陈恺
华润电力(常熟)有限公司 江苏 常熟 215500
摘要:网络安全产品具有以下特点:首先,网络安全来自于安全策略和技术的多样化,如果采用统一的技术和策略,将是不安全的。其次,网络防火墙技术和机制必须不断变化。第三,随着网络渗透到社会的各个方面,进入网络的方式越来越多。关键词:网络防火墙;发展;应用
网络防火墙通过信息过滤,服务代理,应用程序监视和其他方法来保护内部子网用户的信息安全。但是,现有的防火墙技术无论安全性和适用性如何都具有许多缺陷,并且就网络系统安全性而言会影响防火墙产品的整体性能。为了应对这些传统的防火墙缺陷,近年来,国内外安全产品制造商推出了新的网络防火墙技术,以显著提高网络安全保护水平,实现更高水平的网络安全策略并扩大范围。网络安全防火墙如果适用,可以增加网关设备的数据吞吐量、维护量,以及并发有效连接。
一、网络防火墙新技术及其应用
通过信息过滤、服务代理、应用监控等手段,网络防火墙可以对内部子网用户的信息安全进行保护。然而,传统防火墙技术无论在安全性和适用性上都存在着诸多缺陷,影响了防火墙产品在网络系统安全中发挥其应有的作用。鉴于传统防火墙的这些缺陷性,国内外安全产品厂商近年来纷纷推出新的网络防火墙技术,大大提升了网络的安全防护功能,在更多层次上实现了网络的安全策略,同时也扩大了防火墙作为网关设备的应用范围,提高了网络的数据吞吐能力,使其能够保持更高的并发有效连接数。
二、常规防火墙技术及其缺陷
分组过滤技术是在网络层上根据系统内设置的过滤逻辑对数据包进行分析、选择,即访问控制表。它通过数据流中每个数据包的源地址、目的地址、使用的端口号、协议状态等因素,或者它们的组合,决定是否允许该数据包通过。包滤式防火墙的优点是速度快,逻辑简单,成本低,安装容易,使用方便,网络性能好,透明度高。不足之处是无法控制数据内容,难以精确设置包过滤器,缺乏用户级授权;包的来源地址、目标地址和IP端口号都位于包的头上,极有可能被冒充或窃取,而且一旦突破防火墙,非法访问就可以对主机上的系统和配置进行攻击[1]。
利用代理服务技术,可以把跨越防火墙的所有网络通信链路分成两个部分。通过两台代理服务器之间的连接,实现了防火墙内外计算机系统之间的应用层连接,使外部计算机的网络链路仅能到达代理服务器,从而实现了防火墙内外计算机系统的隔离。优势在于比包过滤防火墙更安全,管理更丰富,更容易记录和控制所有进出通信,对Internel的访问达到内容级过滤。不利之处在于此类产品是基于通用操作系统,易受攻击,执行速度慢,很难适应网络用户的各种新应用[2]。
三、新型防火墙的多重安全机制
(一)对防火墙本身的安全保护
首先,透明接入技术隐藏了防火墙。一般情况下,不透明的堡垒主机接入需要改变网络拓扑,内部子网用户需要改变网关,路由器需要改变路由配置等等,而且路由器和子网用户都需要了解堡垒主机的IP,一旦整个子网的IP地址发生变化,针对堡垒主机的相关改变就非常烦人。透明性访问技术的实现完全克服了上述种种缺陷。同时,具有透明理功能的堡垒主机对于路由器和子网用户来说是完全透明的,也就是说,他们根本感觉不到防火墙的存在,就像网桥一样。这一隐藏技术提高了防火墙本身的安全性。
其次,限制访问管理控制台。新防火墙实现了清晰、方便的GUI界面进行用户管理,同时还增强了管理控制台的访问限制。为了管理防火墙,管理控制台计算机必须以SSL方式加密通信,或者以专用JAVA控制台客户端软件方式加密通信,以及管理控制台计算机的网卡MAC地址、主机IP地址、用户名和口令都必须通过防火墙认证。
对于管理用户可以进行管理层次划分,不同层次的用户进入不同的管理模式。
第三,增强专用硬件平台和专用操作系统。基于工业标准设计的专用硬件平台,对新型防火墙的稳定性和可靠性进行了严格的测试。与此同时,新型防火墙的操作系统是以安全性为首要任务设计的,不同于一般的Unix或Windows操作系统,它受到了各种系统自身安全漏洞的困扰。
(二)安全与性能的统一
首先是带宽管理,新的防火墙允许管理员在任意两个网络对象之间进行通信时定义最大带宽,并且可以将带宽分层,如部门带宽下为组带宽,下为个人带宽等等.这样可以防止带宽被滥用,确保重要通信的平滑。
其次是内核状态检测法,在网络层,内核状态检测防火墙通过一个检测引擎截取数据包,提取与应用层状态相关的信息,并根据这些信息决定是否接受或拒绝该连接。检测引擎维护一个动态状态信息表,并检查随后的分组。在任何连接的参数发生意外更改时,该连接将被终止。该方法提供了高安全性的解决方案,实现了对应用层的精细控制,并具有良好的性能、适应性和可扩展性。一般情况下,状态检测防火墙还包含代理级别的服务,为特定的应用程序提供额外的数据内容支持。该状态检测由系统内核完成,有效地保证了系统的处理性能。
三是负载平衡,新一代防火墙既支持两个防火墙的负载均衡,也支持多个服务器的负载均衡。不仅不同的网络环境更加适用,而且新的防火墙支持负载均衡功能,能够在高带宽的网络环境中有效地提高性能,同时在接口间实现了备份,当一台计算机发生故障时,另一台计算机可以接管其工作。
四是双机备份,为确保网络的高可用性和高可靠性,新防火墙提出了一个双机备份功能,即在同一网络节点上有两个配置相同的防火墙。一个通常处于工作状态的主防火墙,另一个处于备份状态的主防火墙。在主防火墙出现意外宕机、网络故障、硬件故障等情况下,主从防火墙自动切换到工作状态,主从防火墙替代主从防火墙正常工作,确保网络正常运行。转换过程不需要人为操作和其他系统参与,转换时间可按秒计算。新防火墙还实现了状态传送协议,当一个防火墙发生故障时,这个防火墙上的连接无需重新建立,就能透明地迁移到另一个防火墙上,用户不会察觉到它。
(三)支持多媒体和其他新的网络应用程序。
第一,新的防火墙技术支持基于应用程序的内容过滤。例如,它支持脚本编制和代码过滤,并且可以处理HTML页面中的各种Java小程序和脚本。避免潜在的恶意软件攻击。它支持对各种多媒体数据(例如如图照片,音频和视频)进行过滤,以提高对网络带宽的有效利用并提高公司员工的工作效率。它可以帮助配置文件类型表,该表拒绝用户上载和下载到服务器并禁止文件类型范围内的文件传输请求。支持SMTP协议电子邮件附件内容过滤。它支持POP3协议内容过滤,并使用MIME协议将附件类型附加到电子邮件,从而允许用户创建危险附件类型的列表。当防火墙收到此文件类型范围内的附件时,它将修改文件后缀。临时失效可以有效地防止电子邮件病毒攻击[3]。
第二,新的防火墙可以组合多个网卡并在内部划分多个网段。传统防火墙只能阻止外部用户对内部网络的攻击,而新防火墙可以通过基于外部和内部网络上其他应用程序提供的服务配置连接到不同子网中的防火墙的网络来实现安全性。防火墙策略控制内部用户对内部服务器或应用程序的访问。
第三,新的防火墙支持基于用户身份的网络访问控制。它不仅具有内置的用户管理和身份验证界面,而且还支持外部用户身份验证。通过根据用户身份验证条件动态调整安全策略,防火墙可以改善用户对网络权限的访问。当网络关闭时,用户将自动注销。
结语:
作为内网和外网之间的第一道安全屏障,网络防火墙技术得到了重视,就其产品的主流趋势而言,多数代理服务器都采用了包滤技术,这两种技术的混合应