学文网摘要: 本文首先对计算机网络安全中的防火墙技术进行了概述,然后论述了网络防火墙技术的分类,最后对防火墙的未来发展趋势进行了介绍。
关键词: 网络安全 防火墙技术 分类 发展趋势
1.引言
近年来计算机网络技术的更新与发展,加快了计算机的普及,形成了计算机技术和计算机信息资源的强强联合与共享的整合。网络已经成为了人类所构建的最丰富多彩的虚拟世界。但计算机网络的迅速发展在提高了工作效率的同时,也带来了日益严峻的问题——网络安全。近年来,网络安全事故频发,新的病毒和木马程序也不断出现。我们可以通过很多网络工具、设备和策略来保护不可信任的网络,其中防火墙是运用非常广泛和效果最好的选择。
2.防火墙技术概述
顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部免受非法用户的侵入,防火墙主要由服务访问***策、验证工具、包过滤和应用网关4个部分组成。从某种意义上来说,防火墙实际上代表了一个网络的访问原则。如某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定哪些类型的信息允许通过防火墙,哪些类型的信息不允许通过防火墙。
3.防火墙技术的分类
防火墙技术可分为包过滤型、型和监测型等三大类型。
3.1包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。包过滤型防火墙一般是通过检查数据包中的地址、协议、端口等信息按照事先设定好的条件进行过滤,对数据包实行有选择的通过,符合规定条件的允许通过,不符合条件的禁止通行。系统管理员也可以根据实际情况灵活制定判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术是一种完全基于网络层的安全技术,无法识别基于应用层的恶意侵入。
3.2型
型防火墙,代表某个专用网络同互联网进行通讯的防火墙,它的安全性高于包过滤型产品,并已经开始向应用层发展。当你将浏览器配置成使用功能时,防火墙就将你的浏览器的请求转给互联网;当互联网返回响应时,服务器再把它转给你的浏览器。服务器也用于页面的缓存。内部网络与外部网络之间不存在直接连接。
3.3监测型
监测型防火墙是新一代的产品。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够监测来自网络外部的攻击,而且对来自内部的恶意破坏有极强的防范作用。虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,因此目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。
4.防火墙技术的发展趋势
防火墙技术是随着科技的进步而不断改进的。作为保护网络边界的安全产品,防火墙技术也已经逐步趋于成熟,并为广大用户所认可。但是防火墙所暴露的问题也慢慢凸显出来。未来防火墙是朝高速、多功能化、模块化的方向发展。
4.1高速防火墙
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全,而且应该具有更为优良的整体性能。传统的型防火墙虽然可以提供较高级别的安全保护,但是同时它也成为限制网络带宽的瓶颈,这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。自然,数据通过率越高,防火墙性能越好。
这里还要提到日志问题,根据国家有关标准和要求,防火墙日志要求记录的内容相当多。随着网络流量越来越大,庞大的日志对日志服务器提出了很高的要求。目前,业界应用较多的SYSLOG日志,采用的是文本方式,每一个字符都需要一个字节,对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。所以,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
4.2多功能化
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSEC ***,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
4.3模块化
网络产品的设计与开发基础离不开用户的需求。而网络用户各异。带来的需求各异,对防火墙的要求就会灵活多样。根据用户需求和威胁的动态变化灵活配置的模块化防火墙,可以实现更好的扩展性,而且维护和升级更加方便,因此防火墙的模块化发展是未来的重要发展趋势之一。
5.结语
随着新的防火墙技术的研发,防火墙技术在网络安全方面将会发挥越来越重要的作用。防火墙是网络安全的重要安全保障,如何提高防火墙在实际中的应用能力来保证系统的高速高效运行,对网络的安全至关重要。
参考文献:
[1]Charles P.Pfleeger Shari LawrencePfleeger.信息安全原理与应用.电子工业出版社.
[2]凌力.网络协议与网络安全.清华大学出版社.
[3]袁家***.计算机网络安全与应用技术.清华大学出版社.
[4]蔡立***.计算机网络安全技术.中国水利水电出版社.
转载请注明出处学文网 » 网络安全中的防火墙技术