現(xiàn)階段的防火墻技術(shù)知識(shí)介紹

　　Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng))，它能夠使機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性大大增強(qiáng)。要使一個(gè)防火墻有效，所有的Internet信息都必須經(jīng)過這一道防火墻，接受防火墻的安全檢查。只有授權(quán)的數(shù)據(jù)才能夠通過防火墻，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦發(fā)生被攻擊者現(xiàn)象時(shí)，就不能為我們提供任何的保護(hù)了。――我們應(yīng)當(dāng)特別注意的是，Internet不只是由堡壘主機(jī)和路由器以及其他設(shè)備共同形成的防火墻，它本身還是一個(gè)重要的安全方式。下面就由學(xué)習(xí)啦小編跟大家說說現(xiàn)階段的防火墻技術(shù)知識(shí)有哪些。

　　現(xiàn)階段的防火墻技術(shù)知識(shí)介紹一：

　　一、防火墻功能

　　總結(jié)來說，有這樣幾個(gè)功能：

　　(一)將不可靠的服務(wù)與不合法的用戶清除。

　　(二)訪問特殊的網(wǎng)站會(huì)有限制。

　　(三)可以進(jìn)行互聯(lián)網(wǎng)的安全和預(yù)警的檢測(cè)。

　　二、防火墻的技術(shù)

　　根據(jù)層次可以將防火墻分成兩類，一個(gè)是報(bào)文過濾，另一個(gè)是應(yīng)用層網(wǎng)關(guān)。前者是于IP層進(jìn)行的，在是因特網(wǎng)時(shí)，完全不能感受到它，操作十分簡(jiǎn)單。它有一個(gè)特別明顯的弱點(diǎn)就是不可以在用戶的級(jí)別中進(jìn)行過濾處理，也就是無法辨別不一樣的用戶，也不能阻止惡意盜取IP地址的行為。若是有人將自己的IP地址改成一個(gè)合法的地址，完全能夠輕松地躲過過濾的危機(jī)。

　　這種過濾形式也可以用應(yīng)用層網(wǎng)關(guān)將弱點(diǎn)改善。可以利用多種方式對(duì)應(yīng)用層進(jìn)行防火墻的設(shè)置，以下就是幾種常見的設(shè)計(jì)。

　　(一)應(yīng)用代理服務(wù)器(Application Gateway Proxy)

　　此類防火墻是在應(yīng)用層進(jìn)行保護(hù)的，主要就是檢查授權(quán)以及一些代理業(yè)務(wù)。如果外面的主機(jī)想要訪問這個(gè)網(wǎng)站，就一定要先在這里驗(yàn)證一下身份。只有驗(yàn)證合格之后，才會(huì)專門為用戶專門一個(gè)程序，將外面的主機(jī)連接進(jìn)來。整個(gè)過程中，防火墻完全可以攔截外部主機(jī)的訪問，也可以控制訪問的方式與時(shí)間。另外，受到了防火墻保護(hù)的內(nèi)部用戶如果需要連接到外部的主機(jī)，也要經(jīng)過驗(yàn)證，才能執(zhí)行各項(xiàng)指令。

　　這種防火墻有一個(gè)顯著的優(yōu)勢(shì)，就是將內(nèi)部的IP地址掩藏起來，也能夠給個(gè)別的用戶訪問的權(quán)利。即使有人真的運(yùn)用了一個(gè)正常的IP地址，也無法經(jīng)過嚴(yán)格的認(rèn)證程序。這種方式在安全性上比報(bào)文過濾更出色。然而，這種方式也因此讓應(yīng)用網(wǎng)關(guān)無法保持透明度，用戶往往需要不斷認(rèn)證，有許多不方面的地方。另外，這種技術(shù)還要在每個(gè)網(wǎng)關(guān)都設(shè)置專門的訪問程序。

　　(二)回路級(jí)代理服務(wù)器

　　這就是人們常用的一般的服務(wù)器，可以進(jìn)行多項(xiàng)協(xié)議，卻無法解釋應(yīng)用協(xié)議，一定要以其它的方式來獲取信息。因此，這種服務(wù)器往往需要用戶程序進(jìn)行修改。

　　這種服務(wù)器也被稱為套接字服務(wù)器，意味著這是一個(gè)以國(guó)際標(biāo)準(zhǔn)為準(zhǔn)神的一種技術(shù)。如果受到了保護(hù)的客戶機(jī)要跟外面的網(wǎng)絡(luò)進(jìn)行信息的交流，只有防火墻上面的服務(wù)器對(duì)用戶進(jìn)行各項(xiàng)的認(rèn)證之后，沒有問題，才能讓套接字服務(wù)器跟外面的服務(wù)器進(jìn)行連接。站在用戶的位置上，看到的保護(hù)網(wǎng)與外面的網(wǎng)絡(luò)進(jìn)行信息交流的時(shí)候完全是透明的，根本感受不到有一層防火墻，就因?yàn)樗械挠脩舳疾槐氐卿涍M(jìn)入防火墻。然而，在客戶端使用的用戶所用的軟件一定要適應(yīng) “Socketsified API”，受到保護(hù)的用戶在進(jìn)入公共網(wǎng)的時(shí)候所用的IP地址全都是屬于防火墻的。

　　(三)IP通道(IP Tunnels)

　　有時(shí)會(huì)有這樣的情況出現(xiàn)，一個(gè)公司有多個(gè)分公司，利用互聯(lián)網(wǎng)互相傳遞信息。這時(shí)候，就能夠利用IP Tunnels來阻礙網(wǎng)上的黑客對(duì)信息的攔截，這樣就形成了一個(gè)互聯(lián)網(wǎng)上的虛擬企業(yè)系統(tǒng)。

　　假如分公司的網(wǎng)絡(luò)中的一臺(tái)主機(jī)要傳遞報(bào)文給另一個(gè)分公司，這個(gè)報(bào)文在通過本網(wǎng)的防火墻的時(shí)候，會(huì)先判斷一下報(bào)文是不是發(fā)到同一個(gè)系統(tǒng)中的分公司的。如果是，就再添上一個(gè)爆頭，這樣就形成了到另一個(gè)分公司防火墻的報(bào)文。原先發(fā)出報(bào)文的IP地址也會(huì)加入數(shù)據(jù)系統(tǒng)一起加密傳送到另一個(gè)分公司的防火墻。;另一個(gè)分公司的防火墻在接收到這則報(bào)文以后，會(huì)再判斷其IP地址是不是同一個(gè)公司系統(tǒng)之內(nèi)的。如果是，就將報(bào)頭去除，再進(jìn)行解密，傳輸?shù)骄W(wǎng)絡(luò)中。從網(wǎng)絡(luò)上看，就是兩方的防火墻在進(jìn)行信息交流。如果有黑客進(jìn)行偽裝的報(bào)文傳送，就會(huì)因?yàn)椴荒苓M(jìn)行解密而被傳送失敗。

　　(四)網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT Network Address Translate)

　　如果受到保護(hù)的網(wǎng)絡(luò)連接到了互聯(lián)網(wǎng)上，用戶訪問互聯(lián)網(wǎng)的時(shí)候，就必須用合法的IP地址。然而，合法的互聯(lián)網(wǎng)地址數(shù)量是有限的，并且受到保護(hù)的網(wǎng)絡(luò)一般也都有獨(dú)到的網(wǎng)絡(luò)地址方案。網(wǎng)絡(luò)地址轉(zhuǎn)換器是將一個(gè)合法的網(wǎng)絡(luò)地址集團(tuán)安裝到防火墻上面。如果內(nèi)網(wǎng)的用戶想要訪問互聯(lián)網(wǎng)，防火墻就會(huì)自動(dòng)從準(zhǔn)備好的地址集團(tuán)中給用戶挑選一個(gè)還沒有分配的地址，這個(gè)用戶可以利用這一地址傳遞信息。另外，一些內(nèi)網(wǎng)的服務(wù)器，如Web，轉(zhuǎn)換器可以給它分配一個(gè)固定的地址來使用。外網(wǎng)的用戶也可以在經(jīng)過了防火墻驗(yàn)證之后訪問到內(nèi)網(wǎng)的信息。此類技術(shù)可以讓主機(jī)多、IP地址少的問題得到緩解，在外網(wǎng)也無法獲取內(nèi)網(wǎng)的IP地址，更加安全可靠。

　　(五)隔離域名服務(wù)器(Split Domain Name Sever)

　　此類技術(shù)是利用防火墻來分離受到了保護(hù)的網(wǎng)絡(luò)所擁有的域名服務(wù)器與外網(wǎng)的域名服務(wù)器的，這樣外網(wǎng)的域名服務(wù)器只可以見到防火墻上的IP地址，不能看到受到了保護(hù)的網(wǎng)絡(luò)的信息，如此就能夠讓受到了保護(hù)的網(wǎng)絡(luò)擁有的IP地址得到保護(hù)。

　　(六)郵件轉(zhuǎn)發(fā)技術(shù)(Mail forwarding)

　　如果防火墻運(yùn)用了以上說的幾類技術(shù)形式而讓外網(wǎng)只能夠了解到防火墻上的IP地址和域名的時(shí)候，那些外網(wǎng)傳遞過來的郵件也只能發(fā)送到防火墻。防火墻會(huì)對(duì)郵件進(jìn)行來源檢測(cè)，如果其來源的地址是合法的，也是符合傳遞要求的，防火墻才會(huì)轉(zhuǎn)換郵件，傳送到內(nèi)網(wǎng)的郵件服務(wù)器，再轉(zhuǎn)發(fā)到目標(biāo)主機(jī)上。

　　現(xiàn)階段的防火墻技術(shù)知識(shí)介紹二：

　　21世紀(jì)全世界的計(jì)算機(jī)不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。

　　一、防火墻的分類

　　根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

　　(一)包過濾型

　　包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。

　　(二)網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。

　　(三)代理型

　　代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。

　　(四)監(jiān)測(cè)型

　　監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。

　　二、現(xiàn)代企業(yè)面臨的安全風(fēng)險(xiǎn)

　　現(xiàn)代企業(yè)對(duì)網(wǎng)絡(luò)依賴主要來自于運(yùn)行在網(wǎng)絡(luò)上的各種應(yīng)用，同樣的，網(wǎng)絡(luò)的范圍也覆蓋到整個(gè)企業(yè)的運(yùn)營(yíng)區(qū)域。

　　(一)網(wǎng)絡(luò)內(nèi)部

　　網(wǎng)絡(luò)內(nèi)部，即面向企業(yè)內(nèi)部員工的工作站，我們不能保證用戶每一次操作都是正確與安全的，絕大情況下，他們僅知道如何去使用面前的計(jì)算機(jī)來完成屬于自己的本職工作。

　　(二)混合性威脅

　　用多種方法和技術(shù)來傳播和實(shí)施的攻擊或威脅，因而必須有多種方法來保護(hù)和壓制這種攻擊或威脅。如：CodeRed.CodeRedII.CodeBlue.Nimda.

　　三、利用防火墻解決企業(yè)中存在的安全風(fēng)險(xiǎn)

　　通過在內(nèi)部網(wǎng)絡(luò)中的每臺(tái)工作站上部署防病毒，防火墻，入侵檢測(cè)，補(bǔ)丁管理與系統(tǒng)監(jiān)控，我們可以集中收集內(nèi)部網(wǎng)絡(luò)中的威脅，分析面對(duì)的風(fēng)險(xiǎn)，靈活適當(dāng)?shù)恼{(diào)整安全管理策略。更重要的就是從網(wǎng)絡(luò)結(jié)構(gòu)上的接入層，匯聚層和核心交換層設(shè)備上做好訪問控制與流量管理。

　　如果部署安全策略，在提高安全性的同時(shí)，勢(shì)必會(huì)影響其可用性。這個(gè)矛盾是不可調(diào)和的。關(guān)鍵區(qū)域的防火墻主要是面對(duì)內(nèi)部用戶，保護(hù)重要服務(wù)和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，也要提供諸如NAT服務(wù)，出站控制，遠(yuǎn)程用戶和移動(dòng)用戶訪問的授權(quán)等。我們可以將各種防御的職能根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)和提供的應(yīng)用來分派到兩類防火墻上來。即內(nèi)部防火墻重點(diǎn)保護(hù)DMZ區(qū)域，提供深層次的檢測(cè)與告警。因?yàn)橐坏┥婕暗綌?shù)據(jù)包深入檢測(cè)，將會(huì)大大影響設(shè)備的性能。

　　如今的防火墻的功能越來越強(qiáng)大，這里我們選擇業(yè)界一流的防火墻CheckPoint的StatefulInspection(狀態(tài)檢測(cè)技術(shù))和WebIntelligence(Web智能技術(shù))來簡(jiǎn)單介紹下對(duì)于防火墻的智能防御與Web安全保護(hù)。簡(jiǎn)單來說，狀態(tài)檢測(cè)技術(shù)工作在OSI參考模型的DataLink與Network層之間，數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中，在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時(shí)間被檢查。防火墻會(huì)生成一個(gè)會(huì)話的狀態(tài)表，InspectEngine檢測(cè)引擎依照RFC標(biāo)準(zhǔn)維護(hù)和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專利技術(shù)。狀態(tài)檢測(cè)對(duì)流量的控制效率是很高的，同時(shí)對(duì)于防火墻的負(fù)載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小?？梢员ＷC整個(gè)防火墻快速，有效的控制數(shù)據(jù)的進(jìn)出和做出控制決策。

　　CheckPoint的WebIntelligence，有一種名為MaliciousCodeProt-ector(可疑代碼防護(hù)器)來提供對(duì)應(yīng)用層的保護(hù)。如何去判斷上述的一些威脅呢?MCP使用了通過分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼，模擬行來判斷攻擊，將可執(zhí)行代碼放置到一個(gè)虛擬的仿真服務(wù)器中運(yùn)行，檢測(cè)是否對(duì)虛擬系統(tǒng)造成威脅，最終來決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢(shì)是可以非常精確的阻止已知和未知攻擊，并且誤報(bào)率相當(dāng)?shù)汀?/p>

　　四、結(jié)語

　　一個(gè)好的防火墻應(yīng)該具有高度安全性、高透明性和高網(wǎng)絡(luò)性能。此外，人們也在開展其他計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究，隨著Internet在我國(guó)的迅速發(fā)展，防火墻技術(shù)引起了各方面的廣泛關(guān)注。一方面在對(duì)國(guó)外信息安全和防火墻技術(shù)的發(fā)展進(jìn)行跟蹤，另一方面也已經(jīng)自行開展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術(shù)提供安全保證，對(duì)其它方面的技術(shù)尚缺乏深入了解。防火墻技術(shù)還處在一個(gè)發(fā)展階段，仍有許多問題有待解決。因此，密切關(guān)注防火墻的最新發(fā)展，對(duì)推動(dòng)Internet在我國(guó)的健康發(fā)展有著重要的意義。