【 摘 要 】 通过对网络防火墙的概念和功能、各种网络防火墙新技术的原理、优点和应用、网络防火墙发展趋势等进行分析和研究,得出网络信息安全是一项持久的、任务艰巨的长期工作,需要我们不断地探索,才能研究出安全性较高的安全防御系统,才能进一步提高网络系统的安全性。
【 关键词 】 防火墙;嵌入式;智能;分布式;安全
【 中图分类号 】 TP393 【 文献标识码 】 A
【 Abstract 】 Based on the conception and function of network firewall, a variety of the principle, advantages and application of the new technological network firewall, the analysis and research about the development trend of network firewall, it is concluded that the network information security is a lasting and difficult task for a long time, we need to explore and study security defense system constantly in order to further improve the security of network system.
【 Keywords 】 firewall; embedded; intelligent; distributed; security
1 引言
随着计算机技术、通信技术和信息技术的快速发展,计算机网络已经成为人们交换信息的重要手段,并且已经渗透到人们生活的每一个角落,各行各业都离不开计算机网络。然而计算机网络带给我们便利的同时可能隐藏安全风险,因此我们在使用计算机网络时一定要认清网络潜在的安全威胁,并采取强有力的安全措施以保障网络信息的安全,这是我们每一个网络用户必须要重视的事情。本文主要就从保障网络安全方面入手,着重讨论了网络防火墙技术的发展及其应用,让我们进一步认清网络防火墙在网络安全方面的重要作用。
2 网络防火墙概述
防火墙(Firewall)作为一种访问控制技术,通过严格控制进出网络边界的数据分组,禁止任何不必要的通信,从而可以减少网络入侵的发生,要尽可能地降低网络安全威胁所带来的安全风险。防火墙是在网络的边界上建立的网络通信监控系统,用来保障网络的安全,网络防火墙是由软件和硬件组合而成的,在内网和外网之间建立的保护内网安全的系统。网络防火墙的功能主要为几个方面:其一,内部网络加装防火墙之后能极大地提高网络的安全性,并通过安全策略过滤掉不安全的数据包,可以降低风险;其二,如果进出内部网络的数据包都经过防火墙,那么防火墙就能对网络的访问进行监控审计,就能记下这些访问并做好日志记录情况,同时对网络的使用情况进行统计,如果存在不安全访问,防火墙就能监控到这些信息并能做出相应的处理;其三,防火墙可以对网络的安全策略进行强化,可以将大部分的安全软件在防火墙上进行配置,如审计、身份验证、口令等,这样一来就可以将网络的安全集中在防火墙上而不需要再分散在每一个主机中,从而就可以降低网络管理的费用,同时网络管理也会变得易于实现;其四、防火墙可以防止内部网络信息的外泄,保护数据的安全。因此,网络防火墙在网络信息安全中将起到非常关键的作用。
3 防火墙新技术
3.1 嵌入式防火墙技术
嵌入式防火墙就是将防火墙的安全功能嵌入在交换机或者是路由器中,这种方式也是目前某些路由器的标准配置,如果路由器或防火墙是插槽式模块化的,用户可以单独购买防火墙安全功能模块然后安装在相应的插槽即可,这种嵌入式防火墙有时也称为阻塞点防火墙。防火墙的功能是有一定的局限性的,并不是所有的网络安全威胁都能得到防火墙的正确处理,这与互联网中的服务种类以及网络协议的多样性有关。嵌入式防火墙技术的优点是为了改善各类网络安全能力不完善的内网中的边缘防火墙、防病毒入侵程序、网络入侵检测告警程序和网络代理程序而设计的,不论企业内部网的拓扑结构如何,防护措施都能延伸到网络的边缘并为网络提供安全保护,嵌入式防火墙是基于硬件的,它能够独立于主机操作系统与其他的系统安全程序而运行,还可以在安全性较差的链路实现安全移动与远程接入。这种防火墙主要应用在移动办公用户通过互联网远程连接公司的企业网时为用户提供安全防护,能为网络中防护最薄弱的和未被保护的领域提供安全防护。
3.2 智能防火墙技术
智能防火墙技术是利用概率与决策、统计与记忆的智能检测方法来对网络中的数据包进行识以达到对网络安全访问控制的目的。采用新的数学方法,可以消除大量的数据值匹配检查所需要的海量计算,可以高效发现网络行为的特征值,从而可以直接对网络进行安全访问控制,这些方法大部分是人工智能知识领域的方法,因此就把这种防火墙称之为智能防火墙。
智能防火墙的主要技术有:1)网络防攻击技术,它能自动识别出恶意的数据流,并采取有效措施对不安全的数据流进行阻断;2)防扫描技术,它能自动识别出恶意黑客的威胁扫描,并采取相应的措施阻断其扫描或者对扫描者进行欺骗,它还能有效解决恶意代码的不安全扫描攻击;3)协议正常化和包擦洗技术,它能对互连网中通信协议如IP、TCP、UDP以及ICMP等协议进行擦洗,以实现协议的正常化技术,达到消除潜在的协议风险攻击的目的,这种技术对消除TCP/IP协议的缺陷以及各类应用协议的不完善所带来的威胁具有明显的效果;4)防欺骗技术,它是基于MAC的访问控制技术,可以有效防止MAC欺骗和IP欺骗,同时支持MAC过滤和IP过滤,这种防火墙技术是将网络安全访问控制功能扩展到数据链路层;5)入侵防御技术,这种技术是采用了多种系统检测技术,如已知特征检测、特征库检测等,能从多个方面检测出不安全因素,能完成深层数据包的监控并能阻断应用层的攻击,可以对准许放行的数据包进行入侵检测并提供入侵防御保护措施;6)AAA技术,这种防火墙加强了对IP层的身份认证功能,是基于身份实现安全访问控制的,进一步提高了系统的安全性。
智能防火墙的优点是可以解决拒绝服务攻击、病毒传播以及网络入侵等问题,可以说是防火墙技术发展的主流,与传统的防火墙相比安全性有较大的提高,比如在系统最小化、内核安全、系统优化、权限管理、网络性能等方面都比传统防火墙优越。智能防火墙主要用在防黑客攻击、防恶意数据攻击、防MAC和IP欺骗等方面,这种防火墙在保护网络和站点免受黑客攻击、有效管理和
监控内部局域网、保护必要的应用安全、身份认证和授权、管理审计等方面都有很好的应用前景。
3.3 分布式防火墙技术
分布式防火墙技术是针对传统的边界防火墙的不足而提出的。从狭义上来讲就是指那些将安全功能分散在网络中的主机并对主机自身能提供安全保护的软件;从广义上来讲,这是一种新的网络安全体系,主要包含的安全类型有几种:其一是网络防火墙,主要是用于内外网之间和内部子网之间的安全保护;其二是主机防火墙,这种防火墙主要是对网络中的主机进行全面防护,这些主机的位置可能在内网中,也可能在外网中;其三是中心管理防火墙,这种防火墙是分布式防火墙体系的核心和特征之一,对于分布式防火墙来说,每个防火墙可以根据监测机制和安全性能的不同是分布在网络中的不同位置上的,但作为对网络的整体安全的管理,网络的总体安全策略又是统一策划和管理的,安全中心的安全策略的分发和安全日志的汇总都是管理中心来完成的,这是对传统防火墙局部管理不足的补充。分布式防火墙技术的优点是相对于传统防火墙来说在网络内部又增加了一层安全防护措施,可以有效防御来自内部网的攻击,可以消除网络边界上的通信瓶颈,同时还支持基于加密和认证的网络应用,支持移动计算,与网络的拓扑结构无关,补充了传统防火墙的不足,进一步提高了网络系统的安全性。这种防火墙主要应用在企业网中的各个节点上,主要用来解决来自内部网的攻击,它弥补了传统防火墙的缺陷,有效地保护了主机,满足了网络应用的需求。
4 网络防火墙发展趋势
随着网络技术的不断发展,网络防火墙技术也在不断发展和进步,安全性能也越来越来高,从目前来看,网络防火墙主要向几个方面发展:其一,由于对网络上传输的数据的安全、加密需求的要求越来越来高,因此用防火墙在互联网建立VPN成为企业内部网的发展趋势;其二,防火墙的过滤的范围和深度不断加强,主要表现在由以前的网络层的单层过滤、源和目的地址过滤、路由过滤等发展到内容过滤、Web页面审查、对存在安全隐患的ActiveX等的过滤;其三,主要是对传统防火墙功能的不足进行补充,增加对内部网络的防护措施,加强对网络攻击的检测和警告;其四,由于没有一种解决方案能够百分之百地进行网络安全防护,因此要不断加强网络安全管理和安全审计的强度,不断地提高网络的安全性能;其五,防火墙技术将从目前的被动防护状态逐渐转变为一种智能的、能够动态对内部网络进行防护的,集成多种网络信息安全技术的安全产品。
5 结束语
由于网络安全攻击的不确定性,并且随着时间的推移、技术的进步会出现新的安全威胁,如新的网络病毒不断出现等,因此没有一种能够完全防御网络信息安全攻击的策略,这就需要不断发展新的技术,对所采用的网络防御措施及时更新升级,以便能最大程度地确保网络信息的安全。我国信息网络安全技术的研究相比较信息技术发展较快的国家来说起步较晚,技术还不成熟,这就需要我们不断努力去学习、研究和探索,研究出具有中国特色的网络信息安全发展之路,技术水平要尽快赶上或者要超越目前技术较高的国家,以便更有效地保障我国网络信息的安全。
参考文献
[1] 华建祥.基于安全服务的网络安全平台构建研究与实践[J].哈尔滨师范大学自然科学学报,2015,31(2):86-89.
[2] 丁颜彦,李红双,赵瑞等.浅析现代通信网络安全防护技术[J].信息系统工程,2015(1):67.
[3] 许彩芳,查道贵.防火墙背景下的网络安全技术探讨[J].吉林广播电视大学学报,2014 (12):54-55.
[4] 方玲,仲伟俊,梅姝娥.基于威胁的信息系统安全技术选择策略研究[J].武汉理工大学学报(信息与管理工程班),2014,36(6):857-860.
.Journal of Southeast University,2011,27(2):144-147.
.Information Systems Research,2009,20(2):198-217.
作者简介:
邵泽云(1980-),男,甘肃西和人,陇东学院,教师;主要研究方向和关注领域:计算机网络与计算机应用方面的教学与研究。
曹来成(1965-),男,甘肃静宁人,兰州理工大学,硕士生导师;主要研究方向和关注领域:网络与信息安全。