论文部分内容阅读
摘要: 近年来,随着网络的发展,网络安全问题也日益严重。防火墙作为最早出现的使用量最大的安全产品,备受网络用户和网络研发机构的青睐。重点讨论防火墙的概念、分类与功能,结合自己对防火墙技术的理解对防火墙技术进行阐述,并对防火墙网络安全体系架构的进行初步的研究。
关键词: 防火墙技术;网络;技术;安全;体系架构
1 防火墙的概念
防火墙实际上是一种隔离技术,它可以将内部网和公众访问网分开,是一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个网络间,实施网络之间访问控制的一组组件集合,它可以在两个网络通讯时执行的一种访问控制尺度,它允许安全的数据进入内部网,同时将有威胁的数据拒之门外。最大限度地减少恶意用户访问给网络信息带来的威胁。防火墙的目的是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问进行审计和控制。
2 防火墙的分类
防火墙有很多种形式,有的以软件形式运行在普通计算机之上,也有的以固件形式设计在路由器之中。防火墙的分类也有很多种分法,从软、硬件形式上可分为软件防火墙和硬件防火墙以及芯片级防火墙;从防火墙结构可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;按防火墙的应用部署位置可分为边界防火墙、个人防火墙和混合防火墙三大类;按防火墙性能可分为百兆级防火墙和千兆级防火墙;按防火墙技术可分为包过滤防火墙和应用级两大类。
3 防火墙的功能
在没有防火墙的环境中,局域网内部上的每个节点都暴露给Internet上的其它主机,局域網的安全性要由其中每个节点的坚固程度来决定,并且安全性等同于其中最弱的节点,从而使得局域网规模越大,把所有主机保持在相同安全水平上的可管理能力就越小。
引入防火墙后,局域网的安全性在防火墙上得到了统一的加固,主要体现在:1)强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具,实现对用户和服务的访问控制。2)记录与Internet之间的通信活动。作为内外网之间唯一的放完通道,防火墙能够记录内部网和外部网络之间发生的多有事件。3)实现了网段之间的隔离或控制。防火墙的隔离作用,可控制一个有问题网段中的问题在整个网络中的传播。4)提供一个安全策略的检查站。所有进出网络的信息都必须通过防火墙,这样的防火墙便成为一个安全检查点,把所有可疑的访问拒之门外。
4 防火墙技术分析
4.1 包过滤防火墙
数据包过滤是一种在内部网络与外部主机之间进行有选择的数据包转发记住,它按照一种被称为访问控制列表(access control list,ACL)的安全策略来决定是允许还是阻止某些类型的数据包通过。ACL可以被配置为根据数据包报头的任何部分进行接收或拒绝数据包,目前,这种过滤主要是针对数据包的协议地址(包括源地址和目的地址)、协议类型和TCP/IP端口(包括源端口和目的端口)来进行的。因此,数据包过滤服务被人为是工作在网络层与传输层的边界安全机制。
4.2 状态检测防火墙
状态检测防火墙采用了状态检测包过滤的技术,是传统包过滤上的功能扩展。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要动态地在过滤规则中增加或更新条目。状态检测防火墙在网络层有一个检查引擎,它截获数据包从中抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。
4.3 代理服务型防火墙
代理(proxy)服务是运行在防火墙主机上的专门程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机,也可以是一些内部网络中唯一可以与Internet通信的堡垒主机。代理服务程序接受内部网用户对Internet服务的请求,按照相应的安全策略转发它们的请求,并返回Internet网上主机的响应。实际上,代理就是一个在应用层提供替代连接并充当服务的网关。代理具有应用相关性,要按照应用服务类型的不同,选择相应的代理服务。
4.4 网络地址翻译
网络地址翻译(network address translation,NAT),是一种通过将私有地址转换为可以在公网上被路由的公有IP地址,实现私有地址结点与外部公网结点之间相互通信的技术。它一般运行在内部网络与外部网络的边界上,当内部网络的一台主机想要向外部网络中的主机进行数据传输时,它先将数据包发到NAT设备;NAT设备上的NAT进程将首先查看IP包报头的内容,如果该包是被允许通过的,就用自己所拥有的一个全球唯一的IP地址替换掉包头内源地址字段中的私有IP地址,然后将数据包转发到外部网络的目标主机上;当外部主机回应包被发送回来时,NAT进程将接收它,并通过查看当前的网络地址转换表,用原来的内部主机私有地址替换回应包中的公有目标地址,然后将该回应包送到内部网的相应源主机上。
4.5 个人防火墙
个人防火墙,也就是通常的单机版防火墙,个人防火墙是保护个人计算机接入公共网络(如因特网)的安全有效措施。个人防火墙以软件防火墙为主,很少见到有个人用硬件防火墙设备。个人防火墙不但可以抵挡外来攻击还可以抵挡内部的攻击。
4.6 防火墙分析综述
通过对防火墙技术性的分析,我们对防火墙有了更加深刻的了解和认识。首先,防火墙只是整个网络安全防护的一部分,其他防护手段如病毒防治、密码技术、鉴别技术等对网络安全也相当重要;其次,防火墙不是绝对安全,只能防护经过防火墙的访问和攻击,而对绕过防火墙进入网络的访问无能为力;再次,防火墙的架构需要风险分析和需求分析,并要进行动态维护,在测试和验证等方面还会受到限制,所以防火墙的防护能力不一定能够满足安全政策的需要。 5 防火墙体系结构
5.1 防火墙硬件架构
在网络信息安全的平台上,多采用的x86、NP、ASIC三种架构的防火墙。
在低端千兆市场上,x86架构的防火墙是主流产品。x86系列架构的防火墙又被称为工控机防火墙,具有开发、设计门槛低、技术成熟等优点,但它对数据包的转发性能相对较弱。
在高端千兆市场上,基于NP的防火墙将占有较大的市场分额。网络处理器(NP)是可编程处理器,是专门用来处理数据包的,它内含的数据处理引擎可以并发进行数据处理工作,能够直接完成网络数据的处理。
ASIC架构的防火墙是采用专用集成电路ASIC技术设计的专门的数据包处理流水线,它可以优化存储器等资源利用,是公认的能满足千兆环境应用的技术方案。但集成电路ASIC技术的开发成本高、开发周期长、开发难度大,一直没能得到广泛的应用。
5.2 防火墙軟件架构
根据产品的需要构建完善的产品框架,以软件质量标准实现产品的框架,才是完善的软件架构实现模式。完善的软件架构可以使用户和软件之间、系统与软件之间找到很好的结合点。通过对软件产品和活动的评审和审计可以验证软件的质量,检验软件质量是否符合相应的规程和标准。产品框架的设计师关系到产品稳定性、实用性、安全性等的问题的关键,合理的软件架构可以使得操作系统得到优化,网络容易集成,还能确保应用互操作性。
6 安全体系架构
安全体系结构是面向资源的结构模块化设计,对文件、节点对象、协议类型、应用行为、管理端口协议等资源直接进行控制,极大的提高了网络的安全性,并保证了配置的方便性。系统采用可纵向结构层次化设计和横向功能模块化设计,使得安全系统的层次分明,系统结构清晰合理。对象型设计模式在配置过程中需要先定义配置的对象,后续的配置都按配置进行设置策略。一体化硬件设计要使用高速芯片加速处理网络的数据报文。数据流区块化导引比较则是结合网络连接和当前会话状态进行分析和监控。
防火墙作为最早出现的网络安全产品在网络安全中起着非常重要的作用。近年来,随着防火墙发展人们对防火墙的要求越来越高,防火墙已不再是一个简单的安全产品,而是网络安全的代名词。一般情况下,内外网交界的位置对于网络安全来说非常关键,为了降低网络传输延迟,只有在这个位置放置防火墙、病毒检测设备等。在实际使用中,如果能将防火墙、病毒检测等相关安全产品联合起来协同配合使用,充分发挥它们各自的长处,建立一个有效的安全防范体系,网络安全性就可以有明显的提升。
总之,随着网络信息化的发展,互联网的安全威胁也越来越大,防火墙作为内部网和外部网之间的一种访问控制技术,己经成为保护网络安全的一个重要措施。尽管防火墙的作用非常重要,但在网络安全中不能把防火墙作为唯一的防御手段,还应当结合其他安全措施,建立全面的安全防御体系。
参考文献:
[1]张蓉、贾义,浅析防火墙的系统架构及技术实现,2010年,01期.
[2]刘立博,基于中间层驱动的分布式防火墙技术的研究,2007年,06期.
[3]赵新辉,以防火墙技术为核心的网络安全架构,2005年,07期
[4]祁安龙,安全透明代理防火墙技术的研究与实现,2004年,01期.
关键词: 防火墙技术;网络;技术;安全;体系架构
1 防火墙的概念
防火墙实际上是一种隔离技术,它可以将内部网和公众访问网分开,是一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个网络间,实施网络之间访问控制的一组组件集合,它可以在两个网络通讯时执行的一种访问控制尺度,它允许安全的数据进入内部网,同时将有威胁的数据拒之门外。最大限度地减少恶意用户访问给网络信息带来的威胁。防火墙的目的是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问进行审计和控制。
2 防火墙的分类
防火墙有很多种形式,有的以软件形式运行在普通计算机之上,也有的以固件形式设计在路由器之中。防火墙的分类也有很多种分法,从软、硬件形式上可分为软件防火墙和硬件防火墙以及芯片级防火墙;从防火墙结构可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;按防火墙的应用部署位置可分为边界防火墙、个人防火墙和混合防火墙三大类;按防火墙性能可分为百兆级防火墙和千兆级防火墙;按防火墙技术可分为包过滤防火墙和应用级两大类。
3 防火墙的功能
在没有防火墙的环境中,局域网内部上的每个节点都暴露给Internet上的其它主机,局域網的安全性要由其中每个节点的坚固程度来决定,并且安全性等同于其中最弱的节点,从而使得局域网规模越大,把所有主机保持在相同安全水平上的可管理能力就越小。
引入防火墙后,局域网的安全性在防火墙上得到了统一的加固,主要体现在:1)强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具,实现对用户和服务的访问控制。2)记录与Internet之间的通信活动。作为内外网之间唯一的放完通道,防火墙能够记录内部网和外部网络之间发生的多有事件。3)实现了网段之间的隔离或控制。防火墙的隔离作用,可控制一个有问题网段中的问题在整个网络中的传播。4)提供一个安全策略的检查站。所有进出网络的信息都必须通过防火墙,这样的防火墙便成为一个安全检查点,把所有可疑的访问拒之门外。
4 防火墙技术分析
4.1 包过滤防火墙
数据包过滤是一种在内部网络与外部主机之间进行有选择的数据包转发记住,它按照一种被称为访问控制列表(access control list,ACL)的安全策略来决定是允许还是阻止某些类型的数据包通过。ACL可以被配置为根据数据包报头的任何部分进行接收或拒绝数据包,目前,这种过滤主要是针对数据包的协议地址(包括源地址和目的地址)、协议类型和TCP/IP端口(包括源端口和目的端口)来进行的。因此,数据包过滤服务被人为是工作在网络层与传输层的边界安全机制。
4.2 状态检测防火墙
状态检测防火墙采用了状态检测包过滤的技术,是传统包过滤上的功能扩展。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要动态地在过滤规则中增加或更新条目。状态检测防火墙在网络层有一个检查引擎,它截获数据包从中抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。
4.3 代理服务型防火墙
代理(proxy)服务是运行在防火墙主机上的专门程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机,也可以是一些内部网络中唯一可以与Internet通信的堡垒主机。代理服务程序接受内部网用户对Internet服务的请求,按照相应的安全策略转发它们的请求,并返回Internet网上主机的响应。实际上,代理就是一个在应用层提供替代连接并充当服务的网关。代理具有应用相关性,要按照应用服务类型的不同,选择相应的代理服务。
4.4 网络地址翻译
网络地址翻译(network address translation,NAT),是一种通过将私有地址转换为可以在公网上被路由的公有IP地址,实现私有地址结点与外部公网结点之间相互通信的技术。它一般运行在内部网络与外部网络的边界上,当内部网络的一台主机想要向外部网络中的主机进行数据传输时,它先将数据包发到NAT设备;NAT设备上的NAT进程将首先查看IP包报头的内容,如果该包是被允许通过的,就用自己所拥有的一个全球唯一的IP地址替换掉包头内源地址字段中的私有IP地址,然后将数据包转发到外部网络的目标主机上;当外部主机回应包被发送回来时,NAT进程将接收它,并通过查看当前的网络地址转换表,用原来的内部主机私有地址替换回应包中的公有目标地址,然后将该回应包送到内部网的相应源主机上。
4.5 个人防火墙
个人防火墙,也就是通常的单机版防火墙,个人防火墙是保护个人计算机接入公共网络(如因特网)的安全有效措施。个人防火墙以软件防火墙为主,很少见到有个人用硬件防火墙设备。个人防火墙不但可以抵挡外来攻击还可以抵挡内部的攻击。
4.6 防火墙分析综述
通过对防火墙技术性的分析,我们对防火墙有了更加深刻的了解和认识。首先,防火墙只是整个网络安全防护的一部分,其他防护手段如病毒防治、密码技术、鉴别技术等对网络安全也相当重要;其次,防火墙不是绝对安全,只能防护经过防火墙的访问和攻击,而对绕过防火墙进入网络的访问无能为力;再次,防火墙的架构需要风险分析和需求分析,并要进行动态维护,在测试和验证等方面还会受到限制,所以防火墙的防护能力不一定能够满足安全政策的需要。 5 防火墙体系结构
5.1 防火墙硬件架构
在网络信息安全的平台上,多采用的x86、NP、ASIC三种架构的防火墙。
在低端千兆市场上,x86架构的防火墙是主流产品。x86系列架构的防火墙又被称为工控机防火墙,具有开发、设计门槛低、技术成熟等优点,但它对数据包的转发性能相对较弱。
在高端千兆市场上,基于NP的防火墙将占有较大的市场分额。网络处理器(NP)是可编程处理器,是专门用来处理数据包的,它内含的数据处理引擎可以并发进行数据处理工作,能够直接完成网络数据的处理。
ASIC架构的防火墙是采用专用集成电路ASIC技术设计的专门的数据包处理流水线,它可以优化存储器等资源利用,是公认的能满足千兆环境应用的技术方案。但集成电路ASIC技术的开发成本高、开发周期长、开发难度大,一直没能得到广泛的应用。
5.2 防火墙軟件架构
根据产品的需要构建完善的产品框架,以软件质量标准实现产品的框架,才是完善的软件架构实现模式。完善的软件架构可以使用户和软件之间、系统与软件之间找到很好的结合点。通过对软件产品和活动的评审和审计可以验证软件的质量,检验软件质量是否符合相应的规程和标准。产品框架的设计师关系到产品稳定性、实用性、安全性等的问题的关键,合理的软件架构可以使得操作系统得到优化,网络容易集成,还能确保应用互操作性。
6 安全体系架构
安全体系结构是面向资源的结构模块化设计,对文件、节点对象、协议类型、应用行为、管理端口协议等资源直接进行控制,极大的提高了网络的安全性,并保证了配置的方便性。系统采用可纵向结构层次化设计和横向功能模块化设计,使得安全系统的层次分明,系统结构清晰合理。对象型设计模式在配置过程中需要先定义配置的对象,后续的配置都按配置进行设置策略。一体化硬件设计要使用高速芯片加速处理网络的数据报文。数据流区块化导引比较则是结合网络连接和当前会话状态进行分析和监控。
防火墙作为最早出现的网络安全产品在网络安全中起着非常重要的作用。近年来,随着防火墙发展人们对防火墙的要求越来越高,防火墙已不再是一个简单的安全产品,而是网络安全的代名词。一般情况下,内外网交界的位置对于网络安全来说非常关键,为了降低网络传输延迟,只有在这个位置放置防火墙、病毒检测设备等。在实际使用中,如果能将防火墙、病毒检测等相关安全产品联合起来协同配合使用,充分发挥它们各自的长处,建立一个有效的安全防范体系,网络安全性就可以有明显的提升。
总之,随着网络信息化的发展,互联网的安全威胁也越来越大,防火墙作为内部网和外部网之间的一种访问控制技术,己经成为保护网络安全的一个重要措施。尽管防火墙的作用非常重要,但在网络安全中不能把防火墙作为唯一的防御手段,还应当结合其他安全措施,建立全面的安全防御体系。
参考文献:
[1]张蓉、贾义,浅析防火墙的系统架构及技术实现,2010年,01期.
[2]刘立博,基于中间层驱动的分布式防火墙技术的研究,2007年,06期.
[3]赵新辉,以防火墙技术为核心的网络安全架构,2005年,07期
[4]祁安龙,安全透明代理防火墙技术的研究与实现,2004年,01期.