|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作��,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機�、存儲資源、數據... 網絡技術是從1990年代中期發展起來的新技術��,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作�,使人們能夠透明地使用資源的整體能力并按需獲取信息��。資源包括高性能計算機、存儲資源、數據資源、信息資源�、知識資源�、專家資源����、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。
(王曉東:清華大學計算機系碩士學位畢業��。曾任清華同方股份有限公司研發中心副總經理�,先后主持過北京供電局、第22屆萬國郵政聯盟大會、北京外國語大學����、山東省農行��、中國五金礦產進出口總公司新辦公樓等信息系統的設計和建設。)
互聯網的安全是一個不能忽視的問題。人們在享受互聯網帶來的方便與快捷的同時�,也要面對互聯網開放帶來的數據安全方面的新挑戰和新危險����。
為了保障安全�,當用戶與互聯網連接時,可以在中間加入一個或多個中介系統�,防止非法入侵者通過網絡進行攻擊��,并提供數據可靠性、完整性方面安全和審查控制����,這些中間系統就是防火墻(Firewall)。它通過監測��、限制、修改跨越防火墻的數據流,盡可能地對外屏蔽網絡內部的結構����、信息和運行情況�,以此來實現內部網絡的安全保護�。
發展:從包過濾到狀態檢測
防火墻(Firewall)是用一個或一組網絡設備(計算機系統或路由器等),在兩個或多個網絡間加強訪問控制,以保護一個網絡不受來自另一個網絡攻擊的安全技術��。防火墻的組成可以表示為:防火墻=過濾器+安全策略(+網關)��,它是一種非常有效的網絡安全技術��。通常,防火墻服務于以下幾個目的:
限制他人進入內部網絡,過濾掉不安全服務和非法用戶��;
限定人們訪問特殊站點�;
為監視互聯網安全提供方便。
防火墻的主要技術類型包括數據包過濾(Packet Filter)、應用代理服務器(Application-level Proxy Server)、狀態檢測防火墻����。
1�、包過濾防火墻
數據包過濾(Packet Filtering)技術是指在網絡層對數據包進行分析�、選擇。選擇的依據是系統內設置的過濾邏輯,稱為訪問控制表(Access Control Table)。通過檢查數據流中每一個數據包的源地址、目的地址����、所用端口號��、協議狀態等因素或它們的組合來確定是否允許該數據包通過。
數據包過濾防火墻的優點是速度快、邏輯簡單����、成本低����、易于安裝和使用��,網絡性能和透明度好�,廣泛地應用于Cisco��、Sonic System、Lucent/Ascend等公司路由器上����。缺點是配置困難�,容易出現漏洞����,而且為特定服務開放的端口存在著潛在危險;
2�、應用代理服務器
應用代理防火墻是第二代產品�,應用代理服務技術能夠將所有跨越防火墻的網絡通信鏈路分為兩段��,使得網絡內部的客戶不直接與外部的服務器通信��。防火墻內外計算機系統間應用層的連接由兩個代理服務器之間的連接來實現。外部計算機的網絡鏈路只能到達代理服務器�,從而起到隔離防火墻內外計算機系統的作用��。
不過它的缺點也很明顯:執行速度慢,操作系統容易遭到攻擊�。應用代理防火墻需要在一定范圍內定制用戶的系統����,這取決于所使用的應用程序����,而一些應用程序可能根本不支持代理連接。
3��、狀態檢測防火墻
狀態檢測防火墻由Check Point率先提出��,又稱動態包過濾防火墻��。狀態檢測防火墻在網絡層由一個檢查引擎截獲數據包并抽取出與應用層狀態有關的信息,并以此作為依據決定對該數據包是接受還是拒絕�。檢查引擎維護一個動態的狀態信息表并對后續的數據包進行檢查����。一旦發現任何連接的參數有意外變化��,該連接就被中止。
狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性��,能夠根據協議����、端口及源地址����、目的地址的具體情況決定數據包是否可以通過����。對于每個安全策略允許的請求,狀態檢測防火墻啟動相應的進程��,可以快速地確認符合授權流通標準的數據包����,這使得本身的運行非常快速��。
狀態檢測防火墻已經在國內外得到廣泛應用�,這種防火墻唯一的缺點是狀態檢測可能造成網絡連接的某種遲滯,不過硬件運行速度越快�,這個問題就越不易察覺����。
趨勢:用戶需求推動發展
從用戶的角度看����,防火墻正逐步呈現出多功能、高性能�、專業化��、高質量的特點。多功能與用戶的安全需求成正比�,很多用戶希望防火墻在訪問控制的基礎上還可以提供如VPN、審計等其它安全功能。
專業化是另外一個趨勢��,它是市場細分的結果�。由于商業、政府、軍隊等行業需求不同�,防火墻需要針對不同應用進行類別化處理��。用戶也希望廠商能夠針對不同應用推出相應產品,以適宜不同的安全級別。
從解決方式的角度講����,防火墻市場正朝著三個方向發展�。一類是主張防火墻功能大而全�,使防火墻成為用戶網絡的一個安全平臺,即胖防火墻����;一類是瘦防火墻�,功能很專一�,以防火墻為核心,實現廠商之間聯動����;還有就是在二者之間折中�,在產品聯動的基礎上��,滿足多功能的要求�,應該說這種折中方案更適合大部分企業用戶的需求�。
從以上的幾個角度可以看出,用戶的需求是防火墻技術發展的原動力,決定著防火墻應用的方向。比如要確保實現高質量的產品,就需要提供統一配套的服務����,從而使防火墻可持續發展����。防火墻將逐步走向與其它安全產品的分工協作��,在滿足多功能要求的同時�,確保性能要求����。
提示:防火墻并非萬能
應該指出的是�,很多人眼中的網絡安全就是防火墻,這是非常不全面的想法�。雖然防火墻在企業網絡中不可或缺��,但它只是對網絡進行了較低層次的安全保障。從技術上講�,防火墻產品主要是“身份認證”級的安全產品����,是在網絡平臺一個系統單元的安全技術����,針對協議或應用服務確定訪問是否能穿過防火墻�。
例如防火墻的安全控制主要是基于IP地址的����,難于為用戶在防火墻內外提供一致的安全策略。而且,防火墻只實現了粗粒度的訪問控制,也不能與企業內部使用的其它安全機制(如訪問控制)集成使用��。另外��,防火墻難于管理和配置�,由多個系統(路由器��、過濾器����、代理服務器�、網關、堡壘主機)組成的防火墻,管理上有所疏忽是在所難免的����。
對一個信息網絡而言�,安全問題涉及身份認證��、訪問控制、數據保密性��、數據完整性����、抗抵賴、審計��、可用性和可靠性等多種基本的安全服務��,涉及ISO/OSI所有的七個協議層次����,覆蓋了企業信息網絡中物理環境�、通信平臺、網絡平臺��、主機平臺和應用平臺等幾個系統單元�。因此,這是一個立體的����、多方位����、多層次的系統問題��,在規劃����、設計��、實施企業信息網絡的安全系統時也必須用系統工程的方法論來考慮��。
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此��,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上�、軟件上�、所用標準上......,各項技術都需要適時應勢�,對應發展��,這正是網絡迅速走向進步的催化劑。
| 
