|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
防火墙技术详解及技术发展趋势
|
日期:2007年10月25日 作者: 查看:[大字体
中字体 小字体]
|
(3). 网络安全产品的系统化
随着网络安全技术的发展,现在有一种提法,叫做"建立以防火墙为核心的网络安全体系"。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
如现在的IDS设备就能很好地与防火墙一起联合。一般情况下,为了确保系统的通信性能不受安全设备的影响太大,IDS设备不能像防火墙一样置于网络入口处,只能置于旁路位置。而在实际使用中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止。显然,要让处于旁路侦听的IDS完成这个任务又太难为,同时主链路又不能串接太多类似设备。在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。
目前主要有两种解决办法:一种是直接把IDS、病毒检测部分直接"做"到防火墙中,使防火墙具有IDS和病毒检测设备的功能;另一种是各个产品分立,通过某种通讯方式形成一个整体,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。目前更看重后一种方案,因为它实现方式较前一种容易许多。
三、分布式防火墙技术
在前面已提到一种新的防火墙技术,即分布式防火墙技术已在逐渐兴起,并在国外一些大的网络设备开发商中得到了实现,由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受。下面我们就来介绍一下这种新型的防火墙技术。
1. 分布式防火墙的产生
因为传统的防火墙设置在网络边界,外于内、外部互联网之间,所以称为"边界防火墙(Perimeter Firewall)"。随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护,除非对每一台主机都安装防火墙,这是不可能的。基于此,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。它可以很好地解决边界防火墙以上的不足,当然不是为每对路主机安装防火墙,而是把防火墙的安全防护系统延伸到网络中各对台主机。一方面有效地保证了用户的投资不会很高,另一方面给网络所带来的安全防护是非常全面的。
我们都知道,传统边界防火墙用于限制被保护企业内部网络与外部网络(通常是互联网)之间相互进行信息存取、传递操作,它所处的位置在内部网络与外部网络之间。实际上,所有以前出现的各种不同类型的防火墙,从简单的包过滤在应用层代理以至自适应代理,都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一种主机驻留式的安全系统,它是以主机为保护对象,它的设计理念是主机以外的任何用户访问都是不可信任的,都需要进行过滤。当然在实际应用中,也不是要求对网络中每对台主机都安装这样的系统,这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。
分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以"分布式防火墙"是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙体系结构包含如下部分:
·网络防火墙(Network Firewall):这一部分有的公司采用的是纯软件方式,而有的可以提供相应的硬件支持。它是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。不过在功能与传统的边界式防火墙类似。
·主机防火墙(Host Firewall):同样也有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的,也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护,比起网络层更加彻底。
·中心管理(Central Managerment):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙的安全防护灵活性,具备可管理性。
2. 分布式防火墙的主要特点
综合起来这种新的防火墙技术具有以下几个主要特点:
(1). 主机驻留
这种分布式防火墙的最主要特点就是采用主机驻留方式,所以称之为"主机防火墙"(传统边界防火墙通常称之为"网络防火墙")。它的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
(2). 嵌入操作系统内核
这主要是针对目前的纯软件式分布式防火墙来说的.操作系统自身存在许多安全漏洞目前是众所周知的,运行在其上的应用软件无一不受到威,。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
上一篇:MonoRail学习笔记之页面缓存
下一篇:解析:认识代理防火墙的优劣
|
| 相关文章: |
|
|
|
| 相关软件: |
|
|
|
|
