監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產品資料
X 關閉

防火墻的技術精粹

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件  防火墻已經被用戶普遍接受,而且正在成為一個主要的網絡安全設備。防火墻圈定一個保護的范圍,并假定防火墻是唯一的出口,然后防火墻來決定是放行還是封鎖進出的包。傳統(tǒng)的防火墻有一個重大的理論假設,如果防火墻拒絕某些數據包的通過,則一定是安全的,因為該些包已經被丟棄。但實際上防火墻并不保證準許通過的數據包是安全的,防火墻無法判斷一個正常的服務的數據包和一個惡意的數據包有什么不同,因此要求管理員來保證該包是安全的。管理員必須告訴防火墻準許通過什么,既然管理員說必須通過,那么防火墻依據你設置的規(guī)則來準許該包通過,這樣管理員則必須承擔策略錯誤的安全責任。然而,傳統(tǒng)防火墻的這種假設對網絡安全是不恰當的,安全效果也不好。把安全責任交給安全管理員,實際上就沒有解決安全問題。新一代的防火墻應該加強放行數據的安全性,因為網絡安全的真實需求是,既要保證安全,也必須保證應用的正常進行。

    一、傳統(tǒng)的防火墻技術簡介

    目前的防火墻無論從技術上還是產品發(fā)展歷程上,都經歷了五個發(fā)展階段。第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(Packet filter)技術。1989年,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。 第三代的防火墻準確來說,是美國國防部認為第一代和第二代的防火墻的安全性不夠,希望能對應用進行檢查,于是出資研制出有名的TIS防火墻套件。第四代防火墻是1992年,USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術。1994年,以色列的CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產品。第五代防火墻是1998年,NAI公司推出了一種自適應代理(Adaptive proxy)技術,并在其產品Gauntlet Firewall for NT中得以實現,給代理類型的防火墻賦予了全新的意義。高級應用代理(Advanced Application Proxy)的研究,克服速度和安全性之間的矛盾,可以稱之為第五代防火墻。

    前五代防火墻技術有一個共同的特點,就是采用逐一匹配方法,計算量太大。包過濾是對IP包進行匹配檢查,狀態(tài)檢測包過濾除了對包進行匹配檢查外還要對狀態(tài)信息進行匹配檢查,應用代理對應用協議和應用數據進行匹配檢查。因此,它們都有一個共同的缺陷,安全性越高,檢查的越多,效率越低。用一個定律來描述,就是防火墻的安全性與效率成反比。

    二、傳統(tǒng)防火墻遺留的主要安全問題

    沒有人懷疑防火墻在所有的安全設備采購中占據第一的位置。但傳統(tǒng)的防火墻并沒有解決網絡主要的安全問題。目前網絡安全的三大主要問題是,以拒絕訪問(DDOS)為主要目的網絡攻擊,以蠕蟲(Worm)為主要代表的病毒傳播,和以垃圾電子郵件(SPAM)為代表的內容控制。這三大安全問題占據網絡安全問題九成以上。而這三大問題,非智能防火墻都無能為力。

    根據2003年美國聯邦調查局(FBI)和計算機犯罪調查機構(CSI)聯合發(fā)布的報告,超過50%的被調查者承認遭受拒絕訪問攻擊,80%的被調查者遭受病毒的攻擊。垃圾電子郵件更猖狂,IDC估計到2006年,全球每天發(fā)送的垃圾信息將超過200億條。

    傳統(tǒng)的防火墻能解決上述三大問題嗎?答案是否定的。原因有三,一是傳統(tǒng)防火墻的計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代價,檢查的強度越高,計算的代價越大。二是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器,不具有智能功能,無法解決復雜的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。

    傳統(tǒng)的防火墻廠商主張,這三大問題不應該由防火墻來解決。但用戶調查表明,超過80%的用戶,主張防火墻幫助他們解決上述三大問題。

    三、新一代的智能防火墻

    智能防火墻是相對傳統(tǒng)的防火墻而言的,顧名思義,更聰明更智能。很多用戶非常接受智能防火墻概念,在他們的眼里,不聰明就是不可靠不安全,找個不聰明的保鏢,你覺得安全嗎?傳統(tǒng)的防火墻存在的很多問題,用戶往往難以理解。用戶經常會問,為什么防火墻不能防止黑客的攻擊?安全專家用記錄的數據來分析,一眼就發(fā)現黑客的攻擊,為什么防火墻不行?原因就是傳統(tǒng)的防火墻是一個簡單機制,機械的執(zhí)行安全策略。

    智能防火墻從技術特征上,是利用統(tǒng)計、記憶、概率和決策的智能方法來對數據進行識別,并達到訪問控制的目的。新的數學方法,消除了匹配檢查所需要的海量計算,高效發(fā)現網絡行為的特征值,直接進行訪問控制。由于這些方法多是人工智能學科采用的方法,因此,又稱為智能防火墻。

    一個典型的例子可以說明智能防火墻對網絡安全是多么的重要。傳統(tǒng)的防火墻對包的檢查,就像對人的相貌的識別,采用圖像識別一樣。把一個人的相貌轉換為圖像,對圖像的每一個像素進行記憶,然后進行匹配檢查。通過檢查上千萬個像素之后,告訴你,這是誰。人不是這樣來識別相貌的。人幾乎沒有計算就可以實時地識別你是誰?這就是智能識別。智能防火墻無須海量計算就可以輕松找到網絡行為的特征值來識別網絡行為,從而輕松的執(zhí)行訪問控制。   

四、智能防火墻的關鍵技術

    1、防攻擊技術

    智能防火墻能智能識別惡意數據流量,并有效地阻斷惡意數據攻擊。智能防火墻可以有效地解決SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻擊。防攻擊技術還可以有效的切斷惡意病毒或木馬的流量攻擊。

    2、防掃描技術

    智能防火墻能智能識別黑客的惡意掃描,并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS,SSS,NMAP等掃描工具,智能防火墻可以防止被掃描。防掃描技術還可以有效地解決代表或惡意代碼的惡意掃描攻擊。

    3、防欺騙技術

    智能防火墻提供基于MAC的訪問控制機制,可以防止MAC欺騙和IP欺騙,支持MAC過濾,支持IP過濾。將防火墻的訪問控制擴展到OSI的第二層。

    4、入侵防御技術

    智能防火墻為了解決準許放行包的安全性,對準許放行的數據進行入侵檢測,并提供入侵防御保護。入侵防御技術采用了多種檢測技術,特征檢測可以準確檢測已知的攻擊,特征庫涵蓋了目前流行的網絡攻擊;異常檢測基于對監(jiān)控網絡的自學習能力,可以有效地檢測新出現的攻擊;檢測引擎中還集成了針對緩沖區(qū)溢出等特定攻擊的檢測。智能防火墻完成了深層數據包監(jiān)控,并能阻斷應用層攻擊。

    5、包擦洗和協議正?;夹g

    智能防火墻支持包擦洗技術,對IP,TCP,UDP,ICMP等協議的擦洗,實現協議的正常化,消除潛在的協議風險和攻擊。這些方法對消除TCP/IP協議的缺陷和應用協議的漏洞所帶來的威脅,效果顯著。

    6、AAA技術

    IP v4版本的一大缺陷是缺乏身份認證功能,所以在IP v6版本中增加了該功能。問題是IP v6的推廣尚需時日,IP v4在相當長一段時間內,還會繼續(xù)存在。智能防火墻增加了對IP層的身份認證?;谏矸輥韺崿F訪問控制。

    五、智能防火墻的功能特點

    智能防火墻成功地解決了普遍存在的拒絕服務攻擊(DDOS)的問題,病毒傳播的問題和高級應用入侵的行為,代表著防火墻的主流發(fā)展方向。新一代的智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高,在特權最小化,系統(tǒng)最小化,內核安全,系統(tǒng)加固,系統(tǒng)優(yōu)化和網絡性能最大化方面,與傳統(tǒng)防火墻相比,有質的飛躍。

    智能防火墻執(zhí)行全訪問的訪問控制,而不是簡單的進行過濾策略。基于對行為的識別,可以根據什么人、什么時間、什么地點(網絡層),什么行為(OSI7層)來執(zhí)行訪問控制,大大增強了防火墻的安全性,更聰明更智能。

    智能防火墻的高可用性也是一大亮點。支持最新的國際RFC雙機熱備標準VRRP,支持流量分擔,支持并行防火墻,支持雙機容錯,支持負載均衡,支持多出口路由。流量分擔和并行防火墻技術,對實現線速防火墻具有重大的現實意義。

    智能防火墻還具有廣泛的應用支持。支持內核級的FTP,H.323,IGMP(組播)等特殊應用支持,支持基于SNMP的集中網管,支持特殊應用網關定制。

    智能防火墻具備集中網絡管理平臺,具備配置管理、性能管理、故障管理、安全管理、審計管理五大管理域。

    智能防火墻提供網絡實時監(jiān)控功能。支持監(jiān)控防火墻的性能如CPU,內存,網絡和硬盤的使用率等信息。支持監(jiān)控防火墻的狀態(tài),并實時報警。支持實時監(jiān)控,包括性能監(jiān)控、接口流量監(jiān)控等。

    智能防火墻提供對日志的監(jiān)控,自動處理,人工或自動導出,數據庫導入,查看,查詢,顯示,報警等功能。支持條件查詢。

    六、智能防火墻的典型應用

    除傳統(tǒng)防火墻的應用外,智能防火墻還有以下特殊應用場合。

    保護網絡和站點免受黑客的攻擊。由于目前眾多的防火墻無法抵御DDOS的攻擊,使得網站和網絡頻繁遭受黑客的攻擊。采用智能防火墻,可以有效解決拒絕服務攻擊。

    阻斷病毒的惡意傳播。智能防火墻可以智能識別病毒的惡意掃描和流量攻擊,有效切斷惡意病毒的傳播途徑。由于智能防火墻是從流量異常來判斷病毒的傳播,避免了每一次新病毒的爆發(fā)所帶來的災難。

    有效監(jiān)控和管理內部局域網。傳統(tǒng)的防火墻只防外不管內,導致內部局域網速度慢,惡意病毒和木馬盛行。智能防火墻的防欺騙功能和MAC控制功能,有效發(fā)現內部惡意流量,幫助安全管理員來找到攻擊來源。

    保護必需的應用安全。智能防火墻的入侵防護功能,深層的應用數據檢測可以有效的發(fā)現對應用的惡意攻擊,并加以制止。

    提供強大的身份認證授權和審計管理。對優(yōu)化進行身份鑒別授權和審計,是網絡安全的要素之一,基于人而不是IP進行管理,更能有效的進行網絡安全管理。也為網絡取證提供防抵賴的功能。

    使用并行防火墻來增加網絡的高可用性,實現流量分擔,負載均衡,雙機熱備,實現線速防火墻。大大降低了系統(tǒng)的成本,而且靈活,保持系統(tǒng)的高安全性。

    來源:E-WORKS

  

發(fā)布:2007-04-22 10:12    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
沈陽OA系統(tǒng)
聯系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普沈陽OA快博其他應用

沈陽OA軟件 沈陽OA新聞動態(tài) 沈陽OA信息化 沈陽OA快博 沈陽OA行業(yè)資訊 沈陽軟件開發(fā)公司 沈陽門禁系統(tǒng) 沈陽物業(yè)管理軟件 沈陽倉庫管理軟件 沈陽餐飲管理軟件 沈陽網站建設公司