时间:2023-10-29 14:56:21
序论:在您撰写防火墙技术的研究时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词: 防火墙 技术原理 体系结构
一、防火墙简介
1.防火墙的概念
防火墙的本义是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。
2.防火墙的发展
(1)第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。
(2)第二、三代防火墙
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(防火墙)的初步结构。
(3)第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。
(4)第五代防火墙
1998年,NAI公司推出了一种自适应(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
二、防火墙的类型
从技术上看,防火墙有三种基本类型:包过滤型、服务器型和复合型。
包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。
服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。服务器型防火墙的核心,是运行于防火墙主机上的服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。
复合型防火墙(Hybrid Firewall)把包过滤、服务和许多其他的网络安全防护功能结合起来,形成新的网络安全平台,以提高防火墙的灵活性和安全性。
三、防火墙技术原理
防火墙从原理上主要有三种技术:包过滤(PackeFiltering)技术、服务(ProxyService)技术和状态检测(StateInspection)技术。
1.包过滤(PacketFiltering)技术
在基于TCP/IP协议的计算机网络上,所有网络上的计算机都是利用IP地址的唯一标志来确定其在网络中的位置的,而所有来往于计算机之间的信息都是以一定格式的数据包的形式来传输的,数据包中包含了标志发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时,路由器会读取数据包中接受者的IP地址,并根据这一IP地址选择一条合适的物理线路把数据包发送出去,当所有的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上的这一传输原理来设计的,它可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息,然后按照网络管理员所设定的过滤规则进行过滤。
2.服务(ProxyService)技术
实际是设置在Internet防火墙网关上有特殊功能的应用层代码,是在网管员允许下或拒绝特定的应用程序或者特定服务,还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层,提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用,内部网络只接受提出的服务请求,拒绝外部网络其他接点的直接请求。的工作原理比较简单。用户与服务器建立连接,将目的站点告知,对于合法的请求,以自己的身份(应用层网关)与目的站点建立连接,然后在这两个连接中转发数据。其主要特点是有状态性,能完全提供与应用相关的状态和部分传输方面的信息,能提供全部的审计和日志功能,能隐藏内部IP地址,能实现比包过滤路由器更严格的安全策略。
3.状态检测(StateInspection)技术
状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由Checkpoint提出。状态检测作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据(状态信息)的方法对网络通信的各层实施监测,并动态地保存状态信息作为以后制定安全决策的参考。
四、各防火墙体系结构的优缺点
1.双重宿主主机体系结构提供来自于多个网络相连的主机的服务(但是路由关闭),它围绕双重宿主主计算机构筑。该计算机至少有两个网络接口,位于因特网与内部网之间,并被连接到因特网和内部网。两个网络都可以与双重宿主主机通信,但相互之间不行,它们之间的IP通信被完全禁止。双重宿主主机仅能通过或用户直接登录到双重宿主主机来提供服务。
2.被屏蔽主机体系结构使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间,提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统,通常因为它暴露于因特网之下,作为联结内部网络用户的桥梁,易受到侵袭损害。这里它位于内部网上,数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接(由站点安全策略决定)到外部世界。在屏蔽路由器中,数据包过滤配置可以按下列之一执行:①允许其他内部主机,为了某些服务而开放到因特网上的主机连接(允许那些经由数据包过滤的服务)。②不允许来自内部主机的所有连接(强迫这些主机经由堡垒主机使用服务)。这种体系结构通过数据包过滤来提供安全,而保卫路由器比保卫主机较易实现,因为它提供了非常有限的服务组,所以这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是,若是侵袭者设法入侵堡垒主机,则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在;路由器同样可能出现单点失效,若被损害,则整个网络对侵袭者开放。
3.被屏蔽子网体系结构考虑到堡垒主机是内部网上最易被侵袭的机器(因为它可被因特网上用户访问),我们添加额外的安全层到被屏蔽主机体系结构中,将堡垒主机放在额外的安全层,构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络,为系统提供了安全的附加层,称之为周边网。这种体系结构有两个屏蔽路由器,每一个都连接到周边网。1个位于周边网与内部网之间,称为内部路由器,另一个位于周边网与外部网之间,称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络,必须通过两个路由器,即使他侵入了堡垒主机,仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。
五、对防火墙技术造成的安全漏洞的建议
防火墙的管理及配置相当复杂,要想成功地维护防火墙,防火墙管理员必须对网络安全的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说,由多个系统组成的防火墙,管理上有所疏忽也是在所难免的。
对此可作如下改进:管理上的安全问题,关键在于提高管理员的素质,积极学习安全管理及网络安全知识,熟练掌握防火墙的系统配置关系,多多实践,积累足够的经验,多个系统防火墙的管理一定要有高度认真、负责到底的精神。总而言之,提高管理者的素质至关重要。
参考文献:
关键词:防火墙;带宽技术;网络端口;阻塞
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2013) 01-0164-02
防火墙带宽控制技术就是通过某些控制工具实现数据的分类整理,进行顺畅通过的技术。防火墙控制技术的实现解决了互联网的一个技术瓶颈,带来了网速的飞跃;但是也带来了问题。带宽控制技术的实现带来了哪些飞跃,又带来了哪些问题呢?
1 防火墙带宽控制技术
随着网络的发展,带宽也得到了飞速的发展。虽然带宽已经达到了比较高的水平,但是在公司或者学校等集中使用网络的地方还是容易出现一些问题。因为在企业或者学校使用的是局域网,所有的网络数据都通过一个渠道输送。因此,虽然在企业或者单位使用的网速很好,已经达到很多兆了,但是在数据的输出网口还是会出现堵塞的情况。这就影响了用户的正常使用。因此,为了解决这一问题,电脑研发者研究出了防火墙带宽控制技术,这是专门为了解决局域网大量数据拥挤的情况而研究的。防火墙带宽控制技术就是通过对数据流进行分组,让同一种类的数据流可以同时通过而不影响通过速度。简单来说,就是在同一时间将通过端口的数据流按照类型进行分类,然后按等级通过,等级高的先通过,等级低的后通过。同一等级的可以同时通过。有了防火墙带宽控制技术很多企业由于大数据流量同时通过而造成的拥挤现象解决了。这项技术的研发目前还不是特别成熟,因为它在对数据流进行分类的同时也影响了防火墙的性能。防火墙也是在断口处进行设卡,以阻止不良信息的通过,但是通过带宽控制技术将信息进行分类后,有些不良信息可能混进某一类而进入电脑中,从而给电脑带来伤害。
2 防火墙带宽控制技术实现的必要性
2.1 网络端口的阻塞问题。网络是新时代的产物,是改变我们生活的一种工具,它让生活变得更方便、更快捷。互联网提供给人们的不仅仅是随时随地的新闻,身边的电影院,还为企业提供一系列的服务。企业可以利用互联网开展电子商务,就是在互联网上进行业务的洽谈,为了企业内部交流的需要,IT研究者研发了局域网,局域网的好处就是企业内部使用同一个端口,便于交流,也可以节省一些网络费用。但同时也出现了一些问题,因为企业内部同时使用网络的人员较多,所以容易造成数据流的集中,如果大量的数据同时通过端口,就有可能造成端口的堵塞,从而影响整个局域网的网速。通俗来讲,就跟堵车一样,如果在同一个路口有大量车同时通过,通过的速度就会变慢,甚至出现停滞不前的情况。如果端口堵塞了,就会影响企业的办公效率。因此,必须研发一种带宽控制技术,让所有的数据按照一定的规则通过,这样就不会造成堵塞的现象了。
2.2 某些应用长期占用网速。在企业的电子商务中,人们从事的岗位不同,工作所处理的任务不同,因此使用互联网所传输的数据也就有了区别,有些数据流量较大,占用网速较多,有些数据流量较小,占用网速也少。但是如果流量大的数据和流量小的数据同时通过端口的时候,流量大的数据就会长期占用网速,导致流量小的数据无法通过。就好像我们如果下载大型游戏的同时观看电影,就会造成电影的不顺畅,甚至很多网页都打不开,两者是同一个道理。所以为了优化处理这个问题,就需要带宽控制技术,通过在防火墙的端口实施带宽控制,就能严禁某些数据长期占用网速。通过带宽控制技术,将数据流进行分类,让数据流量小的内容也能顺利通过。
3 带宽控制工具TC的功能实现
TC是带宽控制技术的一个实现工具,通过在网络端口安装TC,达到规范数据流顺畅通过的目的。TC的工作原理就是将同时通过端口的数据按照队列进行分类,然后按照次序一次通过,同一种类的数据可以同时通过。就好比十字路口的红绿灯,发挥着指挥的作用。如果在十字路口,没有交通信号灯的管制,几个方向的车同时通过,不仅通过的速度缓慢,还有可能造成事故。而采用了红绿灯后,对车辆进行分类,每个方向的车都按照“直行”“左转”“右转”排好队,这样通过时就能顺畅了。TC的工作原理就等同于路口红绿灯的功能,将所有要通过的数据按照不同种类进行分类后,然后再一次通过,就保障了网速的顺畅。
4 防火墙带宽控制技术的优缺点
关键词:防火墙;linux;iptables;netfilter
中图法分类号:TP309文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
随着网络的开放性、共享性和互连程度扩大,特别是Internet的发展,网络的重要性和对社会的影响也越来越大。随着网络上各种新兴业务的兴起,比如电子商务、电子现金、数字货币网络银行等,以及各种专用网的建设,比如金融网等,使得安全问题显得越来越重要。因此网络安全成了数据通信领域研究和发展的一个重要方向,对网络安全技术的研究成了现在计算机和通信领域的一个热点。而防火墙技术是针对网络安全特点而建立的防范措施。而LINUX操作系统不仅具有开放源代码的巨大优势,而且能适用于多种CPU和硬件平台,性能稳定,非常适合作为一些嵌入式防火墙设备的操作系统,因此,研究基于LINUX的防火墙技术具有重要的意义。
1 防火墙原理
1.1 防火墙的概念和工作原理
防火墙技术是目前各种网络安全解决方案中常用的技术,它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受阻碍地访问网络资源,从总体上看,防火墙应具有以下五大基本功能:
过滤进出网络的数据包。
管理进出网络的访问行为。
封堵某些禁止的访问行为。
记录通过防火墙的信息内容和活动。
对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们要应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的技术手段。其工作原理是:按照事先规定好的配置与规则,监测并过滤通过防火墙的数据流,只允许授权的或者符合规则的数据通过。防火墙应该能够记录有关连接的信息、服务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时、防火墙自身也应具备较高的抗攻击性能。
1.2 防火墙的分类
按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和防火墙(应用层网关防火墙)。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
表1 两种防火墙的比较
包过滤防火墙分为静态和动态。静态包过滤防火墙根据定义好的过滤规则审查每个数据包。以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制b},报头信息中包括IP源地址、IP目标地址、传输协议(TCP, UDP, ICMP等等)、TCP/UDP目标端口, ICMP消息类型等,包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。动态包过滤防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
自适应技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应服务器 (Adaptive Proxy Server)与动态包过滤器 (Dynamic Packet filter)。
在自适应与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应就可以根据用户的配置信息,决定是使用服务从应用层请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
2 linux防火墙的实现
2.1 linux 防火墙简介
Linux最初从2.0内核的ipfwadm开始具备了基本的包过滤功能。ipfwadm能透过IP据包头的分析,分辨出数据包的来源IP与目的地IP、数据包类型、来源端口号与目的端口号、数据包流向、数据包进入防火墙的网卡界面等,并依此分析结果来对比规则进行数据包过滤,同时也支持IP伪装的功能,利用这个功能可以解决IP不足的问题,但是这些程序缺乏弹性设计,用户无法自行建立规则组合(rule set)作更精简的设定,同时也缺乏网址转换功能,无法应付越来越复杂的网络环境,已经逐渐被淘汰。随后取而代之的是ipchains。Ipchains不但指令语法更容易理解,功能也较ipfwadm优越:ipchain允许自订规则组合(rule set),称之为user-define chains,可以将彼此相关的规则组合在一起,在需要的时候跳到该组规则进行过滤,有效的将规则数量大幅缩减,克服了以往ipfw仅能进行循序过滤,导致规则过长的缺陷。同时,ipchains能提供网址转换的能力,从而满足NAT的完整需求,基本构成一套成熟的防火墙。,
在Linux2.4内核以后,被称为iptables/netfilter的防火墙以更好的结构重新构造,并实现了许多新功能,如完整的动态NAT(2.2内核实际是多对一的"地址伪装")、基于MAC及用户的过滤、真正的基于状态的过滤(不再是简单的查看tcp的标志位等)、包速率限制等。它比以前任何一个Linux内核的防火墙子系统都要完善和强大。
2.2 iptables/netfilter框架
Netfilter提供了一个抽象的、通用的框架,该框架定义的一个子功能实现的就是包过滤子系统。Netfilter由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。当前的Netfilter,已经基于IPv4, IPX, IPv6等协议开发了对应的钩子函数。
Netfilter是嵌入内核IP协议栈的一系列调用入口,设置在报文处理的路径上。网络报文按照来源和去向,可以分为三类:流入的、流经的和流出的。其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程,即从一个NIC转到另一个NIC。 Netfilter就是根据网络报文的流向,在以下几个点插入处理过程:
(1)NF_IP_PRE_ROUTING,在报文作路由以前执行;
(2)NF_IP_FORWARD,在报文转向另一个NIC以前执行;
(3)NF_IP_POST_ROUTING,在报文流出以前执行;
(4)NF_IP_LOCAL_IN,在流入本地的报文作路由以后执行;
(5)NF_IP_LOCAL_OUT,在本地报流出路由前执行。
Netfilter框架为多种协议提供了一套类似的钩子(HOOK),用一个struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]二维数组结构存储,一维为协议族,二维为上面提到的各个调用入口。每个希望嵌入Netfilter中的模块都可以为多个协议族的多个调用点注册多个钩子函数(HOOK ),这些钩子函数将形成一条函数指针链,每次协议栈代码执行到NF HOOK()函数时(有多个时机),都会依次启动所有这些函数,处理参数所指定的协议栈内容。
每个注册的钩子函数经过处理后都将返回下列值之一,告知Neifilter核心代码处理结果,以便对报文采取相应的动作:
(1)NF_ACCEPT, 继续正常传输数据报;
(2)NF_DROP, 丢弃该数据报,不再传输;
(3)NF_STOLEN, 模块接管该数据报,不要继续传输该数据报;
(4)NF_QUEUE, 对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理);
(5)NF_REPEAT, 再次调用该钩子函数。
如图1所示,数据报从左边进入系统,进行IP校验以后,数据报经过第一个钩子函数NF_IP_PRE ROUTING进行处理;然后就进入路由代码,其决定该数据包是需要转发还是发给本机的;若该数据包是发被本机的,则该数据经过钩子函数NF_IP_LOCAL_IN处理以后然后传递给上层协议;若该数据包应该被转发则它被NF IP FORWARD处理;经过转发的数据报经过最后一个钩子函数NF_IP_POST_ROUTING处理以后,再传输到网络上。本地产生的数据经过钩子函数NF_IP_LOCAL_OUT处理可以后,进行路由选择处理,然后经过NF_IP_POST_ROUTING处理以后发送到网络接口。
Netfilter组件也称为内核空间(kernel space),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
与之相对应的iptables组件是一种工具,也称为用户空间(user space),它使插入、修改和除去信息包过滤表中的规则变得容易。通过使用用户空间,可以构建自己的定制规则,这些规则存储在内核空间的信息包过滤表中。这些规则具有目标,它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配,那么使用日标ACCEPT允许该信息包通过。还可以使用目标DROP或REJECT来阻塞并杀死信息包。
内核模块提供三个规则表((table),分别是数据报过滤表(filter table),网络地址转换表(nat table)及数据报处理表(mangle table)。
数据报过滤表(filter table):
表格不会对数据报进行修改,而只对数据报进行过滤。iptables优于ipchains的一个方面就是它更为小巧和快速。它是通过钩子函数NF_IP_LOCAL_IN,NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此对于任何一个数据报只有一个地方对其进行过滤。这相对ipchains来说是一个巨大的改进,因为在ipchains中一个被转发的数据报会遍历三条链。
网络地址转换表(nat table):
NAT表格监听三个Netfilter钩子函数:NF_IP_PRE_ROUTING,NF_IP_POST_ROUTING及NF_ IP_LOCAL_OUT。NF_IP_PRE_ROUTING实现对需要转发的数据报的源地址进行地址转换而NF_IP_POST_ROUTING则对需要转发的数据包的目的地址进行地址转换。对于本地数据报的目的地址的转换则由NF_IP_LOCAL_OUT来实现。
NAT表格不同于filter表格,因为只有新连接的第一个数据报将遍历表格,而随后的数据报将根据第一个数据报的结果进行同样的转换处理。NAT表格被用在源NAT,目的NAT,伪装(其是源NAT的一个特例)及透明(其实是目的NAT的一个特例)。
数据报处理表(mangle table):
mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用
mangle表,可以实现对数据报的修改或给数据报附上一些带外数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。
3 iptables的命令配置与应用
Iptables的基本语法是:
iptables [-t table] command [match] [- j target/jump]
其中Ct参数用来指定规则表,当未指定规则表时,则默认认为是filter
下面根据实例来详细解释下iptables的用法,配置防火墙的基本规则是先拒绝所有的服务,然后根据需要再添加新的规则。在实例中,我们开放了WEB服务器,邮件服务器,FTP服务器等常用的端口,在实际情况中可以根据特定的网络状况,特定的安全要求做特别的处理:
iptables CF#删除已经存在的规则
iptables -P INPUT DROP#配置默认的拒绝规则。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT#打开WEB服务端口的tcp协议
iptables -A INPUT -p tcp --dport 110 -j ACCEPT #打开POP3服务端口的tcp协议
iptables -A INPUT -p tcp --dport 25 -j ACCEPT#打开SMTP服务端口的tcp协议
iptables -A INPUT -p tcp --dport 21 -j ACCEPT#打开FTP服务端口的tcp协议
4 结论
Linux内核防火墙的iptables/netfilter框架设计得非常成功,它将所有对数据包的处理都统一到这个一个框架之下。Netfilter不仅仅有此高效的设计,同时还具备很大的灵活性,这主要表现在iptable/netfilter中的很多部分都是可扩充的,包括Table, Match, Target等。
参考文献:
[1]毛德操,胡希明.Linux内核源代码情景分析[M].浙江大学出版.2001,9.
[2]Marcus Goncalves.宋书民,等,译.防火墙技术指南[M].机械工业出版社,2000,11.
[3]Robert L.Ziegler..余青霓,等,译.LINUX防火墙[M].人民工业出版社,2000,10.
[4]博嘉科技主编.LINUX防火墙技术探秘[M].国防工业出版社,2002,10.
【关键词】计算机网络 防火墙技术 功能 趋势
随着信息化时代的到来,计算机网络逐渐成为人们有效开展信息交换的重要手段,并渗透到社会生活的各个方面,给人们生活带来了巨大影响。与此同时,保障计算机网络信息安全,愈来愈成为当今社会面临的亟需解决的课题。
1 防火墙技术的含义
“所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。”它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。它实际上是一种隔离技术。
2 防火墙的功能
防火墙对计算机网络具有很好的保护作用。入侵者必须先穿越防火墙的安全防线,才能接触目标计算机。具体来说防火墙有以下功能。
2.1 防火墙有保障计算机网络安全的功能
防火墙通过自身过滤功能将不安全的数据包隔挡在“代码墙”以外,降低Internet给计算机造成的风险。然后通过验证程序检测哪些数据包是安全的,并使之进入计算机,由此使得网络环境变得更安全。
2.2 防火墙具有监控网络存取和访问的功能
由于进入计算机的数据包都要经过防火墙的检测和筛选,那么防火墙就能记录下这些数据包并对网络的使用情况进行统计。当发生可疑数据包时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。因此,防火墙对网络使用统计与监控具有非常重要的作用。
2.3 可以防止内部信息的外泄
隐私是网络使用者最关心的问题。很多隐私的被流露于公众的视野,多数都是因为计算机网络内部某些安全漏洞。而使用防火墙就可以利用防火墙对内部网络的划分,实现内部网的隔离,从而限制了局部或敏感网络安全问题对全局网络造成的影响。进而隐蔽了那些透漏内部细节DNS服务。这样一台主机的域名和IP地址就不会被外界所了解。
2.4 防火墙对数据库安全的实时保护功能
防火墙通过验证工具和包过滤系统分析,根据预定义的禁止和许可策略让合法的SQL 操作通过,阻断非法违规操作,形成数据库的防御圈,实现SQL 危险操作的主动预防、实时审计。同时,还可以对来自于外部的入侵行为,提供SQL 注入禁止和数据库虚拟补丁包功能。
3 防火墙技术的发展趋势
随着新的网络病毒的出现,防火墙技术的发展更应该注重放行数据的安全性研究。因为使用者对网络安全的要求是既要保证网络安全,也必须保证网络的正常运行。因此,新型防火墙技术在研发过程中要集成其它安全技术,使防火墙的安全性得以进一步提升。这一些新的发展趋势,可以从防火墙体系结构、包过滤技术和防火墙系统管理三方面展开。
3.1 防火墙的体系结构发展趋势
随着信息化潮流的到来,计算机网络的应用更加广泛,规模更加庞大。使用者对网络宽带的安全提出了更高的要求。这意味着防火墙技术必须紧跟时代的发展,加快提升自身处理数据的能力,为计算机网络提供更加有效的安全保护和有效的运行保障。尤其是,在当今信息化社会的生活中,计算机网络、手机网络等网络媒体的应用越来越普遍,这就要求防火墙技术对流入网络的数据处理更加有效、准确、及时。要想满足这种需要,防火墙技术研发人员就必须制定超前的研发方案,完善防火墙的结构体系。例如当前部分制造商开发的基于ASIC的防火墙和基于网络处理器的防火墙。
3.2 防火墙数据包过滤技术发展趋势
(1)防火墙的主要功能就是对来自外网的木马程序、病毒程序等危险程序进行防范和抵御。因而,在实际网络使用中使用主体通常经防火墙称之为病毒防火墙。从目前网络使用者通过各种途径选取不同的防火墙,并按照与计算机内,目的就是防范病毒的入侵。
(2)注重研发多级过滤技术。“所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段”。该过滤技术主要是通过编制不同的程序系统,逐级设立功能。各级根据自身的功能开展对流入网络的数据流进行识别,检测。层层把关,能够更加有效的抵御病毒对计算机网络的入侵。这是一种综合性防火墙技术,它可以弥补各种单一过滤技术的不足。
(3)为了进一步强化防火墙的安全策略功能。目前,很多防火墙技术生产商在现有的防火墙技术的基础上,又增加了用户认证系统。用户认证系统随着无线网络的普及应用,获得了众多无线网络电信商和用户的青睐。并逐渐成为无线网络安全应用的必备系统。
3.3 防火墙的系统管理发展趋势
随着防火墙技术的快速发展,加强防火墙的系统管理也成为网络技术发展的重点。首先是集中式管理。集中式管理的优点就是能够使生产商以最小的投入获取最大的效益。同时,还可以保证网络安全保障系统的一致性。从目前成功研发的事例来看,Cisco(思科)、3Com等几个大的防火墙技术开发商已经在注重加强防火墙的系统管理发展。其次是加大开发防火墙的监控和审计功能的力度。在防火墙技术研发过程中,我们不仅要注重事后治理,更要注重事前预防,未雨绸缪,将潜在的威胁扼杀在流入之初。最后是建立以防火墙为核心的网络安全体系。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
参考文献
[1]罗霁.并行多模式匹配算法及硬件实现研究[D].杭州电子科技大学,2013(06):10.
[2]杨旭.计算机网络信息安全技术研究[D]. 南京理工大学,2008(06):43
[3]信息技术研究中心.网络信息安全新技术与标准规范实用手册(第1版) [M].北京:电子信息出版社,2004:20-21.
作者简介
邓龙敏(1998-),男 ,湖北省黄石市人。现就读于鄂南高中,热衷于计算机网络技术研究。
关键词:因特网;网络安全;计算机防火墙技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 16-0000-02
计算机防火墙是一种获取安全性方法的形象说法,它由硬件设备和软件组合而成、在专用网络和公共网络之间、内部网络和外部网络之间的界面上构造一个保护屏障,使得不同的网络之间建立一个安全网关,以保护内部专门网络,使其免受非法用户的入侵[1]。
计算机防火墙的主要功能有:过滤掉不安全服务和非法用户[2];控制对特殊站点的访问;提供监视Internet安全和预警的方便端点。其功能主要体现在访问控制,内容控制,全面的日志;集中管理,自身的安全和可用性;流量控制,NAT,VPN等方面。
目前防火墙技术正在朝着智能化和分布化的方向发展,其中智能防火墙技术对数据的识别是通过利用记忆、概率、统计和决策的智能方法来进行的,以实现访问控制。智能防火墙采用新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制,可以很好的解决目前存在的网络安全问题。智能防火墙技术是计算机防火墙技术发展的必然趋势[3,4]。
1 计算机防火墙的分类及其原理
计算机防火墙根据工作机制的不同可分为包过滤防火墙、应用型防火墙、网络地址翻译及复合型防火墙。
1.1 包过滤防火墙
包过滤防火墙技术中预先设定有包过滤规则,包过滤防火墙工作在网络层,接收到的每个数据包都要同包过滤规则进行比较,然后决定该数据包是通过还是阻塞。
包过滤防火墙又分为无状态包过滤和有状态检查包过滤。无状态包过滤防火墙是最原始的防火墙,它是根据每个包头部的信息来决定是否要将包继续传输,从而增强安全性。其安全程度相对较低,它的内部网络很容易暴露,进而容易遭受攻击。在通信中,无法维持足够的信息来决定是否应该放弃这个包,因为任何一条不完善的过滤规则都会给网络黑客可乘之机。但是有状态检查包过滤其可以记住经过防火墙的所有通信状态,并依据其记录下来的状态信息数据包的允许与否。动态包过滤防火墙是目前最流行的防火墙技术。
1.2 应用型防火墙
是指服务器利用侦听网络内部客户的服务请求,然后将这些请求发到外部的网络中;当服务器从公共服务器处接收到响应后,其再将响应返回给原始的客户,其与原始的公共服务器所起的作用是一样的[3]。
应用级技术采用在OSI的最高层检查每一个IP包,进而获得安全策略。应用技术虽然在一定程度上保证了网络的安全,但是它对每一种服务都需要,且它工作在协议栈高层,执行效率明显降低,有时会成为网络的瓶颈。
1.3 网络地址翻译
网络地址翻译将专用网络中的ip地址转换成在因特网上使用的全球唯一的公共ip地址。尽管最初设计nat的目的是为了增加在专用网络中可使用的ip地址数,但是它有一个隐蔽的安全特性,如内部主机隐蔽等。这在一定程度上保证了网络安全。nat实际上是一个基本的,一个主机代表内部所有主机发出请求,并代表外部服务器对内部主机进行响应等。但nat工作在传输层,因此它还需要使用低层和高层服务来保证网络的安全。
1.4 复合型防火墙
出于更高安全性的要求,有些开发商常把包过滤的方法与应用的方法结合起来,开发出复合型的防火墙产品,这种复合型的防火墙用以下两种方式实现网络安全维护功能:(1)通过屏蔽主机防火墙体系结构,使分组过滤路由器或防火墙与互联网相连,同时在内部网络安装一个堡垒机,利用对过滤规则的设置,使堡垒机成为互联网上其他网络访问所能到达的唯一节点,确保内部网络不受未授权的外部用户的攻击。(2)通过屏蔽子网防火墙体系结构,将堡垒机安装在一个内部子网内,同时在这一子网的两端安装两个分组过滤路由器,使这一子网与互联网及内部网络分离,进而确保这一子网不受未授权的外部用户的攻击。在结构中,堡垒机和分组过滤路由器共同构成了整个屏蔽子网防火墙体系的安全基础。
2 常见网络攻击方式及网络安全策略
2.1 网络攻击方式
2.1.1 病毒
尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒阻止于网络之外,黑客欺骗用户下载某个程序,从而使恶意代码进入到计算机内网。应对策略:设置网络安全等级,对于未经安全检测的下载程序,严格阻止其任务执行[5]。
2.1.2 口令字
穷举与嗅探是口令字的两种攻击方式。穷举是通过外部网络的攻击对防火墙的口令字进行猜测。嗅探通过监测内部网络来获取主机给防火墙的口令字。应对策略:通过设计使主机和防火墙通过单独接口进行通信或是采用一次性口令等。
2.1.3 邮件
借助邮件进行的网络攻击方式日益明显,垃圾邮件的制造者通过复制方式,把一条消息变成几百几万份消息,并将其发送到很多人,当邮件被收到并打开时,恶意代码便进入到计算机系统。应对策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
2.1.4 IP地址
黑客通过利用与内部网络相似的IP地址,能够避开服务器的检测,从而进入到内部网进行攻击。应对策略:打开内核的rp_filter功能,把具有内部地址但是是来自网络外部的数据包全部丢弃;同时把IP地址和计算机的MAC绑定,拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问[5]。
2.2 网络安全策略
2.2.1物理安全策略
物理安全策略的目的有:(1)保护计算机、服务器、打印机等硬件设备与通信链路不受到人为破坏与搭线攻击等。(2)验证用户身份与使用权限,防止越权操作。(3)为计算机系统提供良好的工作环境。(4)建立安全管理制度,防止发生非法进入计算机控制室以及偷窃破坏活动等[6]。
目前,物理安全的防护措施主要有:(1)传导发射进行防护。如:在信号线与电源线上加装滤波器,使导线与传输阻抗间的交叉耦合减到最小。(2)对辐射进行防护。主要采取电磁屏蔽措施与干扰措施,在计算机系统工作时,通过利用屏蔽装置或者干扰装置来产生一种噪声,该噪声辐射到空中,能够掩盖计算机系统的信息特征与工作频率。
2.2.2 访问控制策略
作为最重要的网络安全策略之一,访问控制是确保网络安全运行的技术策略,其主要任务是指保护网络资源不被非常访问和非法使用。防火墙技术就是网络安全访问控制策略在实践中主要的应用。
2.2.3 网络安全管理策略
为了保证网络安全,除了采用物理安全策略和访问控制策略之外,加强网络的安全管理,制订有关规章制度,对于确保网络安全、可靠地运行,能起到十分有效的作用。
3 结论
随着互联网网络技术的快速发展,网络安全方面的问题必将引起人们越来越多的重视。计算机防火墙技术是用来维护网络安全的一种重要措施和手段,它主要作用是:拒绝未经授权的用户访问相关数据,阻止未经授权的用户存储或下载敏感数据,同时也要确保合法用户访问网络资源不受影响。防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。相信,随着新的计算机安全问题的出现和科学技术的进一步发展,计算机防火墙也将获得进一步的改进。
参考文献:
[1] Richard Tibbs, Edward Oakes. 防火墙与VPN原理与实践[M].清华大学出版社,2008.
[2]阎慧.防火墙原理与技术[M].机械工业出版社,2004.
[3]王艳.浅析计算机安全[J].电脑知识与技术,2010,5:1054-1055.
[4]栾江.计算机防火墙发展现状及应用前景[J].信息与电脑,2010,6:17.
[5]周立.计算机防火墙技术原理分析及应用展望[J].硅谷,2008,10:49-50.
关键词:防火墙 深度检测 研究分析
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)04-0000-00
传统的防火墙主要在访问控制列表为基础进行过滤的,它有专门的内部网络入口,也被人称作“边界防火墙”。在近几年来防火墙技术的地位越来越重要,其最新改进的技术――深度包检测技术,是可以看到传统防火墙的入侵检测与阻止的整合,也是解决传统防火墙所遇到问题的新技术,在防火墙发展过程中具有重要的作用。
1 防火墙技术发展历程
1.1 包过滤防火墙
第一代防护墙包过滤是没有相关状态的概念,管理工作人员只需要通过过滤就可以允许或是禁止访问控制列表中的选项。包过滤防火墙在发展中其安全属性具有一定的缺陷,应用层的信息是系统没有办法获取的,防火墙没有办法理解通信的内容是非常容易被黑客攻击的。正是因为这个原因,人们更多的人们包过滤防火墙技术不够安全,在发展中慢慢被状态检测防火墙技术取代了。
2.2 状态检测防火墙
相对于包过滤防火墙技术来说,状态防火墙技术在性能、扩展等方面的表现出来的优势使其很快就成为防火墙技术的佼佼者。在上个世纪九十年代推出第一台商用的状态检测防火墙产品,随后得到快速的发展。状态检测防火墙主要是在网络层工作,对包过滤防火墙比较看,它所做出的决策是在会话信息基础上而不是包的信息。状态检测防火墙在验证数据包时候会先判定这个数据是否符合当前的会话,同时还可以在状态中保存这些信息。状态检测防火墙技术对异常的TCP网络层的攻击有着一定的阻止作用。有些网络设备是可以将数据包分解成更小的数据帧。该种防火墙技术在一定的时间内是人们使用最广泛的技术,用来保护计算机网络不受到黑客的攻击,但是专门对应用层网络攻击的现象越来越多时候,状态检测防火墙技术的有效性也在不断的下降。由于状态防火墙在设计的时候并没有专门的根据Web应用程序的攻击进行设计,这样深度包检测防火墙技术应用而生。
2.3 深度包检测防火墙
深度包检测防火墙技术可以更好的处理应用程序上的流量问题,可以很好的防范目标系统受到各种复杂的攻击,将状态检测的优势很好的结合起来。它可以对数据流量进行分析同时还可以做出访问的控制判决,根据允许的数据流量对负载做出相关的决策。
3 深度包检测技术特点
随着科技的发展,深度包检测技术在不断的更新换代中进而实现深度包检测的功能。深度包检测防火墙技术在一定的程度上融合了包过滤与状态检测防火墙技术的功能,主要具有以下4个功能特征。
3.1 应用层加密与解密
SSL通常被运用在Web浏览器与服务器之间认证身份的加密数据传输,进而确保数据的安全性。该种技术在运用的时候对防火墙也就提出了更高的要求――要对数据的加密与解密进行处理。若是不能够对SSL加密的数据进行解密的话吗,那么防火墙就没有办法对负载的信息进行相关的分析,更没有办法判断出数据中是否具有相关应用层的攻击信息,同时没有办法体现出深度包检测的优势。SSL的加密性能非常高,当前很多企业使用来保证应用程序数据的安全,若是深度包检测技术没有办法对企业中的关键应用程序提高安全性能的化,那么也就是说整个深度包检测失去它的意义。
3.2 正常化技术
为了可以很好的防范应用层的攻击通常情况下主要是依赖字符串的匹配,但是不正常的匹配在很大的程度上会造成安全漏洞。例如,为了能知道某种请求是否可以启用,防火墙的请求就会与安全策略来匹配,只有匹配成功了,防火墙才会采用安全策略。在解决字符匹配的时候是需要利用正常化技术的,只有深度包检测才具备这样的功能,可以识别与阻止大量的危险攻击。
3.3 协议一致性
应用层协议一致性通常在应用程序中会用到,协议都是由RFC进行规范建设的。因为深度包检测是在应用层中进行状态检测的,因而就必须要明确应用层中的数据是否与这些协议一致,这样才会防止隐藏的攻击。
3.4 双向负载检测
与包过滤检测、状态检测来说,深度包检测具有很强大的功能,它是可以允许与拒绝数据包的通过,通常主要是检查与修改四到七层的数据包,主要有包头、负载。深度检测防火墙是可以自动的进行匹配,这样能正确检测出服务质量如何。若是请求不匹配那么深度包检测就会自动将其丢掉,同时将其写入到日志中,也会向管理员发出警告。另外,深度包检测技术是可以进行修改URL,这一点是与应用层的NAT相似。在复杂的网络环境中,为了可以提供全面的防护,进行深度包检测是一定的。深度包检测技术还在不断的发展中,但其基本具有以上的特点。最近几年里,随着编程ASIC技术发展与有效的规则算法出现使得深度包检测引擎的执行能力加强,应用深度检测技术越来越受到好评,很多防火墙的供应商都在不断的增加对防火墙产品中应用数据进行分析。
4 结语
虽然深度包检测技术受到越来越多好评,但是其也具有相当多的缺点。当前的深度包检测产品通常都是一体化的安全设备,这样就会由于单个安全组件的瘫痪而引起整个网络处于安全漏洞的状态下。同时将更多的功能集中在一起,也就越可能的限制单个产品供应商,这样在一定的程度上就会使我们丧失了灵活性。网络安全问题正在处于复杂的境地,有着各种各样的传统防火墙与入侵技术,因而当深度包检测的融合能否降低复杂性,还是需要不断的发展观察。
参考文献
[1] 刘坤灿.防火墙深度包检测技术的研究与实现[D].北京邮电大学,2013(01).
[2] 芦志朋.深度包检测主机防火墙的研究与实现[D].电子科技大学,2010(03).
[3] 艾鑫.众核环境下深度包检测系统的设计与优化[D].哈尔滨工业大学,2013(06).
关键词:网络隔离;防火墙技术;比较
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 09-0000-01
Comparative Study of Network Isolation and Firewall Technology
Wang Lei
(Hunan Women's University,Changsha410004,China)
Abstract:Based on the network and firewall technology,isolation technology and the principles described in terms of security from both analysis and comparison of network isolation to draw users to solve network security problems is the best choice.
Keywords:Network isolation;Firewall technology;Comparison
一、前言
随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展,宽带网已经得到普及。业界电子商务的开展,海量的网络信息,日趋丰富的网络功能使得“网上办公”条件已经成熟。办公信息化带来了办公效率质的飞跃,但办公信息化的安全,也极大地引起人们的关注和思考,相应的网络隔离技术与防火墙技术的应用研究引起了人们的高度重视。
二、网络隔离技术简介
(一)网络隔离技术的发展历程
网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。
(二)网络隔离技术原理
网络隔离产品采用了网络隔离技术,是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,网络隔离产品从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
(三)网络隔离设备的实现机制
网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元,内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP/IP协议的数据连接,并通过私有协议进行数据的交换。
三、防火墙的体系架构介绍
目前的防火墙大都依靠于对数据包的信息进行检查,检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头,要了解防火墙的具体架构,就需要分析检查它是哪一层协议的信息。根据OSI模型,防火墙架构包含以下几种:包过滤防火墙,电路网关防火墙,应用网关防火墙,状态检测包过滤防火墙和切换防火墙。防火墙是建立在内外网边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火墙对网络安全的保护程度,很大程度上取决于防火墙的体系架构。随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
四、防火墙存在的安全漏洞
防火墙设备侧重于网络层到应用层的策略隔离,操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安全的潜在因素。首先由防火墙的体系架构可知,防火墙可能会产生网络层短路,从而导致伪造合法数据包带来的危害;防火墙还难以抵御数据驱动式攻击,即大量合法的数据包将导致网络阻塞而使正常通信瘫痪。其次,防火墙很难阻止由通用协议本身漏洞发起的入侵。第三,防火墙系统本身的缺陷也是影响内部网络安全的重要因素,当防火墙主机被控制后,内部受保护网络就会暴露无疑。第四,要使防火墙发挥有效的安全性,需要正确、合理地配置防火墙相关的安全策略,而配置的复杂程度不仅带来繁琐的工作量,同时也增加了配置不当带来的安全隐患。
五、安全性分析比较
(一)指导思想不同
1.防火墙的思路是在保障互联互通的前提下,尽可能安全;
2.网络隔离技术的思路是在保证必须安全的前提下,尽可能互联互通。
(二)体系架构不同
网络隔离产品一般为双机或三机系统,而防火墙由一台处理机组成,为单机系统。而网络隔离设备实现了OSI模型七层的断开和应用层内容的检查机制,因而不会产生网络层短路,消除了基于网络协议的攻击。
(三)安全规则配置的复杂程度不同
防火墙主要依据网络治理工程师配置的规则进行安全检查,其安全性的高低与规则配置情况密切相关。规则配置十分复杂,规则最终所起的作用不仅与每条规则有关,而且与每条规则的先后顺序、规则之间的相关性都有很大关系。网络治理工程师必须仔细检查每条规则,以保证其结果是其预期的结果。从另一个方面讲,防火墙的配置要求网络治理工程师有较高的网络知识和技术水平。防火墙只是一个被动的安全策略执行设备,防火墙不能防止策略配置不当或错误配置引起的安全威胁,规则配置错误将造成不安全通道打开。而网络隔离设备无需进行复杂的规则配置,只需设定一些内外网访问政策。网络隔离设备仅答应定制的信息进行交换,即使出现错误,也至多是数据不再答应传输,而不会造成重大安全事故。
参考文献:
