【 摘 要 】 通過對網路防火牆的概念和功能、各種網路防火牆新技術的原理、優點和應用、網路防火牆發展趨勢等進行分析和研究,得出網路資訊保安是一項持久的、任務艱鉅的長期工作,需要我們不斷地探索,才能研究出安全性較高的安全防禦系統,才能進一步提高網路系統的安全性。
【 關鍵詞 】 防火牆;嵌入式;智慧;分散式;安全
1 引言
隨著計算機技術、通訊技術和資訊科技的快速發展,計算機網路已經成為人們交換資訊的重要手段,並且已經滲透到人們生活的每一個角落,各行各業都離不開計算機網路。然而計算機網路帶給我們便利的同時可能隱藏安全風險,因此我們在使用計算機網路時一定要認清網路潛在的安全威脅,並採取強有力的安全措施以保障網路資訊的安全,這是我們每一個網路使用者必須要重視的事情。本文主要就從保障網路安全方面入手,著重討論了網路防火牆技術的發展及其應用,讓我們進一步認清網路防火牆在網路安全方面的重要作用。
2 網路防火牆概述
防火牆(Firewall)作為一種訪問控制技術,通過嚴格控制進出網路邊界的資料分組,禁止任何不必要的通訊,從而可以減少網路入侵的發生,要儘可能地降低網路安全威脅所帶來的安全風險。防火牆是在網路的邊界上建立的網路通訊監控系統,用來保障網路的安全,網路防火牆是由軟體和硬體組合而成的,在內網和外網之間建立的保護內網安全的系統。網路防火牆的功能主要為幾個方面:其一,內部網路加裝防火牆之後能極大地提高網路的安全性,並通過安全策略過濾掉不安全的資料包,可以降低風險;其二,如果進出內部網路的資料包都經過防火牆,那麼防火牆就能對網路的訪問進行監控審計,就能記下這些訪問並做好日誌記錄情況,同時對網路的使用情況進行統計,如果存在不安全訪問,防火牆就能監控到這些資訊並能做出相應的處理;其三,防火牆可以對網路的安全策略進行強化,可以將大部分的安全軟體在防火牆上進行配置,如審計、身份驗證、口令等,這樣一來就可以將網路的安全集中在防火牆上而不需要再分散在每一個主機中,從而就可以降低網路管理的費用,同時網路管理也會變得易於實現;其四、防火牆可以防止內部網路資訊的外洩,保護資料的'安全。因此,網路防火牆在網路資訊保安中將起到非常關鍵的作用。
3 防火牆新技術
3.1 嵌入式防火牆技術
嵌入式防火牆就是將防火牆的安全功能嵌入在交換機或者是路由器中,這種方式也是目前某些路由器的標準配置,如果路由器或防火牆是插槽式模組化的,使用者可以單獨購買防火牆安全功能模組然後安裝在相應的插槽即可,這種嵌入式防火牆有時也稱為阻塞點防火牆。防火牆的功能是有一定的侷限性的,並不是所有的網路安全威脅都能得到防火牆的正確處理,這與網際網路中的服務種類以及網路協議的多樣性有關。嵌入式防火牆技術的優點是為了改善各類網路安全能力不完善的內網中的邊緣防火牆、防病毒入侵程式、網路入侵檢測告警程式和網路代理程式而設計的,不論企業內部網的拓撲結構如何,防護措施都能延伸到網路的邊緣併為網路提供安全保護,嵌入式防火牆是基於硬體的,它能夠獨立於主機作業系統與其他的系統安全程式而執行,還可以在安全性較差的鏈路實現安全移動與遠端接入。這種防火牆主要應用在移動辦公使用者通過網際網路遠端連線公司的企業網時為使用者提供安全防護,能為網路中防護最薄弱的和未被保護的領域提供安全防護。
3.2 智慧防火牆技術
智慧防火牆技術是利用概率與決策、統計與記憶的智慧檢測方法來對網路中的資料包進行識以達到對網路安全訪問控制的目的。採用新的數學方法,可以消除大量的資料值匹配檢查所需要的海量計算,可以高效發現網路行為的特徵值,從而可以直接對網路進行安全訪問控制,這些方法大部分是人工智慧知識領域的方法,因此就把這種防火牆稱之為智慧防火牆。
智慧防火牆的主要技術有:
1)網路防攻擊技術,它能自動識別出惡意的資料流,並採取有效措施對不安全的資料流進行阻斷;
2)防掃描技術,它能自動識別出惡意的威脅掃描,並採取相應的措施阻斷其掃描或者對掃描者進行欺騙,它還能有效解決惡意程式碼的不安全掃描攻擊;
3)協議正常化和包擦洗技術,它能對互連網中通訊協議如IP、TCP、UDP以及ICMP等協議進行擦洗,以實現協議的正常化技術,達到消除潛在的協議風險攻擊的目的,這種技術對消除TCP/IP協議的缺陷以及各類應用協議的不完善所帶來的威脅具有明顯的效果;
4)防欺騙技術,它是基於MAC的訪問控制技術,可以有效防止MAC欺騙和IP欺騙,同時支援MAC過濾和IP過濾,這種防火牆技術是將網路安全訪問控制功能擴充套件到資料鏈路層;
5)入侵防禦技術,這種技術是採用了多種系統檢測技術,如已知特徵檢測、特徵庫檢測等,能從多個方面檢測出不安全因素,能完成深層資料包的監控並能阻斷應用層的攻擊,可以對準許放行的資料包進行入侵檢測並提供入侵防禦保護措施;
6)AAA技術,這種防火牆加強了對IP層的身份認證功能,是基於身份實現安全訪問控制的,進一步提高了系統的安全性。
智慧防火牆的優點是可以解決拒絕服務攻擊、病毒傳播以及網路入侵等問題,可以說是防火牆技術發展的主流,與傳統的防火牆相比安全性有較大的提高,比如在系統最小化、核心安全、系統優化、許可權管理、網路效能等方面都比傳統防火牆優越。智慧防火牆主要用在防攻擊、防惡意資料攻擊、防MAC和IP欺騙等方面,這種防火牆在保護網路和站點免受攻擊、有效管理和