防火墙,构筑安全保垒

发表于:2007-06-23来源:作者:点击数: 标签:
(王晓东:清华大学计算机系硕士学位毕业。曾任清华同方股份有限公司研发中心副总经理,先后主持过北京供电局、第22届万国邮政联盟大会、北京外国语大学、山东省农行、中国五金矿产进出口总公司新办公楼等信息系统的设计和建设。) 互联网的安全是一个不能忽

   
  (王晓东:清华大学计算机系硕士学位毕业。曾任清华同方股份有限公司研发中心副总经理,先后主持过北京供电局、第22届万国邮政联盟大会、北京外国语大学、山东省农行、中国五金矿产进出口总公司新办公楼等信息系统的设计和建设。)

  互联网的安全是一个不能忽视的问题。人们在享受互联网带来的方便与快捷的同时,也要面对互联网开放带来的数据安全方面的新挑战和新危险。
  为了保障安全,当用户与互联网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,并提供数据可靠性、完整性方面安全和审查控制,这些中间系统就是防火墙(Firewall)。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护。
  发展:从包过滤到状态检测
  防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),它是一种非常有效的网络安全技术。通常,防火墙服务于以下几个目的:   
  限制他人进入内部网络,过滤掉不安全服务和非法用户;
  限定人们访问特殊站点;
  为监视互联网安全提供方便。
  防火墙的主要技术类型包括数据包过滤(Packet Filter)、应用代理服务器(Application-level Proxy Server)、状态检测防火墙。
  1、包过滤防火墙
  数据包过滤(Packet Filtering)技术是指在网络层对数据包进行分析、选择。选择的依据是系统内设置的过滤逻辑,称为访问控制表(Aclearcase/" target="_blank" >ccess Control Table)。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。
  数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和透明度好,广泛地应用于Cisco、Sonic System、Lucent/Ascend等公司路由器上。缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口存在着潜在危险;
  2、应用代理服务器
  应用代理防火墙是第二代产品,应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。
  不过它的缺点也很明显:执行速度慢,操作系统容易遭到攻击。应用代理防火墙需要在一定范围内定制用户的系统,这取决于所使用的应用程序,而一些应用程序可能根本不支持代理连接。
  3、状态检测防火墙
  状态检测防火墙由Check Point率先提出,又称动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外变化,该连接就被中止。
  状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,能够根据协议、端口及源地址、目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权流通标准的数据包,这使得本身的运行非常快速。
  状态检测防火墙已经在国内外得到广泛应用,这种防火墙唯一的缺点是状态检测可能造成网络连接的某种迟滞,不过硬件运行速度越快,这个问题就越不易察觉。
  趋势:用户需求推动发展
  从用户的角度看,防火墙正逐步呈现出多功能、高性能、专业化、高质量的特点。多功能与用户的安全需求成正比,很多用户希望防火墙在访问控制的基础上还可以提供如VPN、审计等其它安全功能。
  专业化是另外一个趋势,它是市场细分的结果。由于商业、政府、军队等行业需求不同,防火墙需要针对不同应用进行类别化处理。用户也希望厂商能够针对不同应用推出相应产品,以适宜不同的安全级别。
  从解决方式的角度讲,防火墙市场正朝着三个方向发展。一类是主张防火墙功能大而全,使防火墙成为用户网络的一个安全平台,即胖防火墙;一类是瘦防火墙,功能很专一,以防火墙为核心,实现厂商之间联动;还有就是在二者之间折中,在产品联动的基础上,满足多功能的要求,应该说这种折中方案更适合大部分企业用户的需求。
  
    从以上的几个角度可以看出,用户的需求是防火墙技术发展的原动力,决定着防火墙应用的方向。比如要确保实现高质量的产品,就需要提供统一配套的服务,从而使防火墙可持续发展。防火墙将逐步走向与其它安全产品的分工协作,在满足多功能要求的同时,确保性能要求。
  提示:防火墙并非万能
  应该指出的是,很多人眼中的网络安全就是防火墙,这是非常不全面的想法。虽然防火墙在企业网络中不可或缺,但它只是对网络进行了较低层次的安全保障。从技术上讲,防火墙产品主要是“身份认证”级的安全产品,是在网络平台一个系统单元的安全技术,针对协议或应用服务确定访问是否能穿过防火墙。
  例如防火墙的安全控制主要是基于IP地址的,难于为用户在防火墙内外提供一致的安全策略。而且,防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其它安全机制(如访问控制)集成使用。另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成的防火墙,管理上有所疏忽是在所难免的。
  对一个信息网络而言,安全问题涉及身份认证、访问控制、数据保密性、数据完整性、抗抵赖、审计、可用性和可靠性等多种基本的安全服务,涉及ISO/OSI所有的七个协议层次,覆盖了企业信息网络中物理环境、通信平台、网络平台、主机平台和应用平台等几个系统单元。因此,这是一个立体的、多方位、多层次的系统问题,在规划、设计、实施企业信息网络的安全系统时也必须用系统工程的方法论来考虑。

原文转自:http://www.ltesting.net