代理型防火墙的发展方向.pdfVIP

代理型防火墙的发展方向 杜春燕 千贵驷 张莺 wanggs@nci．ac．cnyin#noi．ac．Cll duchyOnci．ac．cn 华北计算技术研究所 摘要：随着Internet的普及，网络安全性问题越来越受到人们的普遍关 注，作为解决Internet安全性问题的有效手段，防火墙技术也得到了进 一步发展。本文首先简要介纠防火墒的基本原理，然后从提高响应速度与 提高安全性两方面介纠了代理型防火墙技术的几个发展方向，并给出了相 应的实例。 关键词：防火墙数据包过滤代理服务缓存攻击监测DTE 1引言 防火墙是一种目前非常流行的Intemet网络安全技术。防火墙的基本 原理是允许网络管理员定义一个中心“扼制点”以防lr如黑弃和网络破坏 者等各种非法用户进入内部网络，并且檗ll存在安全脆弱性的服务进出网 络以抗击来自各种路线的攻击。Intemet防火墒健网络安全性能够在防火 墙系统上得到集中加固，而不是使其分布在山部网络的所有主机上实现， 从而丈人简化了安全管理。 构建防火墙系统的两种最主要技术是数据包过滤干¨代理服务。数据包 过滤技术在网络内部和外部2间有选择的转发数据包，即按照预先制定的 安全策略允许或者阻止某些类型的数据包的通过：代理服务是一种专¨的 服务器程序．专门用于接受用户对Intemet服务的请求(如HrrP，FTP， TELNET臀)，并按照预先制定的安全策略转笈它们剑实际的服务。代理 服务提供Ⅲ户和实际服务间的替代连接并且充“1服终的网关，吸此，有时 义铍成为戍Ⅲ级网关。 作为防火墙技术的一种．代理璀防火墙以其细粒度安全访问控制的显 并优点得剑了f。泛的应用。代理型防火墙位丁内部网与外部网之间，代理 服务器对通过舫火墙的所有内外连接(如：HTTP、FTP、TELNET)实施 基丁瑚户雨IIP的访问控制，从而保证了对信息资源访问的正确性与完整 性。同I对，代理服务器对每一次访问都保留有完备的日志记录，因此确保 丁访问的不可抵赖性。但是，由r代理19防火墙需要对进出网络的所有迁 接和Ⅵ户进行检查和中继，其结果火人降低了}H户访问速度和I网络系统的 性能。邯么是否使能够提供一种既可以改善网络系统安全性义能够保让网 络系统忭能的代理型防火墙呢?本文介?f{这类f℃理掣防火墙的儿个发展方 85 向。 2快速响应防火墙 快速响应防火墙主要是通过提高防火墙系统对}{{户请求的响应速度的 方式来提高防火墙系统的性能。快速响应防火墙包括具有缓存功能的防火 墙和高级安全代理服务器(ASP)两种。 2．1具有缓存功能的防火墙 在目前的网络流量中，H1vrP将近占据了其中的80％。缓存控制在 HTTP／1．1中已有明确定义，尽管目前遵循HTTP，1O的客户机和服务器仍 I_主流，随着HTTP／1．1的应_【}j逐步增加，通过增强防火墙的缓存功能不 必为提高防火墙性能、仃省带宽的一种有效方法。 增加缓存功能后防火墙的一股l：作过程为：客户机向防火墙发送 H丁rP请求，防火墙对用户身份和IP地址进行确认，如果_}{!l户身份和lP 地址是所允许的．防火墒首先查找缓存，尽量从缓存回虑H1vrP请求，如 果找到请求的内容，则根据缓存中对象的生成时间判断此对象是否有效， 如果有效，!J{『J直接从缓存同应HTTP请求，从而提高网络响应速度，节省 了带宽：否则根据需要直接从原始服务器获得所需内容，将其返同客户机， 井根据同应内容安全级别判断是否在缓存中留有备份。为了提高缓存的速 度，还可以将最热fJ的对象存放住随机存储器中，并对域名服务进行缓存。 目前的缓存的实现主要采取层次化或网状拓扑结构，这两种结构较之 独立缓存有优有劣。其优点在于增加了缓存的命中率，命中邻缓存的概率 人约I‘i 10％：可以控制路由，从而选择一条相对快速、经济的路线。其 缺点是配置旧难，需要许多单位问的合作．对丁：无法从缓存中得到同应的 请求，需耗费更K的时间。 关丁．缓存的m议主要是轻型网间网缓存协议(ICP)。ICP信息以UDP 报文传输．每个缓存只需维护一个IjDPSocket。1CP报文1F常小，20字 1T头信息十uRL÷n．统计平均值为66字仉缓存选扦规则一