关于防火墙技术的讨论

《关于防火墙技术的讨论》由会员分享，可在线阅读，更多相关《关于防火墙技术的讨论（4页珍藏版）》请在金锄头文库上搜索。

1、关于防火墙技术的讨论关于防火墙技术的讨论自从 1986 年美国 Digital 公司在 Internet 上安装了全球第一个商用防火墙系统后，提出了防火墙的概念，防火墙技术得到了飞速的发展。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展，新一代的功能更强大、安全性更强的防火墙已经问世，这个阶段的防火墙已超出了原来传统意义上防火墙的范畴，已

2、经演变成一个全方位的安全技术集成系统，我们称之为第四代防火墙，它可以抵御目前常见的网络攻击手段，如 IP 地址欺骗、特洛伊木马攻击、Internet 蠕虫、口令探寻攻击、邮件攻击等等。在计算机网络中，一个网络防火墙扮演着防备潜在的恶意的活动的屏障，并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来，一个防火墙是由一个单独的机器组成的，放置在你的私有网络和公网之间。近些年来，防火墙机制已发展到不仅仅是”firlwall box” ，更多提及到的是堡垒主机。它现在涉及到整个从内部网络到外部网络的区域，由一系列复杂的机器和程序组成。简单来说，今天防火墙的主要概念就是多个组件

3、的应用。防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标，而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标：1、实现一个公司的安全策略 2、创建一个阻塞点 3、记录 Internet 活动 4、限制网络暴露。默认情况下，防火墙可以配置成以下两种情况：一是拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。二是允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必

4、要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收 Email，你必须在防火墙上设置相应的规则或开启允许 POP3 和 SMTP 的进程。今天多数的防火墙系统组合包过滤，电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包，然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时，这三种防火墙类型可能都需要。更高级的防火墙提供额外的功能可以增强你的网络的安全性。尽管不是必需，每个防火墙都应该实施日志记录，哪怕是一些最基本的。防火墙是一个合理的放置提供认证方法来避开特定的 IP 包。你可以要求

5、一个防火墙令牌（firewall token） ，或反向查询一个 IP 地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击 IP 欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在 TCP/IP 四层的每一层上。多数的代理服务器提供完整的用户帐号数据库。结合使用这些用户帐号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些帐号数据库来提供更详细的日志。包过滤或筛选路由器一般在默认情况下为了不降低性能是不进行日志记录的。永远不要认为你的防火墙会自动地对所有活动创建日志。筛选路由器只能记录一些最基本的信息，而电路级网关也只能记录相同的信

6、息但除此之外还包括任何 NAT 解释信息。因为你要在防火墙上创建一个阻塞点，潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术，那么你有可能捕获到所有用户的活动包括那些黑客。你可以确切地知道黑客在做些什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做何响应。防火墙两种最普通的活动是中断 TCP/IP 连接或自动发出警告。相关的警报机制包括可见的和可听到的警告。在准备和建立一个防火墙设备时要高度重视。以前，堡垒主机这个术语是指所有直接连入公网的设备。现在，它经常汲及到的是防火墙设备。堡垒主机可以是三种防火墙中的任一种类型：包过滤，电路级网关，应用

7、级网关。当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当 Internet 用户企图访问你网络上的资源时，首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到 Internet 上的，其上面的所有信息都暴露在公网之上。这种高度地暴露规定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好强制阻止进入。同样地，堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指定的规则。它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有日志记录及警报的特性来阻止攻击。

8、有时检测到一个威胁时也会采取行动。当构造防火墙设备时，经常要遵循下面两个主要的概念。第一，保持设计的简单性。第二，要计划好一旦防火墙被渗透应该怎么办。一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件，无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像 WEB 服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。如果你已设计好你的防火墙性能，只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开，那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透，要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害，那你的安全策略要确定该做些什么。采取一些特殊的步骤，包括创建同样的软件备份、配置同样的系统并存储到安全的地方和确保所有需要安装到防火墙上的软件都容易，这包括你要有恢复磁盘。