信息安全大作业中.doc

西安电子科技大学长安学院 课程设计论文报告（大作业） =================================== 防火墙技术发展与探讨 课程名称：《信息安全技术》 代课教师： 李杰高级工程师 班级：09421 专业：软件工程 学号：006 姓名：郭浪平 电话电邮：1072460916@ 提交日期： 2012年 11 月 4 日 引言网络安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当园区网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。安全厂商联盟的方式来解决；另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。 从概念上讲，所谓“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；而所谓“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。 2.1“胖”的技术路线 “胖”防火墙在保证基本功能的前提下，不断扩展增值功能——NAT、VPN、QoS以及入侵检测、防病毒等。“胖”防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系，力图将防火墙系统开发成为一个安全域的整体解决方案，它的优点在于可以满足用户绝大部分的网络安全需求。 防火墙最开始也是一个单独的设备与概念，它和VPN、IDS、防病毒等都是同时并立的，但随着客户需求的不断变化，在大而全的思想引导下，防火墙慢慢集成了VPN，集成了IDS，甚至集成了防病毒网关。理论上，防火墙+IDS+防病毒+VPN部署已经可以提供较全面的保护，但由于大多数中小企业的用户并非安全专家，更不可能7×24 小时监视安全报告并作出响应，因此组合多种产品功能形成智能化的防御体系、发现并及时中止入侵的发生也就成为安全技术的一种发展方向。 另外，对于一般的客户来说，分别购买多个IDS、防火墙、VPN及防病毒网关产品是一个不小的财政负担，而高度集成的IDP系统令用户大大减少了同类支出并大大增加了效能，因此，市场上出现了“二合一”、“三合一”甚至是“四合一”的产品。它欲解决的问题在于降低采购和管理成本。 但是，这种“胖”防火墙目前更多地存在于理论上，实际进行产品化并已成功应用的并不多。“胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西非常感兴趣。 “胖”防火墙的缺点也是很明显的，最突出的就是性能问题，只能着眼于小规模的网络，因为它强制将边界安全集中在单一控制点，本有性能瓶颈之忧；在性能瓶颈点增加IDS、AV等模块，又会加剧瓶颈效应；同时，附加模块将增加安全策略规则数目，也将加剧防火墙性能指标恶化（随规则增加，防火墙性能指标将成倍数下降）；另外，附加模块不专业，功能不全面。很多厂家在初步定义产品时，都想做成“胖”防火墙，既有包过滤、又有代理，同时包含了入侵检测和防病毒，但是做着做着，就慢慢瘦下来了。况且单一产品功能多，也导致可靠性和安全性的降低； 集成化不应仅仅是产品的简单叠加，“胖”防火墙从概念上讲是可以的，但从技术实现上讲，有许多实际问题，可能造成的结果就是多而不精。 2.2“瘦”的技术路线 一般来说，大型用户安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力也较高，因此，这种客户均倾向于使用独立的安全设备，并渴望发挥每种产品的最大效果。而安全厂商也竭力挖掘每种安全产品的最大功能，“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的发展阶段。 针对这类用户，为了要满足多种安全需求，安全厂商在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。以安全管理为核心使得安全网关不需要专人时时注视，不需要人工判断入侵事件，不需要预先设置大量的阻断规则，只需要在管理系统中根据安全需求设定互动规