硅谷杂志:浅析网络安全建构中的防火墙技术 |
| 2012-09-03 10:25 作者:杨 栋 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网9月3日消息 《硅谷》杂志2012年第14期刊文称,网络安全是网络化中衡量网络技术的重要标准,防火墙技术在这里起到不可或缺的作用,其原理简单容易实现的特征让其在网络安全中作用明显,虽然其也有特定的缺点,但是随着安全技术的发展,综合性的防火墙系统将可以保证网络安全所需要的快速检测与处理能力,从而实现安全化网络构建。
1防火墙技术作用与种类
防火墙引自与建筑概念,即在房屋之间修建一道墙,防止火灾蔓延,保护其他房屋不会被烧糊。而网络安全构建中的防火墙不是物理意义上的防火墙,而是将本地网络与外部网络进行隔离的防御性系的统称,泛指一类网络安全技术。防火墙随着网络的发展已经成为了一种常见而行之有效的网络安全模式,通过其将潜在的风险阻隔与本地网络之外,降低了风险,使之相对安全的完成网络数据交互,其只有在潜在危险发生时起到防护作用,不会影响人们对网络的使用。防火墙可以监控进出网络的信息,从而对信息进行过滤,让安全和准入的信息进入到被保护的网络中,这就是其发挥作用的基本原理。
1.1防火墙技术的作用
防火墙的作用在当今的网络安全中仅仅是对未授权的访问加以控制,更希望强化自身的网络安全策略,以此达到防护安全的效果,其具体的作用如下:首先,限制对网点的访问和封锁网点信息无控制的外泄。此时防火墙就是一个检查站,所有进出的信息都必须经过检查,按照系统设定的安全等级对信息进行审核,只允许经过授权的信息通过;其次,隐蔽被保护的子网,为了防止一个网段的问题扩大而影响整个网络,防火墙可以对某个问题网段进行隔离,以此保护网络的整体安全,尤其是当被保护的网段比另一个网段更加敏感的时候就必须进行对其进行保护,其重要的目标就是保证全网的安全不受漏洞的影响;第三,审计的作用,防火墙可以通过功能拓展记录网络中的各种活动,因为所有的网络传输都必须经过防火墙,此时防火墙就可帮助对通信记录进行总结,以此获得内部或者外部相互访问的具体信息,当然也可防止入侵者进入到局域网络中;最后,防火墙可以执行强制的安全策略。在网络中很多的服务是存在安全隐患的,防火墙可以对这些服务进行控制,即利用安全策略对通过服务信息进行监督,运行安全策略放行的服务通过防火墙进入到网络中完成功能。同时防火墙还可以对进出的网络信息进行加密处理,提高了网络中实施密钥管理的能力,解密和加密都可在防火墙中完成。
1.2防火墙的种类
防火墙从其实现形式上划分可以分为软件和硬件防火墙,软件防火墙是以软件形式实现,即通过软件设置对网络的攻击进行限制,软件防火墙的价格相对较低,容易实现,可以帮助小型企业完成安全防护,而硬件则是通过软件和硬件相结合的方式隔离内部与外部网络,效果较好但是价格稍高,适应大型网络系统;从核心架构上划分,可以分为CPU架构、ASIC架构、NP架构三种,其中利用CPU进行架构的防火墙其特征就是灵活性高且可以进行系统拓展,主要形式就是因特尔公司的X86型防火墙;ASIC架构的防火墙,其技术应用与高端设备,利用多总线的计算、数据层面、控制层面、硬件转发模式等技术形式完成对安全的防护;NP即网络处理器架构,其设计主要是针对数据包处理,是一种可编辑的处理器,其处理的性能较高,具有开放性程序接口实现编程,完全可以实现模式化控制和编程操作。从技术措施上看,防火墙的技术形式较多,但是不论何种及时都不外乎两种一种是包过滤、一种是应用代理。
2网络安全建构中防火墙的不足和完善
2.1网络安全中的防火墙设置
防火墙主要针对的是外部入侵,因此在实际的布置中通常将其设置在外部网络和内部路由之间,这个位置是内外部信息的毕竟之路,因此可以起到防御外部入侵的效果。如公司或者企业的规模较大,此时公司内部会设置有虚拟的局域网,此时每个局域网之间还需要进行二次防火墙的设置。通常根据网络的结构和数据的重要性来设置防火墙的功能与位置,即边界重要程度与功能不同其防火墙的功能也就不同,将各种防御职能和提供应用具体分配到不同的内部和边界防火墙上,核心防火墙则重点保护核心区域,提供深层的检测与告警,而边界防火墙则提供过滤与转发功能。
2.2防火墙技术的缺陷
虽然在网络建构防火墙可以有效地控制来自与外部网络的安全性威胁,但是随着攻击技术的不断升级与创新,单纯依靠防火墙技术是不能实现完全控制非法攻击的效果的。特别是来自与网络内部的攻击是防火墙技术不能控制的。而目前一些攻击事件往往来自网络内部的人员,这些内部的攻击是防不胜防的,因为其所有的操作都没有经过网络防火墙,一旦网络中的某些信息被内部人员所获得其就会给企业带来巨大的经济损失。另外,一些黑客攻击已经可以绕过防火墙,直接对内部网络进行访问,防火墙不会察觉此类攻击并采取相应的防护措施,因为防火墙始终是一种被动的防护措施。防火墙应对病毒控制也不能做到行之有效,因为病毒的传播不是单纯依靠网络,而是借助数据的交互完成,网络内部人员访问了含有病毒的网站,其含有病毒的数据是不能被安全识别的,一旦病毒进入到网络就会对内部的用户进行攻击,从而使得用户受到感染,给整个网络代理了安全隐患。
2.3防火墙+入侵检测的安全模式建立
在网络安全机制的构建中,可以采用多种防护措施相结合的方式,即保证系统有效必须将防护、检测、响应结合起来。这三个部分需要实现的是基于时间的简单关系。即检测系统在入侵还没有突破防御的时候就可以检测攻击的意图,一旦检测结果被认可,响应系统就会做出相应的处理。这样的模式虽然不能百分百的对攻击起到防御效果,但是如果检测的耗时很短且响应的措施是准确的,是可以为整个系统提供有效的防御的。在此思路上可以利用防火墙的技术作为防护的措施,而检测技术作为检测的手段,当网络受到入侵并被检测系统检查确认时,就可以针对入侵作出正确的处理,可以有系统自动完成也可由管理人员手动完成,也就是启动防火墙完成防御。这样入侵检测与防火墙就可相互协调配合,实现一个较为完善的安全防护机制,以此有效的弥补传统安全技术的不足之处。在网络安全构建中,并不是简单的将入侵检测与防火墙进行叠加,而是需要二者功能和特点的有机结合,以此形成一个网络防范的安全系统。通过二者的优势互补来完成以防火墙为主体,入侵检测为辅助的网络安全模式。
3结束语
防火墙的技术由来已久,其防护的基本原理就是对特定的非法入侵进行过滤与阻碍,防止其进入到某些特定的网络中。但是随着计算机和网络技术的发展,非法入侵也不断升级,所以必须利用综合性的防御技术,即利用多种技术的结合,提高防火墙的识别和响应功能以此建立安全的网络系统。
作者简介:
杨栋(1982-),男,黑龙江哈尔滨人,本科,助理工程师,主要从事校园网维护工作,负责防火墙。(原文载于《硅谷》杂志2012年第14期,硅谷网及《硅谷》杂志版权所有,未经允许禁止转载) |
|
|
|
【对“硅谷杂志:浅析网络安全建构中的防火墙技术”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
