防火墙安全技术
- 7/14/2014 5:31:55 PM
- 蓝梦
- 网络安全
- 来源:蓝梦网络营销策划有限公司
- 围观:次
在构建安全的网络环境的进程 中,防火墙作为第一道安全防线,正遭到 愈来愈 多用户的关注。通常一个公司在购买网络安全设备 时,总是把防火墙放在首位。目前,防火墙已 成为世界上用得最多的网络安全产品之一。那么 ,防火墙是如何保证网络系统的安全,又如何实现本身 安全的呢?
尽人皆知 ,防火墙是一种将内部网和公众网如 互联网 分开的方法。它能限制被保护的网络与互联网络之间,或 与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和互联网 之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换——NAT技术、代理技术等。
包过滤技术(Packet Filter)是防火墙为系统提供安全保障的主要技术,它通过设备 对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤(通常是对从互联网络到内部网络的包进行过滤)。用户可以设定一系列的规则,指定允许哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包的传输应当 被拦截。包过滤规则以IP包信息为基础, 对IP包的源地址、 IP包的目的地址、封装协议(TCP/UDP/ICMP/IP Tunnel)、端口号等进行挑选 。包过滤这个操作可以在路由器上进行,也能够 在网桥,乃至 在一个单独的主机上进行。
传统的包过滤只是与规则表进行匹配。防火墙的IP 包过滤,主要是根据一个有固定排序的规则链过滤,其中的每 个 规则都包括 着IP地址、端口、传输方向、分包、协议等多项内容。同时,一般防火墙的包过滤的过滤规则是在启动时配置好的,只有系统管理员才可以修改,是静态存在的,称为静态规则。东方龙马防火墙采取 了基于连接状态的检查,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合进行检查。
网络地址转换是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器获得 注册的IP地址。
NAT的工作进程:
在内部网络通过安全网卡访问外部网络时,将产生一个映照 记录。系统将外出的源地址和源端口映照 为一个假装 的地址和端口,让这个假装 的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它其实不 知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来要求 访问。OLM防火墙根据预先定义好的映照 规则来判断这个访问是不是 安全。当符合规则时,防火墙认为访问是安全的,可以接受访问要求 ,也能够 将连接要求 映照 到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接要求 。网络地址转换的进程 对 用户来讲 是透明的,不需要用户进行设置,用户只要进行常规操作便可 。
利用 代理或代理服务器(ApplicationLevel Proxy or Proxy Server)是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的要求 确认后投递 外部服务器,同时将外部服务器的响应再回送给用户。这类 技术被用于在Web服务器上高速缓存信息,并且扮演Web客户和Web服务器之间的中介角色。它主要保存因特网上那些最常常 使用 和最近访问过的内容,为用户提供更快的访问速度,并且提高网络安全性。这项技术对ISP很常见,特别是如果它到因特网的连接速度很慢的话。在Web 上,代理首先试图在本地寻觅 数据,如果没有,再到远程服务器上去查找。也能够 通过建立代理服务器来允许在防火墙后面直接访问因特网。代理在服务器上打开一个套接字,并允许通过这个套接字与因特网通讯 。
如果防火墙系统本身被攻击者突破或迂回,对内部系统来讲 它就毫无意义。因此,保障防火墙本身 的安全是实现系统安全的条件 。一个防火墙要抵抗 黑客的攻击必须具有周到 的体系结构和安全的网络结构。