当前位置:文档之家› 防火墙技术及其发展趋势

防火墙技术及其发展趋势

浅议防火墙技术及其发展趋势
中图分类号:tp 文献标识码:a 文章编号:1007-0745(2008)12-00
摘要:随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。

这主要体现在防火墙体系结构、包过滤技术和防火墙系统管理三方面。

关键词:防火墙技术多级过滤技术分布式防火墙
一、防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,是当今网络安全领域上最为成熟的技术,也是市场上最主要的网络安全产品。

传统的防火墙通常是基于访问控制列表(acl)进行包过滤的,位于在内部专用网的入口处,也称”边界防火墙”。

随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别也非常大。

二、防火墙未来的技术发展趋势
1、改进防火墙系统结构,巩固内网的通信和安全。

网络技术的日新月异的确带给人们越来越多的便捷,然而却使得传统的防火墙技术面临新的挑战。

①虚拟专用网(vpn)的引入。

随着企业规模逐渐扩大,合作伙伴也在不断增多,就需要通过公共网络来建立自己的专用网络来满足业务需求。

②内部网络的安全威胁日益加大。


起网络安全,人们首先想到的总是黑客攻击和病毒危害。

然而,来自企业网络内部的威胁却远远大于来自外网的攻击。

另外,无线上网设备的接入也是导致内网结构不稳定的因素之一。

因为传统边界防火墙是把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。

2、防火墙包过滤技术发展趋势。

一些防火墙厂商把在aaa系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能,该功能在无线网络应用中是非常必要的。

所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。

在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的ip源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用ftp、smtp等各种网关,控制和监测internet提供的所用通用服务。

这种方法可以弥补以上各种单独过滤技术的不足。

现在通常被称之为”病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。

这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。

拥有病毒防护功能的防火墙可以大大减少公司的损失。

3、防火墙的系统管理发展趋势。

集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。

快速响应和快速防御也要求采用集中式管理系统。

目前这种分布式防火墙早已在cisco(思
科)、3com等大的网络设备开发商中开发成功,也就是目前所称的”分布式防火墙”和”嵌入式防火墙”。

防火墙的系统管理能够更早地发现潜在的威胁并预防攻击的发生。

日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。

随着网络安全技术的发展,出现了”建立以防火墙为核心的网络安全体系”。

因为仅现有的防火墙技术难以满足当前网络安全需求,需要通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。

三、分布式防火墙技术
分布式防火墙是一种主机驻留式的安全系统,负责对网络边界、各子网和网络内部各节点之间的安全防护,它的防火墙体系结构由网络防火墙、主机防火墙、中心管理这三部分所组成。

它是以主机为保护对象,它的设计理念是主机以外的任何用户访问都是不可信任的,都需要进行过滤。

它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。

分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以”分布式防火墙”是一个完整的系统,而不是单一的产品。

根据其所需完成的功能,新的防火墙体系结构包含如下部分:
1.网络防火墙(network firewall):有纯软件和硬件两种产品,它是用于内部网与外部网之间,以及内部网各子网之间的防护。

与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护
层,这样整个网络的安全防护体系就显得更加全面,更加可靠。

2.主机防火墙(host firewall):同样也有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机进行防护。

它作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。

这样防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。

3.中心管理(central managerment):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。

这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。

这样防火墙就可进行智能管理,提高了防火墙的安全防护灵活性,具备可管理性。

参考文献:
[1]朱雁辉编著.windows防火墙与网络封包截获技术.电子工业出版社;2002-07;
[2]楚狂等编著.网络安全与防火墙技术.人民邮电出版社;2000-04;。

相关主题

相关文档推荐: