论文—防火墙技术分析
因而, 络安全成了人们关问题。
而且由络开放性, 络安全防护方式发生了根变化, 使得安全问题更突出。
情形下, 防火墙技术应运而生。
防火墙技术可根据防方式和侧重不而分很多种类型, 但总体讲可分以下几类。
代防火墙, 又称包滤防火墙, 主要通对数据包地、目地、端口等参数定是否允许该数据包通, 对其进行发, 但这种防火墙很难抵御地欺骗等攻击, 而且审计功能很差。
二代防火墙, 也称代理器,它用提供络级控制, 起到外部络向被保护部络申请接作用, 这种方法可以有效地防止对部络直接攻击, 安全性较高。
三代防火墙有效地提高了防火墙安全性, 称状态监控功能防火墙, 它可以对每层数据包进行检测和监控。
随着络攻击手段和信息安全技术发展, 新代功能更强、安全性更强防火墙已问世,这阶段防火墙已超出了原传统义上防火墙畴, 已演变成全方位安全技术集成系统, 我们称四代防火墙, 它可以抵御目前常见络攻击手段, 如地欺骗、特洛伊木马攻击、玩蠕虫、口令探寻攻击、邮件攻击等等。
五代防火墙主要指是复合型防火墙指综合了状态检测与透明代理新代防火墙进步基架构把防病毒、容滤整合到防火墙里其还包括V、功能多单元融体是种新突破。
二、防火墙定义 “ 防火墙” 这术语参考应用建筑结构里安全技术。
楼宇里用起分隔作用墙, 用隔离不公司或房, 尽可能起防火作用。
旦某单元起火这种方法保护了其它居住者。
然而, 多数防火墙里都有重要门, 允许人们进人或离开楼。
因, 虽然防火墙保护了人们安全, 但这门提供增强安全性允许必要访问。
计算机络, 络防火墙扮演着防备潜作用。
到现你要准备实施你防火墙, 要知道你公司要什么样并且什么样对部用户和外部用户都是有效。
所谓防火墙指是由软件和硬件设备组合而成、部和外部、专用与公共界面上构造保护屏障是种获取安全性方法形象说法它是种计算机硬件和软件结合使r与r建立起安全关(r G)从而保护部免受非法用户侵入防火墙主要由访问规则、验证工具、包滤和应用关部分组成。
二、三代防火墙。
989年贝尔实验室v r和r rk推出了二代防火墙即电路层防火墙提出了三代防火墙——应用层防火墙(代理防火墙)初步结构。
四代防火墙。
99年信息科学院BbBr开发出了基动态包滤( k lr)技术四代防火墙演变目前所说状态监视(l )技术。
99年以色列k公司开发出了采用这种技术商业化产品。
五代防火墙。
998年公司推出了种适应代理(v rx)技术并其产品Gl rll r 得以实现给代理类型防火墙赋予了全新义可以称五代防火墙。
体化安全关( r g)。
即是统威胁管理主要包含入侵防御、V、防火墙、络和电子邮件滤等。
随着万兆出现代替防火墙趋势不可避免。
国际上r飞塔公司高性能占据了定市场份额国启明星辰高性能则直领跑国市场。
三、防火墙技术 防火墙通常使用安全控制手段主要有包滤、状态检测、代理。
包滤技术是种简单、有效安全控制技术它通络相连接设备上加允许、禁止某些特定地、目地、端口等规则对通设备数据包进行检限制数据包进出部络。
包滤优是对用户透明传输性能高。
但由安全控制层次络层、传输层安全控制力也只限地、目地和端口因而只能进行较初步安全控制对恶拥塞攻击、存覆盖攻击或病毒等高层次攻击手段则无能力。
对新建应用连接状态检测检预先设置安全规则允许合规则连接通并存记录下该连接相关信息生成状态表。
这种方式处由不要对每数据包进行规则检而是连接续数据包(通常是量数据包)通散列算法直接进行状态检从而使得性能得到了较提高;而且由状态表是动态因而可以有选择地、动态地开通0以上端口使得安全性得到进步地提高。
四、防火墙工作原理 、 包滤防火墙 包滤防火墙般路由器上实现用以滤用户定义容如地。
这样系统就具有很传输性能可扩展能力强。
但是包滤防火墙安全性有定缺陷因系统对应用层信息无感知也就是说防火墙不理通信容所以可能被黑客所攻破。
(包滤防火墙工作原理图) 、 应用关防火墙 应用关防火墙检所有应用层信息包并将检容信息放入策程从而提高络安全性。
每客户机/器通信要两连接是从客户端到防火墙另是从防火墙到器。
另外每代理要不应用进程或台运行程序对每新应用必须添加针对应用程序否则不能使用该。
(应用关防火墙工作原理图) 3、 状态检测防火墙 状态检测防火墙基保持了简单包滤防火墙优性能比较对应用是透明基础上对安全性有了幅提升。
这种防火墙摒弃了简单包滤防火墙仅仅考察进出络数据包不关心数据包状态缺防火墙核心部分建立状态连接表维护了连接将进出络数据当成事件处理。
可以这样说状态检测包滤防火墙规了络层和传输层行而应用代理型防火墙则是规了特定应用协议上行。
(状态检测防火墙工作原理图) 、 复合型防火墙 复合型防火墙是指综合了状态检测与透明代理新代防火墙进步基架构把防病毒、容滤整合到防火墙里其还包括V、功能多单元融体是种新突破。
常规防火墙并不能防止隐蔽络流量里攻击络界面对应用层扫描把防病毒、容滤与防火墙结合起这体现了络与信息安全新思路。
它络边界实施七层容扫描实现了实络边缘布署病毒防护、容滤等应用层措施。
复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用功能模块。
以防火墙功能基础平台以其他安全模块多层次应用环境构筑了套完整立体络安全方案。
(复合型防火墙工作原理图) ()新型复合型防火墙设计 ①合并外路由器如路由器有足够功能和灵活性可将、外路由功能由台路由器完成。
优是凡合路由器规则数据包可、外部传;缺仍要参数络要台各端口可以分别设置输入输出路由器。
如下图 ②合并堡垒主机和外部路由器采用让双宿主主机充当堡垒主机(堡垒主机是种被强化可以防御进攻计算机作进入部络检以达到把整络安全问题集某主机上从而省省力不用考虑其它主机安全目)和外部路由器机构。
优是部络性能增强。
缺使系统效能(信息交换)变差灵活性低由堡垒主机对外更暴露保护更加困难。
优部处理数据速增快。
如下图 五、四类防火墙对比 包滤防火墙包滤防火墙不检数据区包滤防火墙不建立连接状态表前报无关应用层控制很弱。
状态检测防火墙不检数据区建立连接状态表前报相关应用层控制很弱。
复合型防火墙可以检整数据包容根据要建立连接状态表络层保护强应用层控制细会话控制较弱。
()防火墙能有效地记录r上活动。
(3)防火墙限制暴露用户。
防火墙能够用隔开络段与另段。
这样能够防止影响段问题通整络传播。
所有进出信息都必须通防火墙防火墙便成安全问题检使可疑访问被拒绝门外。
、防火墙脆弱性 防火墙只能提供络安全性不能保证络绝对安全它也难以防络部攻击和病毒侵犯。
防火墙保护你免受类攻击威胁但是却不能防止从L 部攻击若是部人和外部人合起即使防火墙再强也是没有优势。
随着技术发展还有些破方法也使得防火墙造成定隐患。
七、防火墙发展趋势 防火墙发展趋势是向高速、多功能化、更安全方向发展。
目前防火墙很局限性是速不够。
要实现高速防火墙, 算法是关键, 因络处理器集成了很多硬件协处理单元, 因比较容易实现高速, 对采用纯防火墙, 就必须有算法支撑, 例如L算法。
多功能也是防火墙发展方向, 鉴目前路由器和防火器价格都比较高, 组环境也越越复杂, 般用户总希望防火墙可以支持更多功能, 满足组和节省投要。
随着算法和芯片技术发展, 防火墙会更多地参与应用层分析, 应用提供更安全保障。