以在用户的级别中进行过滤处理,也就是无法辨别不一样的用户,也不能阻止恶意盗取IP地址的行为。若是有人将自己的IP地址改成一个合法的地址,完全能够轻松地躲过过滤的危机。
这种过滤形式也可以用应用层网关将弱点改善。可以利用多种方式对应用层进行防火墙的设置,以下就是几种常见的设计。
(一)应用代理服务器(Application Gateway Proxy)此类防火墙是在应用层进行保护的,主要就是检查授权以及一些代理业务。如果外面的主机想要访问这个网站,就一定要先在这里验证一下身份。只有验证合格之后,才会专门为用户专门一个程序,将外面的主机连接进来。整个过程中,防火墙完全可以拦截外部主机的访问,也可以控制访问的方式与时间。另外,受到了防火墙保护的内部用户如果需要连接到外部的主机,也要经过验证,才能执行各项指令。
这种防火墙有一个显著的优势,就是将内部的IP地址掩藏起来,也能够给个别的用户访问的权利。即使有人真的运用了一个正常的IP地址,也无法经过严格的认证程序。这种方式在安全性上比报文过滤更出色。然而,这种方式也因此让应用网关无法保持透明度,用户往往需要不断认证,有许多不方面的地方。另外,这种技术还要在每个网关都设置专门的访问程序。
(二)回路级代理服务器这就是人们常用的一般的服务器,可以进行多项协议,却无法解释应用协议,一定要以其它的方式来获取信息。因此,这种服务器往往需要用户程序进行修改。
这种服务器也被称为套接字服务器,意味着这是一个以国际标准为准神的一种技术。如果受到了保护的客户机要跟外面的网络进行信息的交流,只有防火墙上面的服务器对用户进行各项的认证之后,没有问题,才能让套接字服务器跟外面的服务器进行连接。站在用户的位置上,看到的保护网与外面的网络进行信息交流的时候完全是透明的,根本感受不到有一层防火墙,就因为所有的用户都不必登录进入防火墙。然而,在客户端使用的用户所用的软件一定要适应 “Socketsified API”,受到保护的用户在进入公共网的时候所用的IP地址全都是属于防火墙的。
(三)IP通道(IP Tunnels)有时会有这样的情况出现,一个公司有多个分公司,利用互联网互相传递信息。这时候,就能够利用IP Tunnels来阻碍网上的黑客对信息的拦截,这样就形成了一个互联网上的虚拟企业系统。
假如分公司的网络中的一台主机要传递报文给另一个分公司,这个报文在通过本网的防火墙的时候,会先判断一下报文是不是发到同一个系统中的分公司的。如果是,就再添上一个爆头,这样就形成了到另一个分公司防火墙的报文。原先发出报文的IP地址也会加入数据系统一起加密传送到另一个分公司的防火墙。;另一个分公司的防火墙在接收到这则报文以后,会再判断其IP地址是不是同一个公司系统之内的。如果是,就将报头去除,再进行解密,传输到网络中。从网络上看,就是两方的防火墙在进行信息交流。如果有黑客进行伪装的报文传送,就会因为不能进行解密而被传送失败。
(四)网络地址转换器(NAT Network Address Translate)如果受到保护的网络连接到了互联网上,用户访问互联网的时候,就必须用合法的IP地址。然而,合法的互联网地址数量是有限的,并且受到保护的网络一般也都有独到的网络地址方案。网络地址转换器是将一个合法的网络地址集团安装到防火墙上面。如果内网的用户想要访问互联网,防火墙就会自动从准备好的地址集团中给用户挑选一个还没有分配的地址,这个用户可以利用这一地址传递信息。另外,一些内网的服务器,如Web,转换器可以给它分配一个固定的地址来使用。外网的用户也可以在经过了防火墙验证之后访问到内网的信息。此类技术可以让主机多、IP地址少的问题得到缓解,在外网也无法获取内网的IP地址,更加安全可靠。
(五)隔离域名服务器(Split Domain Name Sever)此类技术是利用防火墙来分离受到了保护的网络所拥有的域名服务器与外网的域名服务器的,这样外网的域名服务器只可以见到防火墙上的IP地址,不能看到受到了保护的网络的信息,如此就能够让受到了保护的网络拥有的IP地址得到保护。
(六)邮件转发技术(Mail forwarding)
如果防火墙运用了以上说的几类技术形式而让外网只能够了解到防火墙上的IP地址和域名的时候,那些外网传递过来的邮件也只能发送到防火墙。防火墙会对邮件进行来源检测,如果其来源的地址是合法的,也是符合传递要求的,防火墙才会转换邮件,传送到内网的邮件服务器,再转发到目标主机上。
现阶段的防火墙技术知识介绍二:21世纪全世界的计算机不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
一、防火墙的分类根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
(一)包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。
(二)网络地址转化—NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。
(三)代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
(四)监测型监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
二、现代企业面临的安全风险现代企业对网络依赖主要来自于运行在网络上的各种应用,同样的,网络的范围也覆盖到整个企业的运营区域。
(一)网络内部网络内部,即面向企业内部员工的工作站,我们不能保证用户每一次操作都是正确与安全的,绝大情况下,他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。
(二)混合性威胁用多种方法和技术来传播和实施的攻击或威胁,因而必须有多种方法来保护和压制这种攻击或威胁。如:CodeRed.CodeRedII.CodeBlue.Nimda.
三、利用防火墙解决企业中存在的安全风险通过在内部网络中的每台工作站上部署防病毒,防火墙,入侵检测,补丁管理与系统监控,我们可以集中收集内部网络中的威胁,分析面对的风险,灵活适当的调整安全管理策略。更重要的就是从网络结构上的接入层,汇聚层和核心交换层设备上做好访问控制与流量管理。
如果部署安全策略,在提高安全性的同时,势必会影响其可用性。这个矛盾是不可调和的。关键区域的防火墙主要是面对内部用户,保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁,也要提供诸如NAT服务,出站控制,远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域,提供深层次的检测与告警。因为一旦涉及到数据包深入检测,将会大大影响设备的性能。
如今的防火墙的功能越来越强大,这里我们选择业界一流的防火墙CheckPoint的StatefulInspection(状态检测技术)和WebIntelligence(Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。简单来说,状态检测技术工作在OSI参考模型的DataLink与Network层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,InspectEngine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速,有效的控制数据的进出和做出控制决策。
CheckPoint的WebIntelligence,有一种名为MaliciousCodeProt-ector(可疑代码防护器)来提供对应用层的保护。如何去判断上述的一些威胁呢?MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码,模拟行来判断攻击,将可执行代码放置到一个虚拟的仿真服务器中运行,检测是否对虚拟系统造成威胁,最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击,并且误报率相当低。
四、结语一个好的防火墙应该具有高度安全性、高透明性和高网络性能。此外,人们也在开展其他计算机网络安全技术的研究,随着Internet在我国的迅速发展,防火墙技术引起了各方面的广泛关注。一方面在对国外信息安全和防火墙技术的发展进行跟踪,另一方面也已经自行开展了一些研究工作。目前使用较多的,是在路由器上采用分组过滤技术提供安全保证,对其它方面的技术尚缺乏深入了解。防火墙技术还处在一个发展阶段,仍有许多问题有待解决。因此,密切关注防火墙的最新发展,对推动Internet在我国的健康发展有着重要的意义。