浅谈防火墙技术及其发展趋势.doc

浅谈防火墙技术及其发展趋势【摘要】防火墙技术是目前最为流行使用最为广泛的一种网络安全技术,在网络安全中起着非常重要的作用。本文主要讨论了防火墙技术的常见类型,并对各类型的性能作了比较,同时提出了防火墙技术存在的问题和隐患,对防火墙的发展趋势作了初步的分析 【关键词】网络安全;防火墙技术;性能;发展趋势 1引言 随着网络技术的飞速发展和网络时代的到来,网络安全问题变的越来越严重。由于网络不安全造成的损失也越来越大,人们为解决网络安全问题投入的资金也越来越多。网络安全是一个关系国家安全、社会稳定的重要问题,网络的安全已经成为急需解决的问题 为了保护网络的安全,人们将防火墙这个概念运用到了网络世界里。它是内部网络和外部网络之间的一道栅栏,用以阻挡外部网络的入侵,相当于中世纪的护城河。防火墙是目前最为流行、使用最为广泛的一种网络安全技术。本文主要讨论防火墙技术,并对其发展趋势作了初步的分析 2防火墙技术 2.1 防火墙概述 防火墙是网络之间一种特殊的访问控制设施,是一种屏障,用于隔离Internet的某一部分,限制这部分与Internet其它部分之间数据的自由流动。防火墙的位置被安装在内部网络与外部网络之间,以在不可靠的互联网络中建立一个可靠的子网。防火墙作为保障内部网络安全的手段,它有助于建立一个网络安全机制,并通过网络配置、主机系统、路由器与身份认证等手段来实现安全机制。一般说来防火墙主要有以下的功能:防火墙是网络安全的屏障;防火墙可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的外泄;安全策略检查和实施NAT的理想平台 防火墙是两个网络之间的成分集合,它必须具有以下性质才能起作用: (1)从里向外或从外向里的流量都必须通过防火墙; (2)只有本地安全策略放行的流量才能通过防火墙; (3)防火墙本身是不可穿透的 2.2 防火墙的类型 (1)IP级防火墙 IP级防火墙又称为报文过滤或包过滤(packet filter)防火墙,它通常在路由软件中实现,工作在网络层中,因此也称网络防火墙。依据防火墙内事先设定的过滤规则,检查数据流中每个数据包头部,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因数来确定是否允许数据包通过。使用这种类型的防火墙时,内部主机与外部主机之间存在直接的IP报文交互,即使防火墙停止工作也不影响其连通性。因此,IP防火墙具有简单、方便、速度快,透明性好和不影响网络的特点。但是IP防火墙只能根据IP地址和端口号来过滤报文,缺乏用户日志和审计信息,缺乏用户认证机制,对过滤规则的完备性也难以得到检验,所以IP防火墙的安全性是比较差的 (2)应用级防火墙 应用级防火墙又称代理(proxy)防火墙。它通常作用在应用层,直接对特定的应用层进行服务。这类防火墙通常是一台封堵了内外直接连接的双穴主机(dual-home-host),为两端的机器代理服务请求,也可以是一些可以访问Internet并被内部主机访问的堡垒主机。代理防火墙能进行安全控制和加速访问,有效地实现防火墙内外计算机系统的隔离,安全性好,以及实施较强的数据流监控、过滤、记录和报告等功能。其缺点是效率低,对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,实现也困难 (3)链路级防火墙 链路级防火墙的工作原理、组成结构与应用级防火墙相似,但它并不针对专门的应用协议,而是一种传输层的TCP(UDP)连接中继服务。连接的发起方不直接与响应方建立连接,而是与链路级防火墙交互,由它再与响应方建立连接,并在此过程中完成用户鉴别。在随后的通信中维护数据的安全(如进行数据加密)、控制通信的进展。链路级防火墙提供的安全保护主要包括:对连接的存在时间进行监测,除去超出所允许的存在时间的连接,这可防止过大的邮件和文件传送;建立允许的发起方表,提供鉴别机制;对传输的数据提供加密保护 各种防火墙的性能比较如表2-1所示 2.3 传统防火墙的缺点 上述三种基本的防火墙技术都存在不足之处。比如IP级防火墙存在不能彻底防止地址欺骗、正常的数据包路由器无法执行某些安全策略等不足,应用级防火墙则有不能改进低层协议的安全性、实现比较复杂等缺点。传统的防火墙大多都采用报文过滤技术。在实际环境中,大多数的攻击和越权访问来自于内部,而传统的边界防火墙无法对内部网络进行有效的保护。首先,防火墙提供的是静态防御,它的规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。其次,防火墙规则是一种粗颗粒的检查,对一些协议细节无法做到完全解析。此外,防火墙防外不防内,对于