论文部分内容阅读
摘 要:随着科技和经济的迅猛发展,网络所涉及的应用领域也越来越广泛,其中敏感和重要的数据也在不断增加,但同时网络病毒和黑客入侵的问题也越来越突出,网络安全问题变得月尤为重要,就目前的网络保护而言,防火墙依然是一种有效的手段。鉴于此,本文通过对防火墙技术在网络安全中应用进行论述,并对未来发展趋势进行分析。
关键词:防火墙;网络安全;发展趋势
一、防火墙技术在网络安全应用中的重要性
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它在网络安全应用中的重要性主要包括以下几个方面:
1.网络安全的屏障
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
3.监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
二、防火墙技术在网络安全中的应用现状
随着防火墙技术的不断更新,新型的防火墙技术安全性能更高,它综合了过滤和代理技术,克服二者在安全方面的缺陷,不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、ARP、ICMP、SYNFlood等共计手段方面有明显的优势和效果,增强了代理服务,并使其与包过滤相融合,加上智能过滤技术,使得防火墙的安全性能有了长足提高。目前新型防火墙技术主要包括以下几种:
1.分布式防火墙技术,指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品,广义上讲,分布式防火墙是一种新的防火墙体系结构,包括用于内外部网之间和内网之间防护的网络防火墙、对网络中服务器和桌面机保护的主机防火墙、用于保护网络中单一设备的中心边界防火墙等。
2.嵌入式防火墙技术,指内嵌于路由器或交换机的防火墙,通常也被称为阻塞点防火墙,这种防火墙能弥补并改善各类安全能力不足的企业边缘防火墙、基于主机的应用程序、网络代理程序、入侵检测告警程序和防病毒程序等,确保企业内部和外部的网络安全。
3.职能防火墙技术,通过利用统计、记忆、概率和决策的职能方法对数据进行识别,并达到访问控制的目的,由于这些方法多时人工职能学科采用的方法,也统称为职能防火墙,通常这种防火墙的关键技术包括防攻击技术、防扫描技术、防欺骗技术、入侵防御技术、包擦洗和协议正常化技术、AAA技术等。
虽然防火墙技术越来越成熟,功能也越来越强大,但依然存在一些不足,主要表现在以下几个方面:
1.不能防御不经过防火墙的攻击,显而易见,若果防火墙布置在企业网络的边界 ,对进出企业的信息进行过滤,而企业内部的电脑通过拨号网络直接与外网连接的话,防火墙就不起作用。
2.不能防御计算机病毒的攻击,计算机病毒攻击的方式层出不穷,大多数防火墙都是根据系统存在的漏洞进行攻击,对于这种攻击防火墙常常无能为力。
3.防火墙自身存在安全漏洞,无论是硬件还是软件防火墙,都会或多或少的存在设计漏洞,一些不法分子可能会利用这些设计上的漏洞绕过防火墙对系统进行攻击。
4.对防御数据驱动式的攻击无能为力,作为一种常见的攻击方式,但其每次通过防火墙时的数据却都是符合规则的,但这些数据组合以后就会对系统进行破坏。
5.以损失有用服务为代价,为了信息安全,我们通常会关闭一些不必要的服务,但这些服务中也有许多有价值的服务信息,虽然可以一定程度上提高计算机应用的安全性,但也必须以放弃一部分使用价值为代价。
三、防火墙技术的未来发展趋势
针对目前防火墙不能解决的问题以及越来越多的网络攻击方式的出现,对防火墙技术也必将有更高的要求,未来将向高速度、多功能和安全性更高的方向发展,其未来发展趋势可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来实现。
1.在防火墙包过滤技术发展方面,首先安全策略功能会更加强大,新的防火墙技术会把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能,使得用户在身份验证方面的安全功能增强。其次,加强防火墙的多级过滤技术,通过多级的过滤技术并配合其它方面的鉴别手段,可以从不同层面过滤掉所有的源路由分组、假冒IP源地址、禁止出或入的协议、有害数据包、控制和监测互联网提供的所有通用服务等,在一定程度上弥补单独过滤技术的不足。同时,新的防火墙技术或会增加更多的扩展功能,甚至包括防病毒和入侵监测等主流功能。
2.在防火墻体系结构发展方面,随着互联网用户的增加,以及用户对网络的更高要求,防火墙技术也必须以更加快速的数据处理来满足显示要求。目前出现的基于ASIC的防火墙和基于网络处理器的防火墙都在不同程度上顺应着这种潮流,这两种防火墙技术性能虽然得到了大幅度的提高,但是,它们依然有其不足之处,如基于ASIC的防火墙是使用专门饿硬件处理网络数据流,但纯硬件的ASIC防火墙缺乏可编程性,使得其灵活性大打折扣。而基于网络处理器的防火墙虽然属于基于软件的解决方案,而且灵活性更强,但其作用的发挥很大程度上取决于软件性能的好坏。因此比较理想化的解决方案是增加ASIC芯片的可编程性,使其能够更好的和软件想配合,这样才能同时满足运行性能和灵活性能的要求。
3.在防火墙的系统管理发展方面,分布式和分层的安全结构的集中管理方式是未来的发展趋势,这种集中的管理方式不仅能降低管理成本,而且能在网络安全中保证策略的一致性,使得防火墙能够起到快速响应和快速防御的效果。其次,未来防火墙的系统管理方面将拥有更加强大的审计功能和自动日志分析功能,通过这些方面的加强,能够更早的发现潜在的威胁并采取有效地预防措施,在日常中,通过其日志分析功能,能够及早的帮助计算机管理员发现系统中可能存在的安全漏洞,对做到早预防和调整安全管理策略是必不可少的。最后,网络安全产品的系统化也是未来的发展的趋势,因为目前的防火墙技术难以满足当前的网络安全要求,通过建立以防火墙为核心的安全体系,就可以为内部网络提供更多的安全保障,使各安全技术各司其职,从各个方面防御外来入侵。
参考文献
[1]马东辉.入侵检测系统与防火墙在教育网络中的互动应用研究[D].中国石油大学.2011年
[2]刘波.防火墙穿透技术的研究与实现[D].沈阳工业大学.2009年
[3]黄晗辉.防火墙规则的异常检测及优化研究[D].重庆大学.2010年
[4]陈文惠.防火墙系统策略配置研究[D].中国科学技术大学.2007年
[5]何小虎.浅析防火墙的现状和发展[J].科技信息.2009年28期
[6]简雄,余远波,韩贵来.防火墙技术在网络安全中的应用[J].长春理工大学学报(高教版).2009年07期
关键词:防火墙;网络安全;发展趋势
一、防火墙技术在网络安全应用中的重要性
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它在网络安全应用中的重要性主要包括以下几个方面:
1.网络安全的屏障
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
3.监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
二、防火墙技术在网络安全中的应用现状
随着防火墙技术的不断更新,新型的防火墙技术安全性能更高,它综合了过滤和代理技术,克服二者在安全方面的缺陷,不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、ARP、ICMP、SYNFlood等共计手段方面有明显的优势和效果,增强了代理服务,并使其与包过滤相融合,加上智能过滤技术,使得防火墙的安全性能有了长足提高。目前新型防火墙技术主要包括以下几种:
1.分布式防火墙技术,指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品,广义上讲,分布式防火墙是一种新的防火墙体系结构,包括用于内外部网之间和内网之间防护的网络防火墙、对网络中服务器和桌面机保护的主机防火墙、用于保护网络中单一设备的中心边界防火墙等。
2.嵌入式防火墙技术,指内嵌于路由器或交换机的防火墙,通常也被称为阻塞点防火墙,这种防火墙能弥补并改善各类安全能力不足的企业边缘防火墙、基于主机的应用程序、网络代理程序、入侵检测告警程序和防病毒程序等,确保企业内部和外部的网络安全。
3.职能防火墙技术,通过利用统计、记忆、概率和决策的职能方法对数据进行识别,并达到访问控制的目的,由于这些方法多时人工职能学科采用的方法,也统称为职能防火墙,通常这种防火墙的关键技术包括防攻击技术、防扫描技术、防欺骗技术、入侵防御技术、包擦洗和协议正常化技术、AAA技术等。
虽然防火墙技术越来越成熟,功能也越来越强大,但依然存在一些不足,主要表现在以下几个方面:
1.不能防御不经过防火墙的攻击,显而易见,若果防火墙布置在企业网络的边界 ,对进出企业的信息进行过滤,而企业内部的电脑通过拨号网络直接与外网连接的话,防火墙就不起作用。
2.不能防御计算机病毒的攻击,计算机病毒攻击的方式层出不穷,大多数防火墙都是根据系统存在的漏洞进行攻击,对于这种攻击防火墙常常无能为力。
3.防火墙自身存在安全漏洞,无论是硬件还是软件防火墙,都会或多或少的存在设计漏洞,一些不法分子可能会利用这些设计上的漏洞绕过防火墙对系统进行攻击。
4.对防御数据驱动式的攻击无能为力,作为一种常见的攻击方式,但其每次通过防火墙时的数据却都是符合规则的,但这些数据组合以后就会对系统进行破坏。
5.以损失有用服务为代价,为了信息安全,我们通常会关闭一些不必要的服务,但这些服务中也有许多有价值的服务信息,虽然可以一定程度上提高计算机应用的安全性,但也必须以放弃一部分使用价值为代价。
三、防火墙技术的未来发展趋势
针对目前防火墙不能解决的问题以及越来越多的网络攻击方式的出现,对防火墙技术也必将有更高的要求,未来将向高速度、多功能和安全性更高的方向发展,其未来发展趋势可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来实现。
1.在防火墙包过滤技术发展方面,首先安全策略功能会更加强大,新的防火墙技术会把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能,使得用户在身份验证方面的安全功能增强。其次,加强防火墙的多级过滤技术,通过多级的过滤技术并配合其它方面的鉴别手段,可以从不同层面过滤掉所有的源路由分组、假冒IP源地址、禁止出或入的协议、有害数据包、控制和监测互联网提供的所有通用服务等,在一定程度上弥补单独过滤技术的不足。同时,新的防火墙技术或会增加更多的扩展功能,甚至包括防病毒和入侵监测等主流功能。
2.在防火墻体系结构发展方面,随着互联网用户的增加,以及用户对网络的更高要求,防火墙技术也必须以更加快速的数据处理来满足显示要求。目前出现的基于ASIC的防火墙和基于网络处理器的防火墙都在不同程度上顺应着这种潮流,这两种防火墙技术性能虽然得到了大幅度的提高,但是,它们依然有其不足之处,如基于ASIC的防火墙是使用专门饿硬件处理网络数据流,但纯硬件的ASIC防火墙缺乏可编程性,使得其灵活性大打折扣。而基于网络处理器的防火墙虽然属于基于软件的解决方案,而且灵活性更强,但其作用的发挥很大程度上取决于软件性能的好坏。因此比较理想化的解决方案是增加ASIC芯片的可编程性,使其能够更好的和软件想配合,这样才能同时满足运行性能和灵活性能的要求。
3.在防火墙的系统管理发展方面,分布式和分层的安全结构的集中管理方式是未来的发展趋势,这种集中的管理方式不仅能降低管理成本,而且能在网络安全中保证策略的一致性,使得防火墙能够起到快速响应和快速防御的效果。其次,未来防火墙的系统管理方面将拥有更加强大的审计功能和自动日志分析功能,通过这些方面的加强,能够更早的发现潜在的威胁并采取有效地预防措施,在日常中,通过其日志分析功能,能够及早的帮助计算机管理员发现系统中可能存在的安全漏洞,对做到早预防和调整安全管理策略是必不可少的。最后,网络安全产品的系统化也是未来的发展的趋势,因为目前的防火墙技术难以满足当前的网络安全要求,通过建立以防火墙为核心的安全体系,就可以为内部网络提供更多的安全保障,使各安全技术各司其职,从各个方面防御外来入侵。
参考文献
[1]马东辉.入侵检测系统与防火墙在教育网络中的互动应用研究[D].中国石油大学.2011年
[2]刘波.防火墙穿透技术的研究与实现[D].沈阳工业大学.2009年
[3]黄晗辉.防火墙规则的异常检测及优化研究[D].重庆大学.2010年
[4]陈文惠.防火墙系统策略配置研究[D].中国科学技术大学.2007年
[5]何小虎.浅析防火墙的现状和发展[J].科技信息.2009年28期
[6]简雄,余远波,韩贵来.防火墙技术在网络安全中的应用[J].长春理工大学学报(高教版).2009年07期