论文部分内容阅读
摘 要 防火墙作为最早出现的网络安全产品,一直备受网络用户欢迎。引入防火墙以后,局域网的安全得到了更好的保护。本文对防火墙的概念和功能进行了介绍,并对以防火墙为核心的网络安全架构做了一些相应的研究。
关键词 防火墙技术;网络;安全;体系架构
中图分类号:TN711 文献标识码:A 文章编号:1671—7597(2013)032-047-01
随着越来越多的企事业单位的内部网络连接到Internet上及越来越多的企业组建Intranet和Extranet,网络安全问题日益突出。如何保护企事业单位的机密信息不受黑客的入侵,已成为企事业单位信息化健康发展重要因素之一。防火墙作为一种访问控制技术,己经成为保护网络安全的一个重要措施,也是网络安全研究领域中的核心问题之一。
1 防火墙简介
防火墙实际上是一种隔离技术,它是设置在不同网络或不同网络安全区域之间的一组组件的集合。防火墙作为一个网络安全的核心,是不同网络或不同网络安全区域之间信息传递的唯一出入口,它可以根据已设定的网络安全策略,在两个网络通讯时执行一种访问控制尺度,从而达到控制通讯中出入的网络信息流的目的。防火墙作为实现网络信息安全的基础设施,其本身也具有较强的抗攻击能力,通过在网之间建立安全控制点,防火墙可以有效减少由于恶意用户访问给网络信息安全带来的威胁。
在没有防火墙的环境中,不同网络之间的数据传输是自由的,网络的安全与否主要取决于网络内部最弱的节点的坚固程度。引入防火墙后,网络的安全性在防火墙上得到了统一的加固,主要表现在:1)强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具,实现对用户和服务的访问控制。2)记录与Internet之间的通信活动。作为内外网之间唯一的放完通道,防火墙能够记录内部网和外部网络之间发生的多有事件。3)实现了网段之间的隔离或控制。防火墙的隔离作用,可控制一个有问题网段中的问题在整个网络中的传播。4)提供一个安全策略的检查站。防火墙的引入使所有进出网络的信息都必须通过防火墙进行安全检查,这样防火墙就可以把所有可疑的访问拒之门外。
随着网络数据流量的日益膨胀,网络处理器性能和效率不断增高,各类的网络攻击也是层出不穷。防火墙作为整个网络安全防护的一部分,只能对经过防火墙的网络数据流进行控制和处理,对于绕过防火墙的访问和攻击防火墙也无能为力。所以要保证网络信息安全,还需要结合使用病毒防治、密码技术、鉴别技术等多种网络防护技术。
2 防火墙体系架构
2.1 防火墙硬件架构
防火墙有很多种形式,有的以固件形式设计在路由器中,有的以软件形式裕兴在计算机上。在网络信息安全的平台上,x86、NP、ASIC是三种常用的架构形式。x86架构的防火墙是低端千兆市場上的主流产品,又被成为工控机防火墙。虽然它的数据包转发性能较弱,但由于其设计、开发门槛低、应用技术成熟受到了很多网络用户的欢迎。基于NP的防火墙在高端千兆市场上占有较大的份额,NP是一种专门用于处理数据包的网络可编程处理器,它内含的数据处理引擎可以并发进行数据处理工作,以便达到直接完成网络数据处理的目的。ASIC架构的防火墙是采用专用集成电路ASIC技术进行设计的,具有专门的数据包处理流水线,可以优化存储器等资源的利用,是能满足千兆环境应用的公认的防火墙架构技术方案。但是由于其开发成本高、难度大、周期长等特点,一直没有得到管饭的应用。
2.2 防火墙软件架构
以防火墙为中心的软件体系架构是扩展防火墙功能,强化网络安全策略的重要方式。通过对软件产品的审计和验证可以有效检验软件的质量,确保软件产品的稳定性、实用性和安全性复合相应的规程和标准。根据网络用户的需要构建完善的软件产品框架,完善防火墙的软件架构,可以使网络用户和软件之间、系统与软件之间找到一个很好的结合点,使操作系统得到优化,网络信息的安全得到保障。
3 防火墙网络安全架构技术难点
3.1 结构模块化设计
防火墙网络安全体系结构,要全面面向资源进行结构模块化设计,实现对网络资源的直接控制,从根本上维护网络信息的安全。 为了保证配置的方便性,系统可以按纵向进行层次化结构设计,按横向进行功能模块化结构设计。这种系统设计的防火墙,软件结构更加清晰合理,维护和升级也更加容易实现。
3.2 数据流控制技术
防火墙的数据流控制采用的是最先进状态的包过滤技术。这种状态包过滤思路是在核心中维护一个记录着相应连接状态的连接链表,在数据包请求建立连接时,就对数据包进行检查,并将检查通过的记录到状态链表中,这样后续关联的数据包的检查不需要全部进行规则匹配就可以建立连接。在这样的数据包状态处理下,不仅可以保证网络信息的安全性,还可以提高包转发的效率。
3.3 日志处理平台搭建
要处理海量的日志,就要搭建高效的日志处理平台。由于多数防火墙使用的日志框架都不能够满足对海量日志的及时处理和高效分析,因此,为了保证防火墙有一个优化的日志处理平台,防火墙都要单独设置一台日志服务器。这种单独的日志服务器一般可以处理2G以上的日志文件。
3.4 检测和防御技术
当攻击者试图对防火墙设备进行攻击时,采用多种攻击检测和防御技术,查明并阻挡其攻击是保证网络信息安全的重要手段。在防火墙的网络安全架构中,要采用可靠的检测和防御工具,以便抵御网络中攻击者的攻击。
3.5 防火墙高可用性实现
在进行以防火墙为核心的网络安全架构时,每个网络节点都要配置两个相同的防火墙。主机防火墙在正常情况下进行工作;当主机发生意外时,主从防火墙自动进行切换,从机防火墙进行工作;在主机防火墙恢复后,从机防火墙又回到备份状态,从而保证网络的安全性和高效性。
参考文献
[1]刘立博.基于中间层驱动的分布式防火墙技术的研究[J].2007(06).
[2]张蓉,贾义.浅析防火墙的系统架构及技术实现[J].2010(01).
[3]祁安龙.安全透明代理防火墙技术的研究与实现[J].2004(01).
[4]赵新辉.以防火墙技术为核心的网络安全架构[J].2005(07).
关键词 防火墙技术;网络;安全;体系架构
中图分类号:TN711 文献标识码:A 文章编号:1671—7597(2013)032-047-01
随着越来越多的企事业单位的内部网络连接到Internet上及越来越多的企业组建Intranet和Extranet,网络安全问题日益突出。如何保护企事业单位的机密信息不受黑客的入侵,已成为企事业单位信息化健康发展重要因素之一。防火墙作为一种访问控制技术,己经成为保护网络安全的一个重要措施,也是网络安全研究领域中的核心问题之一。
1 防火墙简介
防火墙实际上是一种隔离技术,它是设置在不同网络或不同网络安全区域之间的一组组件的集合。防火墙作为一个网络安全的核心,是不同网络或不同网络安全区域之间信息传递的唯一出入口,它可以根据已设定的网络安全策略,在两个网络通讯时执行一种访问控制尺度,从而达到控制通讯中出入的网络信息流的目的。防火墙作为实现网络信息安全的基础设施,其本身也具有较强的抗攻击能力,通过在网之间建立安全控制点,防火墙可以有效减少由于恶意用户访问给网络信息安全带来的威胁。
在没有防火墙的环境中,不同网络之间的数据传输是自由的,网络的安全与否主要取决于网络内部最弱的节点的坚固程度。引入防火墙后,网络的安全性在防火墙上得到了统一的加固,主要表现在:1)强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具,实现对用户和服务的访问控制。2)记录与Internet之间的通信活动。作为内外网之间唯一的放完通道,防火墙能够记录内部网和外部网络之间发生的多有事件。3)实现了网段之间的隔离或控制。防火墙的隔离作用,可控制一个有问题网段中的问题在整个网络中的传播。4)提供一个安全策略的检查站。防火墙的引入使所有进出网络的信息都必须通过防火墙进行安全检查,这样防火墙就可以把所有可疑的访问拒之门外。
随着网络数据流量的日益膨胀,网络处理器性能和效率不断增高,各类的网络攻击也是层出不穷。防火墙作为整个网络安全防护的一部分,只能对经过防火墙的网络数据流进行控制和处理,对于绕过防火墙的访问和攻击防火墙也无能为力。所以要保证网络信息安全,还需要结合使用病毒防治、密码技术、鉴别技术等多种网络防护技术。
2 防火墙体系架构
2.1 防火墙硬件架构
防火墙有很多种形式,有的以固件形式设计在路由器中,有的以软件形式裕兴在计算机上。在网络信息安全的平台上,x86、NP、ASIC是三种常用的架构形式。x86架构的防火墙是低端千兆市場上的主流产品,又被成为工控机防火墙。虽然它的数据包转发性能较弱,但由于其设计、开发门槛低、应用技术成熟受到了很多网络用户的欢迎。基于NP的防火墙在高端千兆市场上占有较大的份额,NP是一种专门用于处理数据包的网络可编程处理器,它内含的数据处理引擎可以并发进行数据处理工作,以便达到直接完成网络数据处理的目的。ASIC架构的防火墙是采用专用集成电路ASIC技术进行设计的,具有专门的数据包处理流水线,可以优化存储器等资源的利用,是能满足千兆环境应用的公认的防火墙架构技术方案。但是由于其开发成本高、难度大、周期长等特点,一直没有得到管饭的应用。
2.2 防火墙软件架构
以防火墙为中心的软件体系架构是扩展防火墙功能,强化网络安全策略的重要方式。通过对软件产品的审计和验证可以有效检验软件的质量,确保软件产品的稳定性、实用性和安全性复合相应的规程和标准。根据网络用户的需要构建完善的软件产品框架,完善防火墙的软件架构,可以使网络用户和软件之间、系统与软件之间找到一个很好的结合点,使操作系统得到优化,网络信息的安全得到保障。
3 防火墙网络安全架构技术难点
3.1 结构模块化设计
防火墙网络安全体系结构,要全面面向资源进行结构模块化设计,实现对网络资源的直接控制,从根本上维护网络信息的安全。 为了保证配置的方便性,系统可以按纵向进行层次化结构设计,按横向进行功能模块化结构设计。这种系统设计的防火墙,软件结构更加清晰合理,维护和升级也更加容易实现。
3.2 数据流控制技术
防火墙的数据流控制采用的是最先进状态的包过滤技术。这种状态包过滤思路是在核心中维护一个记录着相应连接状态的连接链表,在数据包请求建立连接时,就对数据包进行检查,并将检查通过的记录到状态链表中,这样后续关联的数据包的检查不需要全部进行规则匹配就可以建立连接。在这样的数据包状态处理下,不仅可以保证网络信息的安全性,还可以提高包转发的效率。
3.3 日志处理平台搭建
要处理海量的日志,就要搭建高效的日志处理平台。由于多数防火墙使用的日志框架都不能够满足对海量日志的及时处理和高效分析,因此,为了保证防火墙有一个优化的日志处理平台,防火墙都要单独设置一台日志服务器。这种单独的日志服务器一般可以处理2G以上的日志文件。
3.4 检测和防御技术
当攻击者试图对防火墙设备进行攻击时,采用多种攻击检测和防御技术,查明并阻挡其攻击是保证网络信息安全的重要手段。在防火墙的网络安全架构中,要采用可靠的检测和防御工具,以便抵御网络中攻击者的攻击。
3.5 防火墙高可用性实现
在进行以防火墙为核心的网络安全架构时,每个网络节点都要配置两个相同的防火墙。主机防火墙在正常情况下进行工作;当主机发生意外时,主从防火墙自动进行切换,从机防火墙进行工作;在主机防火墙恢复后,从机防火墙又回到备份状态,从而保证网络的安全性和高效性。
参考文献
[1]刘立博.基于中间层驱动的分布式防火墙技术的研究[J].2007(06).
[2]张蓉,贾义.浅析防火墙的系统架构及技术实现[J].2010(01).
[3]祁安龙.安全透明代理防火墙技术的研究与实现[J].2004(01).
[4]赵新辉.以防火墙技术为核心的网络安全架构[J].2005(07).