网络防火墙产生的原因.docVIP

网络防火墙 　　随着网络技术的发展，因特网已经走进千家万户。网络犯罪的递增、大量黑客网站的产生，促使人们思考网络的安全性问题。网络防火墙作为最受人注目的网络安全工具应运而生。 　　一、防火墙的基本概念 　　防火墙是一个系统或一组系统，它在企业内网与因特网间执行一定的安全策略，所有从因特网流入或流向因特网的信息按照此策略来实施检查，以决定网络之间的通信是否被允许。防火墙加强了网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，以保护内部网络操作环境的特殊网络互联设备。 从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务：提供网络地址转换(NAT)功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况，可以确认因特网连入的代价、潜在的带宽瓶颈;在其上可以配置相应的WWW和FTP服务，使因特网用户仅可以访问此类服务，而禁止对保护网络的其他系统的访问等。 　　二、防火墙的基本类型 　　防火墙的基本类型包括包过滤、网络地址转化—NAT、应用代理和状态检测。 　　1、包过滤 　　包过滤是防火墙的初级类型,依靠自身的数据安全保护机制来控制流出和流入网络的数据。它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址薄进行设置规则。其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。 　　2、网络地址转化—NAT 　　网络地址转换是一种用于把内部IP地址转换成临时的、注册的外部IP地址。网络地址转换允许具有私有IP地址的内部网络通过地址转换访问因特网，用户不许要为其网络中每一台机器取得注册的IP地址。全网卡访问外部网络时，将产生一个映射记录，系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。使得有限的外网IP就能满足内网用户对外网的访问，同时还能够避免受到来自外部其他网络的非授权访问或恶意攻击。缓解了地址空间的短缺问题，节省了资源，降低了成本。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。 3、应用代理 　　代理型防火墙的优点是安全性较高。应用代理完全接管了用户与服务器的访问，把用户主机与服务器之间的数据包的交换通道给隔离起来。应用代理不允许外部主机连接到内部的网络，只允许内部主机使用代理服务器访问Internet主机，同时只有被认为可信任的代理服务器才可以允许通过应用代理。在实际的应用中，应用代理的功能是由代理服务器来完成的。 　　4、状态检测 　　状态检测防火墙是新一代的防火墙技术，由Check Point公司引入。它监视每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙。通过状态检测技术，动态地维护各个连接的协议状态。状态检测在包过滤的同时，检查数据包之间的关联性和数据包中的动态变化。 　　三、防火墙的未来发展方向 　　在防火墙性能和功能不断发展的同时, 大多数业内专家认为, 以下五个方面将是未来防火墙的发展方向。 　　1、防火墙的性能将不断突破。随着网络应用的不断丰富, 网络带宽需求会不断的增长, 并对防火墙的性能提出更高的要求, 满足千兆、万兆以及更高的带宽要求是防火墙发展的一个方向。 　　2、防火墙将不断的深入应用防护。随着网络安全技术的发展, 网络层和操作系统的漏洞将越来越少, 但应用层的安全问题却越来越突出, 防火墙将会把更多的注意力放在深度应用防护上, 不断挖掘应用防护的深度和广度。 　　3、防火墙将支持更多的应用层协议。对应用协议支持的广度, 也是防火墙的发展趋势, 它将支持更多新的应用协议, 使更多的应用程序能和防火墙协同工作。 　　4、防火墙将作为企业安全管理平台的一个组件。随着安全管理平台的发展, 未来企业所有的安全设备将由安全管理平台统一调度和管理, 防火墙需要向安全管理平台提供安全策略管理接口、安全事件管理接口、安全审计接口。 　　5、防火墙将更可靠、更智能化