文章出处:www.net1980.com
在实际应用中,单一的安全防护技术并不足以构筑一个安全的网络安全体系,多种技术的综合应用才能够将安全风险控制在尽量小的范围内。一般而言,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数***,完成这项任务的网络边防产品我们称其为防火墙。
类似于建筑大厦中用于防止火灾蔓延的隔断墙,Internet 防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙主要服务于以下目的:
1)限制用户或信息由一个特定的被严格控制的站点进入;
2)阻止***者接近其他安全防御设施;
3)限制用户或信息由一个特定的被严格控制的站点离开。
防火墙通常作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意***;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。
防火墙发展历史
防火墙技术的发展历史大致经历了以下几个过程。
1、第一代防火墙:包过滤防火墙
包过滤指在网络层对每一个数据包进行检查,根据配置的安全策略来转发或拒绝数据包。包过滤防火墙的基本原理是:通过配置ACL(Access Control List,访问控制列表)实施数据包的过滤。实施过滤主要是基于数据包中的源/目的IP 地址、源/目的端口号、IP 标识和报文传递的方向等信息。
第一代防火墙的设计简单,非常易于实现,而且价格便宜,但其缺点不容忽视,主要表现在:
1)随着ACL 复杂度和长度的增加,其过滤性能成指数下降趋势;
2)静态的ACL 规则难以适应动态的安全要求;
3)包过滤不检查会话状态也不分析数据,即不能对用户级别进行过滤,这容易让***蒙混过关。例如,***者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP 地址,就能很轻易地通过报文过滤器。
2、第二代防火墙:代理防火墙
代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求,认证通过后,该防火墙将代表客户与真正的服务器建立连接,转发客户请求,并将真正服务器返回的响应回送给客户。代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性,但其缺点同样突出,主要表现在:
1)软件实现限制了处理速度,易于遭受拒绝服务***;
2)需要针对每一种协议开发应用层代理,升级很困难。
3、第三代防火墙:状态防火墙
状态分析技术是包过滤技术的扩展(非正式的也可称为“动态包过滤”)。基于连接状态的包过滤在进行数据包的检查时,将每个数据包看成是独立单元的同时,还要考虑前后报文的历史关联性。
基本原理简述如下:
1)状态防火墙使用各种状态表来追踪激活的TCP( Transmission ControlProtocol)会话和UDP(User Datagram Protocol)伪会话(在处理基于UDP协议包时为UDP 建立虚拟连接,以对UDP 连接过程进行状态监控的会话过程),由ACL 表来决定哪些会话允许建立,只有与被允许会话相关联的数据包才被转发。
2)状态防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到动态状态表中,通过分析这些状态表和与该数据包有关的后续连接请求来做出恰当决定。从外部网络向内看,状态防火墙更像一个代理系统(任何外部服务请求都来自于同一主机),而由内部网络向外看,状态防火墙则像一个包过滤系统(内部用户认为他们直接与外部网交互)。
状态防火墙具有以下优点:
1)速度快。状态防火墙对数据包进行ACL 检查的同时,可以将包连接状态记录下来,后续包则无需再通过ACL 检查,只需根据状态表对新收到的报文进行连接记录检查即可。检查通过后,该连接状态记录将被刷新,从而避免重复检查具有相同连接状态的包。连接状态表里的记录可以随意排列,这点与记录固定排列的ACL 不同,于是状态防火墙可采用诸如二叉树或哈希(hash)等算法进行快速搜索,提高了系统的传输效率。
2)安全性较高。连接状态清单是动态管理的,会话完成时防火墙上所创建的临时返回报文入口随即关闭,这保障了内部网络的实时安全。同时,状态防火墙采用实时连接状态监控技术,通过在状态表中识别诸如应答响应等连接状态因素,增强了系统的安全性。
转载于:https://blog.51cto.com/cchome/385322
1217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
