扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
(三)状态包过滤型防火墙
为了克服包过滤模式明显的安全性不足的问题, 一些包过滤型防火墙厂商推出了状态包过滤的概念。在包过滤技术的基础上,通过基于上下文的动态包过滤模块检查,增强了安全性检查。它不再只是分别对每个进来的包简单地就地址进行检查,动态包过滤型防火墙在网络层截获进来的包,直到足够的数量,以便能够确定此试图连接的有关“状态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后,记录在动态状态表中,以便对其后的数据包通讯进行安全评估。经过检查的包穿过防火墙,在内部与外部系统之间建立直接的联系。
尽管基于上下文的状态包过滤检查的方法明显地提高了安全性,但它仍然无法与应用层代理防火墙相比。动态包过滤防火墙的典型代表是CHECKPOINT FIREWAL-1防火墙。下图显示的是基于上下文的动态包过滤防火墙的逻辑结构。
TCP/IP的灵活设计和Internet的普遍应用为网络黑客技术的发展提供了基础,黑客技术很容易被别有用心或喜欢炫耀的人们掌握,由此黑客数量剧增。加之网络连接点多面广,客观上为黑客的入侵提供了较多的切入点。企业计算机网络中内部网上的信息有许多是属于机密数据,一旦被不怀好意的黑客窃取或被竞争对手得到,都将带来难以估量的损失。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统。就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。
本着经济、高效的原则,有必要将内部网和外部不信任网络、内部网络中主要的应用服务器和内部其它网段用防火墙隔离保护,以实现对内部网以及主机系统的访问控制和边界安全的集中管理。
四、防火墙方案具体实现
(一)产品选型原则
在进行防火墙产品选型时,除了必须遵循网络安全体系设计原则外,还要求防火墙至少应包含以下功能:
1、访问控制:通过对特定网段和特定服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前;
2、攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时地检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);
3、加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息;
4、身份认证:良好的认证体系可防止攻击者假冒合法用户;
5、多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;
6、隐藏内部信息:使攻击者不能了解系统内的基本情况;
7、安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。
在实际的网络中,保障网络安全与提供高效灵活的网络服务是矛盾的。从网络服务的可用性、灵活性和网络性能考虑,网络结构和技术实现应该尽可能简捷,不引入额外的控制因素和资源开销。但从网络安全保障考虑,则要求对网络系统提供服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力,实现这样附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用,从而对网络系统的性能、服务的使用方式和范围产生显著影响。此外,保障网络安全常常还涉及到额外的硬件、软件投入及网络运行管理中的额外投入,由此可见,保障网络的安全是有代价的。对安全性的追求可以是无限的,但费用也会随之增长。以防火墙建立一套安全系统,可充分兼顾以下因素:
1、安全性与方便
一般来说,网络使用的方便性会因采用了网络安全措施而降低。防火墙无论从安装、配置到策略调整都在同一个GUI界面下完成,管理十分方便快捷,网络管理员的额外工作强度很小。此外,防火墙内外网卡透明设置也极大地方便了内部用户,内部工作站(包括服务器)不必增加任何额外的配置。
2、安全性与性能
对网络来说,安全措施是靠网络资源来完成的,它或者是占用主机CPU和内存,或者是占用网络带宽,或者是增加信息处理的过程,所有这些都可以导致整体性能降低防火墙拥有独特的状态包过滤技术,在安全性和速度之间可以自动找到理想的平衡点。
3、安全性与成本
采用网络安全措施或建立网络安全系统都会增加额外的成本,这里包括购买硬件、软件的花费,系统设计和实施费用,管理和维护安全系统的费用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。