防火墙
- 防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施访问控制策略。
- 访问控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。
- 防火墙内的网络称为“可信的网络”(trusted network),而将外部的互联网称为“不可信的网络”(untrusted network)。
- 防火墙可用来解决内联网和外联网的安全问题。
防火墙在互连网络中的位置
防火墙的功能
- 防火墙的功能有两个:阻止和允许。
- “阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。
- “允许”的功能与“阻止”恰好相反。
- 防火墙必须能够识别各种类型的通信量。不过在大多数情况下防火墙的主要功能是“阻止”。
防火墙技术一般分为两类
-
分组过滤路由器
- 是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。过滤规则基于分组的网络层或运输层首部的信息,例如:源/目的 IP 地址、源/目的端口、协议类型(TCP 或 UDP)等。
- 分组过滤可以是无状态的,即独立地处理每一个分组。也可以是有状态的,即要跟踪每个连接或会话的通信状态,并根据这些状态信息来决定是否转发分组。
- 简单高效,对用户透明,但不能对高层数据进行过滤。
-
应用网关也称为代理服务器 (proxy server)
- 它在应用层通信中扮演报文中继的角色。
- 每种网络应用需要一个应用网关。
- 在应用网关中,可以实现基于应用层数据的过滤和高层用户鉴别。
- 所有进出网络的应用程序报文都必须通过应用网关。
- 应用网关也有一些缺点:
- 每种应用都需要一个不同的应用网关。
- 在应用层转发和处理报文,处理负担较重。
- 对应用程序不透明,需要在应用程序客户端配置应用网关地址。
入侵检测系统
- 防火墙试图在入侵行为发生之前阻止所有可疑的通信。
- 入侵检测系统 IDS (Intrusion Detection System) 能够在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。
- IDS 对进入网络的分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于 IDS 的“误报”率通常较高,多数情况不执行自动阻断)。
- IDS 能用于检测多种网络攻击,包括网络映射、端口扫描、DoS 攻击、蠕虫和病毒、系统漏洞攻击等。
两种入侵检测方法
- 基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。
- 这些特征和规则通常由网络安全专家生成,由机构的网络管理员定制并将其加入到数据库中。
- 基于特征的 IDS 只能检测已知攻击,对于未知攻击则束手无策。
- 基于异常的 IDS 通过观察正常运行的网络流量,学习正常流量的统计特性和规律。当检测到网络中流量某种统计规律不符合正常情况时,则认为可能发生了入侵行为。
至今为止,大多数部署的 IDS 主要是基于特征的,尽管某些 IDS 包括了某些基于异常的特性。
一些未来的发展方向
网络安全是一个很大的领域。对于有志于这一领域的读者,可在下面几个方向作进一步的研究:
- 椭圆曲线密码 (Elliptic Curve Cryptography,简写为 ECC) 与 AES ——
这一系统现在已广泛用于电子护照中,也是下一代金融系统使用的加密系统。 - 移动安全 (Mobile Security) —— 移动通信带来的广泛应用 (如移动支付,Mobile Payment)向网络安全提出了更高的要求。
- 量子密码 (Quantum Cryptography) —— 量子计算机的到来将使得目前许多使用中的密码技术无效,后量子密码学(Post-Quantum Cryptography)的研究方兴未艾。