第5章 防火应用技术.pptVIP

第5章 防火墙应用技术 二.技能目标： 三.知识链接： 课堂讨论： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 三.知识链接： 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 操作步骤: 9．防火墙技术的发展趋势 防火墙技术在经历了从静态过滤到状态检测过滤，从网络层分析到应用层分析的演变后，发展方向会更多地集中在对特定网络服务和协议的分析处理，以及与其他网络安全设备的配合与协作上面。 9．防火墙技术的发展趋势 防火墙技术在经历了从静态过滤到状态检测过滤 1．深度包检测 传统的包过滤防火墙主要工作于网络层，分析的是数据报的报头信息，不对数据报内容做分析。由于网络服务和协议趋于多样化和复杂化，单纯根据报头信息已不能提供很好的安全性与可用性。应用网关使用的代理技术可以将分析做到应用层，针对不同的应用协议做出控制。但是代理程序一般着眼于“代理”服务，缺乏安全性考虑和可扩展性考虑。而且代理程序一般工作在操作系统的用户级，在大负荷网络环境下很容易不堪重负，成为网络的信息处理瓶颈。 深度包检测是指对数据报的分析深人到内存，充分理解各种应用协议的流程以及脆弱性所在，以做出针对性的检测和保护。实际上在状态检测包过滤中已经用到了一些深皮包检测技术，比如对FTP协议做状态检测时，就需要分析到PORT命令数据报的内容。，从网络层分析到应用层分析的演变后，发展方向会更多地集中在对特定网络服务和协议的分析处理，以及与其他网络安全设备的配合与协作上面。 深度包检测将成为防火墙发展的下一个阶段。例如最具破坏性的网络攻击如红色代码和尼姆达都利用了应用存在的漏洞，这加大了对应用防火墙的需求。说到保护系统免受类似尼姆达的攻击，众多的应用代理收效甚微。在未来，只依靠代理或状态包检测防火墙的企业遭到应用层攻击破坏的几率将大大增加。代理系统对阻挡将来的攻击并非至关重要。将来防火墙需要更加深入监控信息包流，查出恶意行为，并加以阻挡。市场上的包检测解决方案必须增添功能(如特征检测)寻找己知攻击，并知道什么是“正常”流量(基于行为的系统)，以及什么是阻挡协议的异常行为。 从防火墙厂商的动态来观察，也有迹象表明，防火墙的这个发展阶段已经到来。 2．网络安全产品的系统化 现在有一种提法，叫做“建立以防火墙为核心的网络安全体系”，主要是依据目前网络安全产品的不断推出和防火墙在实际使用中表现出的越来越大的局限性而提出的。 一般情况下，由于内外网交界的位置非常关键，因此为了降低网络传输延迟，只有不得不置于这个位置的设备(如防火墙)才会放置在这里(一般必需的还有病毒检测设备等等)，其他设备如入侵检测系统只能置于旁路位置。而在实际使用中，人侵检测系统的任务不仅在于检测，很多时候在发现入侵行为以后，也需要入侵检测系统本身对人侵行为及时遏止。显然，处于旁路侦听的入侵检测系统天法独立完成这个任务，同时主线路又不能串接太多类似设备。在这种情况下，防火墙和入侵检测、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，系统网络的安全性得以明显提升。 日前主要有两种解决办法。一种是把入侵检测、病毒检测部分直接做到防火墙中，使防火墙具有(简单的)入侵检测和病毒检测设备的功能；另一种方法是各个产品分立，但是通过某种通信方式形成一个整体，即相关检测系统专用于某一类安全事件的检测，一旦发现安全事件，则立即通知防火墙，由防火墙完成过滤和报告。第一种方法似乎前途不明确，因为人侵检测本身也是一个非常复杂的系统，即使成为防火墙的一部分，这样一个防火墙的效率也会大受影响，很容易降低网络转发性能。第二种方法是当前防火墙产品和入侵检测产品广泛使用的方法，也出现了一些用于安全产品之间协同工作的联动