科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道提高防火墙安全:防火墙需要自免疫设计

提高防火墙安全:防火墙需要自免疫设计

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

任何防火墙都是由硬件平台、基本操作系统和防火墙功能软件组成,无论软件防火墙还是硬件防火墙,其实质都是软件,只是产品的表现形式不同。

作者:中国IT实验室 2007年8月16日

关键字: 防火墙 硬件防火墙 软件防火墙 cisco防火墙 防火墙设置 Linux防火墙

  • 评论
  • 分享微博
  • 分享邮件

  防火墙是实现网络安全的主要产品。它的作用是在不安全的网络环境中构造一鱿喽园踩淖油肪常乐狗⑸豢稍げ獾娜肭帧?  

  任何防火墙都是由硬件平台、基本操作系统和防火墙功能软件组成,无论软件防火墙还是硬件防火墙,其实质都是软件,只是产品的表现形式不同。无论是哪一种形式,如果防火墙不能有效保护自身系统免受攻击或阻止攻击者进入内部网络,其后果都是灾难性的。  

  防火墙面临的威胁

  一直以来,黑客都在研究攻击防火墙的技术和手段,攻击防火墙的手法和技术越来越智能化和多样化。从黑客攻击过程来看,防火墙面临以下三种威胁。  

  ● 探测在目标网络上安装的是何种防火墙系统并且找出防火墙系统允许哪些服务通过。  

  ● 采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而对防火墙和内部网络进行破坏。  

  ● 寻找、利用防火墙系统设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。

  无论哪一种防火墙,在第三种攻击面前都显得非常脆弱,这是因为防火墙本身存在设计缺陷。在某些条件下,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的数据包头部,穿过防火墙系统对内部网络进行攻击。防火墙系统安全的自免疫设计关键就在于解决第三种类型的攻击,从而提高防火墙系统的抗攻击能力。  

  防火墙自免疫的意义

  在防火墙保护的网络内部,一些攻击者利用防火墙设计上的缺陷获得了对防火墙系统的管理权限,并修改防火墙系统。  

  如果这种行为只是内部用户为了上网方便,危害倒不是很严重,但如果外部恶意入侵者利用这一点,目的是为了打开企业门户,其后果就不堪设想。这是因为防火墙的安全策略、规则列表是防火墙系统的灵魂,得到它们就等于得到整个内部网络的资源,因此人们必须考虑防火墙系统的自身安全。  

  保证防火墙的自身安全通常有两种方法:一是加强操作系统的安全,二是对不安全的操作系统进行有效保护。大部分硬件防火墙厂商都使用了“自主开发”的安全操作系统。但是即使最简化的操作系统也会涉及内存管理、总线管理、设备管理、代码编译、中断管理等诸多复杂问题,这些工作量和复杂度往往是不可估量的。而在现有操作系统的基础上进行改造也是有难度的。  

  一个完善的防火墙必须要充分考虑防火墙的系统安全。防火墙自免疫系统是防火墙系统提高自身安全性的重要手段。通过对防火墙自身的文件、数据、信息进行检测和校验,由防火墙自身来确保自己的系统安全。  

  防火墙的自免疫系统

  保护网络系统免受攻击可以由防火墙功能软件实现,那么怎么来保护防火墙自身的重要数据和信息安全呢?  

  这就需要开发防火墙自免疫系统模块。防火墙自免疫系统是防火墙系统的一个组成部分,防火墙自免疫系统主要包含完整性检查模块和审计分析模块。  

  完整性检查模块主要是对防火墙的重要文件和数据进行完整性检查。入侵者进入系统后通常会修改系统文件。完整性模块用来鉴别防火墙系统是否被修改,如有变动,则恢复或者升级防火墙系统。  

  审计分析模块主要是对防火墙的重要文件和数据访问做详细的记录和分析。如果防火墙被修改了,根据该模块的记录,人们可以追踪入侵者的踪迹,衡量防火墙的改动情况,如有必要可以升级防火墙,修改系统的安全策略。  

  防火墙自免疫系统是对各种攻击手段的分析后得到的一个遏制策略。它将防火墙的安全性从操作系统、网络拓扑结构等相依赖的因素里面分离出来,由防火墙自己解决自身的安全问题。  

  防火墙自免疫系统设计的根本目的是为了加强防火墙系统的安全,弥补防火墙在设计上的安全漏洞。提高防火墙保护网络安全的能力,还需要在防火墙安全策略的设计上下功夫,防火墙的深度包检测技术、内容过滤技术、智能识别攻击技术等等都是防火墙发展的热点技术,可以真正提高防火墙的安全防护能力,更好地保护网络资源。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章