|
|
Firewall 的基本分类 包过滤型 包过滤型产品是防火墙的初级产品 , 其技术依据是网络中的分包传输技术 . 网络上的数据都是以 " 包 " 为单位进行传输的 , 数据被分割成为一定大小的数据包 , 每一个数据包中都会包含一些特定信息 , 如数据的源地址 , 目标地址 ,TCP/UDP 源端口和目标端口等 . 防火墙通过读取数据包中的地址信息来判断这些 " 包 " 是否来自可信任的安全站点 , 一旦发现来自危险站点的数据包 , 防火墙便会将这些数据拒之门外 . 系统管理员也可以根据实际情况灵活制订判断规则 .
包过滤技术的优点是简单实用 , 实现成本较低 , 在应用环境比较简单的情况下 , 能够以较小的代价在一定程度上保证系统的安全 .
但包过滤技术的缺陷也是明显的 . 包过滤技术是一种完全基于网络层的安全技术 , 只能根据数据包的来源 , 目标和端口等网络信息进行判断 , 无法识别基于应用层的恶意侵入 , 如恶意的 Java 小程序以及电子邮件中附带的病毒 . 有经验的黑客很容易伪造 IP 地址 , 骗过包过滤型防火墙 .
网络地址转换 (NAT)
是一种用于把 IP 地址转换成临时的 , 外部的 , 注册的 IP 地址标准 . 它允许具有私有 IP 地址的内部网络访问因特网 . 它还意味着用户不许要为其网络中每一台机器取得注册的 IP 地址 .
在内部网络通过安全网卡访问外部网络时 , 将产生一个映射记录 . 系统将外出的源地址和源端口映射为一个伪装的地址和端口 , 让这个伪装的地址和端口通过非安全网卡与外部网络连接 , 这样对外就隐藏了真实的内部网络地址 . 在外部网络通过非安全网卡访问内部网络时 , 它并不知道内部网络的连接情况 , 而只是通过一个开放的 IP 地址和端口来请求访问 .OLM 防火墙根据预先定义好的映射规则来判断这个访问是否安全 . 当符合规则时 , 防火墙认为访问是安全的 , 可以接受访问请求 , 也可以将连接请求映射到不同的内部计算机中 . 当不符合规则时 , 防火墙认为该访问是不安全的 , 不能被接受 , 防火墙将屏蔽外部的连接请求 . 网络地址转换的过程对于用户来说是透明的 , 不需要用户进行设置 , 用户只要进行常规操作即可 .
代理型 代理型防火墙也可以被称为代理服务器 , 它的安全性要高于包过滤型产品 , 并已经开始向应用层发展 . 代理服务器位于客户机与服务器之间 , 完全阻挡了二者间的数据交流 . 从客户机来看 , 代理服务器相当于一台真正的服务器 ; 而从服务器来看 , 代理服务器又是一台真正的客户机 . 当客户机需要使用服务器上的数据时 , 首先将数据请求发给代理服务器 , 代理服务器再根据这一请求向服务器索取数据 , 然后再由代理服务器将数据传输给客户机 . 由于外部系统与内部服务器之间没有直接的数据通道 , 外部的恶意侵害也就很难伤害到企业内部网络系统 .
代理型防火墙的优点是安全性较高 , 可以针对应用层进行侦测和扫描 , 对付基于应用层的侵入和病毒都十分有效 . 其缺点是对系统的整体性能有较大的影响 , 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置 , 大大增加了系统管理的复杂性。
监测型 防火墙是新一代的产品 , 这一技术实际已经超越了最初的防火墙定义 . 监测型防火墙能够对各层的数据进行主动的 , 实时的监测 , 在对这些数据加以分析的基础上 , 监测型防火墙能够有效地判断出各层中的非法侵入 . 同时 , 这种检测型防火墙产品一般还带有分布式探测器 , 这些探测器安置在各种应用服务器和其他网络的节点之中 , 不仅能够检测来自网络外部的攻击 , 同时对来自内部的恶意破坏也有极强的防范作用 . 据权威机构统计 , 在针对网络系统的攻击中 , 有相当比例的攻击来自网络内部 . 因此 , 监测型防火墙不仅超越了传统防火墙的定义 , 而且在安全性上也超越了前两代产品 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙 , 但由于监测型防火墙技术的实现成本较高 , 也不易管理 , 所以在实用中的防火墙产品仍然以第二代代理型产品为主 , 但在某些方面也已经开始使用监测型防火墙 . 基于对系统成本与安全技术成本的综合考虑 , 用户可以选择性地使用某些监测型技术 . 这样既能够保证网络系统的安全性需求 , 同时也能有效地控制安全系统的总拥有成本 .
实际上 , 作为当前防火墙产品的主流趋势 , 大多数代理服务器 ( 也称应用网关 ) 也集成了包过滤技术 , 这两种技术的混合应用显然比单独使用具有更大的优势 . 由于这种产品是基于应用的 , 应用网关能提供对协议的过滤 . 例如 , 它可以过滤掉 FTP 连接中的 PUT 命令 , 而且通过代理应用 , 应用网关能够有效地避免内部网络的信息外泄 . 正是由于应用网关的这些特点 , 使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响。
======================================内网安全管理主要是针对以太网底层协议漏洞、身份管理、带宽控制等进行策略性的管理保证网络不断线、不卡滞、不被篡改、信息不泄露,对内网进行彻底的加固。如免疫墙等(免疫墙是目前最完整、最先进,针对性最强、应用最广泛的标志性产品)。
从以上两者的对比分析可以看出,防火墙主要是应用在网络的接入处,而免疫墙解决方案主要是针对内网安全管理,但是内网安全这一方面经常被忽视。免疫墙解决方案是在传统组网的基础上添加免疫解决方案,全面支撑网络上的信息化应用,保障企业网络的正常运行,构成可靠的免疫网络。 |
|
IP卡
狗仔卡
发表于 2009-12-7 19:50:20
收藏
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
