硅谷杂志:浅谈防火墙技术 |
| 2012-07-18 10:18 作者:倪莎莎 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网7月18日消息 (原文载于《硅谷》杂志)防火墙是目前网络安全领域广泛使用的设备,主要目的就是限制非法流量,以保护内部子网。从部署位置来看,防火墙往往位于网络出口,是内部网和外部网之间的唯一通道,因此提高防火墙的性能、避免其成为瓶颈,就成为防火墙产品能否成功的一个关键问题。引用叙述性的文字概述防火墙的概念、结构等,让我们全面了解一个理论上的防火墙。
防火墙是网络安全的第一道门户,可以实现内部网(信任网络)和外部不可信任网络之间,或者内部不同网络安全区域之间的隔离与访问控制,保证网络系统及网络服务的可用性。狭义的防火墙是指安装了防火墙的软件或路由器系统,而广义的防火墙还包括整个网络的安全策略和安全行为。防火墙一词来自建筑物中的同名机构,从字面意思上说,它可以防止火灾从建筑物的一部分蔓延到其他部分。Internet防火墙也要起到同样的作用,防止Internet上的不安全因素蔓延到自己企业或组织的内部网。
2防火墙功能
本质上来讲,防火墙被认为是两个网络间的隔断,只允许所选定的一些形式的通信通过。防火墙另外一个重要特征是它自身抵抗攻击的能力:防火墙自身应当不易被攻入,因为攻入防火墙就给攻击者进入内部网一个立足点。从安全需求来看,理想的防火墙应具备以下功能:
1)能够分析进出网络的数据。
2)能够通过识别、认证和授权对进出网络的行为进行访问控制。
3)能够封堵安全策略禁止的业务。
4)能够审计跟踪通过的信息内容和活动。
5)能够对网络入侵行为进行检测和报警。
6)能够对需要保密的信息进行授权的加密和解密。
7)能够对接收到的数据进行完整性校验。
通过选择优秀的防火墙产品,制定合理的安全策略,内部网络可以在很大程度上避免受到攻击。但是需要指出的是,当前流行的许多错误概念和观点经常误导用户。那就是过分夸大某些产品的功能,认为所有的网络安全问题可以通过简单地配置防火墙来达到。虽然当单位将其网络互联时,防火墙是网络安全的重要一环,但并非全部。许多危险是在防火墙能力范围之外的。
3防火墙的结构
3.1包过滤性防火墙
说明:对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制。
优点:处理速度快、费用低、对用户透明。
缺点:维护比较困难,只能阻止少部分IP欺骗,不支持有效地用户认证,日志功能有限。过滤规则增加会大大降低吞吐量,无法对信息提供全面控制。
3.2双宿网关防火墙
说明:由一台至少装有两块网卡的堡垒主机作为防火墙,位于内外网络之间,分别与内外网络相离,实现物理上的隔开。服务方式,一是用户直接登录到双宿主机上,二是在双宿主机运行代理服务器。
优点:安全性比屏蔽路由器高。
缺点:入侵者一旦得到双宿主机的访问权,内部网络就会被入侵,因此需要具有强大的身份认证系统,才能阻挡来自外部的不可信网络的非法入侵。
3.3屏蔽主机防火墙
说明:强迫所有的外部主机与一个堡垒主机相连接,不让他们直接与内部主机相连接。它是由包过滤路由器和堡垒主机组成的。
优点:实现了网络层安全和应用层安全,因此安全等级比屏蔽路由器要高。
缺点:堡垒主机可能被绕过,堡垒主机与其他内部主机之间没有任何保护网络安全的物质存在,一旦被攻破,内网就将完全暴露。
3.4屏蔽子网防火墙
说明:用了两个屏蔽路由器和一个堡垒主机,也称为“单DMZ”防火墙结构。
优点:在定义了“非军事区(DMZ)”网络后,它支持网络层和应用层安全功能,这也是最安全的防火墙系统。
缺点:通常情况下的屏蔽子网防火墙比较小,处于internet和内部网络之间。一般情况下,将其配置成使用internet和内部网络系统对其访问会受限制的系统,例如:堡垒主机、信息服务器、modem组以及其他公用服务器。
3.5其他防火墙结构
在实际应用中,经常在前四种基本结构的基础上进行组合。
1)合并“非军事区”的外部路由器和堡垒主机结构(也是单DMZ结构):由双穴堡垒主机执行原来外部路由器的功能,但会缺乏专用路由器的灵活性和性能,出了需注意保护堡垒主机外,与屏蔽子网防火墙结构相比没有明显弱点。
2)合并内部路由器和堡垒主机结构(也是单DMZ):这种结构并不提倡,因为一旦堡垒主机被入侵,内部网络没有安全保护。
3)合并DMZ的内部路由器和外部路由器结构:只有当拥有功能强大的路由器的时候,才考虑合并内、外路由器。这种结构与屏蔽主机结构一样,路由器容易受到伤害。
4)两个堡垒主机和两个非军事结构:也就是使用两台双穴主机,设立两个非军事区,从而将网络分成内网、外网、内DMZ、外DMZ四个部分。通常将不是很机密的服务器放在内DMZ网络上,有机密信息的敏感主机放在内部网络中。另外值得一提的是,在这种结构中,可以在外部DMZ放置一些公共信息服务主机(如FTP、WWW),而堡垒主机对这些主机不予信任,这类主机称为“牺牲主机”。
4防火墙的选择
选择防火墙的标准有很多,重要的有以下几条:
1)防火墙是网络系统的安全屏障。总拥有防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护系统可能遭受最大损失的成本。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。
2)防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部入侵者以可乘之机。如果正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
3)管理与培训。管理和培训时评价一个防火墙好坏的重要方面。在计算防火墙成本时,不能只简单计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。
4)防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。
总之防火墙是一种网络安全保障手段,是网络通信时的一种访问尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的链接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器也是一个限制器,更是一个分析器。有效地监视了内部网络和internet之间的任何活动,保证了网络内部的安全;在物理实现上,防火墙是位于网络特殊位置的一组硬件设备——路由器、计算机或其他特制的硬件设备。防火墙可以是一个独立的系统,也可以在一个进行网络互联的路由器上实现防火墙。
随着Internet/Intranet技术的飞速发展,网络安全问题必然将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识。
|
|
|
|
【对“硅谷杂志:浅谈防火墙技术”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
