网络防火墙产生的原因
随着网络技术的发展,因特网已经走进千家万户。网络犯罪的递增、大量黑客网站的产生,促使人们思考网络的安全性问题。网络防火墙作为最受人注目的网络安全工具应运而生。
一、防火墙的基本概念
防火墙是一个系统或一组系统,它在企业内网与因特网间执行一定的安全策略,所有从因特网流入或流向因特网的信息按照此策略来实施检查,以决定网络之间的通信是否被允许。防火墙加强了网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务:提供网络地址转换(NAT)功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况,可以确认因特网连入的代价、潜在的带宽瓶颈;在其上可以配置相应的WWW和FTP服务,使因特网用户仅可以访问此类服务,而禁止对保护网络的其他系统的访问等。
二、防火墙的基本类型
防火墙的基本类型包括包过滤、网络地址转化—NAT、应用代理和状态检测。
1、包过滤
包过滤是防火墙的初级类型,依靠自身的数据安全保护机制来控制流出和流入网络的数据。它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址薄进行设置规则。其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。
2、网络地址转化—NAT
网络地址转换是一种用于把内部IP地址转换成临时的、注册的外部IP地址。网络地址转换允许具有私有IP地址的内部网络通过地址转换访问因特网,用户不许要为其网络中每一台机器取得注册的IP地址。全网卡访问外部网络时,将产生一个映射记录,系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。使得有限的外网IP就能满足内网用户对外网的访问,同时还能够避免受到来自外部其他网络的非授权访问或恶意攻击。缓解了地址空间的短缺问题,节省了资源,降低了成本。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。 3、应用代理
代理型防火墙的优点是安全性较高。应用代理完全接管了用户与服务器的访问,把用户主机与服务器之间的数据包的交换通道给隔离起来。应用代理不允许外部主机连接到内部的网络,只允许内部主机使用代理服务器访问Internet主机,同时只有被认为""可信任的""代理服务器才可以允许通过应用代理。在实际的应用中,应用代理的功能是由代理服务器来完成的。
4、状态检测
状态检测防火墙是新一代的防火墙技术,由Check Point公司引入。它监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。通过状态检测技术,动态地维护各个连接的协议状态。
状态检测在包过滤的同时,检查数据包之间的关联性和数据包中的动态变化。
三、防火墙的未来发展方向
在防火墙性能和功能不断发展的同时, 大多数业内专家认为, 以下五个方面将是未来防火墙的发展方向。
1、防火墙的性能将不断突破。随着网络应用的不断丰富, 网络带宽需求会不断的增长, 并对防火墙的性能提出更高的要求, 满足千兆、万兆以及更高的带宽要求是防火墙发展的一个方向。
2、防火墙将不断的深入应用防护。随着网络安全技术的发展, 网络层和操作系统的漏洞将越来越少, 但应用层的安全问题却越来越突出, 防火墙将会把更多的注意力放在深度应用防护上, 不断挖掘应用防护的深度和广度。
3、防火墙将支持更多的应用层协议。对应用协议支持的广度, 也是防火墙的发展趋势, 它将支持更多新的应用协议, 使更多的应用程序能和防火墙协同工作。
4、防火墙将作为企业安全管理平台的一个组件。随着安全管理平台的发展, 未来企业所有的安全设备将由安全管理平台统一调度和管理, 防火墙需要向安全管理平台提供安全策略管理接口、安全事件管理接口、安全审计接口。
5、防火墙将更可靠、更智能化。一方面, 防火墙越来越稳定可靠, 同时也更趋于智能化, 并将解决IPV6 未来会出现的安全问题。
现有防火墙技术仍无法给我们一个相当安全的网络。攻击时的变数太大,所以对网络安全的需求对防火墙提出了更高的要求,在防火墙目前还不算长的生命周期中,虽然问题不断,但是防火墙也从具有普通的过滤功能,逐步丰富了自身的功能,担当了更重的任务。未来,防火墙将成为网络安全技术中不可缺少的一部分。
内容来源:http://www.nexusguard.com.cn 欢迎多多交流!!!
网络防火墙产生的原因
随着网络技术的发展,因特网已经走进千家万户。网络犯罪的递增、大量黑客网站的产生,促使人们思考网络的安全性问题。网络防火墙作为最受人注目的网络安全工具应运而生。
一、防火墙的基本概念
防火墙是一个系统或一组系统,它在企业内网与因特网间执行一定的安全策略,所有从因特网流入或流向因特网的信息按照此策略来实施检查,以决定网络之间的通信是否被允许。防火墙加强了网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务:提供网络地址转换(NAT)功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况,可以确认因特网连入的代价、潜在的带宽瓶颈;在其上可以配置相应的WWW和FTP服务,使因特网用户仅可以访问此类服务,而禁止对保护网络的其他系统的访问等。
二、防火墙的基本类型
防火墙的基本类型包括包过滤、网络地址转化—NAT、应用代理和状态检测。
1、包过滤
包过滤是防火墙的初级类型,依靠自身的数据安全保护机制来控制流出和流入网络的数据。它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址薄进行设置规则。其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判规则。
2、网络地址转化—NAT
网络地址转换是一种用于把内部IP地址转换成临时的、注册的外部IP地址。网络地址转换允许具有私有IP地址的内部网络通过地址转换访问因特网,用户不许要为其网络中每一台机器取得注册的IP地址。全网卡访问外部网络时,将产生一个映射记录,系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。使得有限的外网IP就能满足内网用户对外网的访问,同时还能够避免受到来自外部其他网络的非授权访问或恶意攻击。缓解了地址空间的短缺问题,节省了资源,降低了成本。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。 3、应用代理
代理型防火墙的优点是安全性较高。应用代理完全接管了用户与服务器的访问,把用户主机与服务器之间的数据包的交换通道给隔离起来。应用代理不允许外部主机连接到内部的网络,只允许内部主机使用代理服务器访问Internet主机,同时只有被认为""可信任的""代理服务器才可以允许通过应用代理。在实际的应用中,应用代理的功能是由代理服务器来完成的。
4、状态检测
状态检测防火墙是新一代的防火墙技术,由Check Point公司引入。它监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。通过状态检测技术,动态地维护各个连接的协议状态。
状态检测在包过滤的同时,检查数据包之间的关联性和数据包中的动态变化。
三、防火墙的未来发展方向
在防火墙性能和功能不断发展的同时, 大多数业内专家认为, 以下五个方面将是未来防火墙的发展方向。
1、防火墙的性能将不断突破。随着网络应用的不断丰富, 网络带宽需求会不断的增长, 并对防火墙的性能提出更高的要求, 满足千兆、万兆以及更高的带宽要求是防火墙发展的一个方向。
2、防火墙将不断的深入应用防护。随着网络安全技术的发展, 网络层和操作系统的漏洞将越来越少, 但应用层的安全问题却越来越突出, 防火墙将会把更多的注意力放在深度应用防护上, 不断挖掘应用防护的深度和广度。
3、防火墙将支持更多的应用层协议。对应用协议支持的广度, 也是防火墙的发展趋势, 它将支持更多新的应用协议, 使更多的应用程序能和防火墙协同工作。
4、防火墙将作为企业安全管理平台的一个组件。随着安全管理平台的发展, 未来企业所有的安全设备将由安全管理平台统一调度和管理, 防火墙需要向安全管理平台提供安全策略管理接口、安全事件管理接口、安全审计接口。
5、防火墙将更可靠、更智能化。一方面, 防火墙越来越稳定可靠, 同时也更趋于智能化, 并将解决IPV6 未来会出现的安全问题。
现有防火墙技术仍无法给我们一个相当安全的网络。攻击时的变数太大,所以对网络安全的需求对防火墙提出了更高的要求,在防火墙目前还不算长的生命周期中,虽然问题不断,但是防火墙也从具有普通的过滤功能,逐步丰富了自身的功能,担当了更重的任务。未来,防火墙将成为网络安全技术中不可缺少的一部分。
内容来源:http://www.nexusguard.com.cn 欢迎多多交流!!!