防火墙未来技术前瞻

2016-01-29 16:36 6 1 收藏

防火墙未来技术前瞻,防火墙未来技术前瞻

【 tulaoshi.com - 防火墙的作用 】

现代的防火墙已经不是过去简单的软件问题了。我们从纯软件产品时代、基于PC的产品时代和基于硬件的产品时代,将逐渐走入一个后防火墙时代。由于纯软件的防火墙产品运行速度较慢;而硬件防火墙,虽然速度方面优于纯软件防火墙,但升级比较困难,实用性较低;而新型防火墙其实就是将通常意义上的软件防火墙安装在一个工业标准化的服务器 上,它通过软、硬结合达到一个完整的防火墙解决方案。

防火墙提供企业网络安全的第一道防线。然而,许多的入侵行为,却是一只“披着羊皮的狼”,它们欺骗防火墙,进入内部的网络,例如后门程序,附加于各种看似合法的资料上(如网络上各种免费下载软件或电子邮件附件),当内部用户不经意开启时,就在其计算机上装上后门程序。如此一来,即使在网关上装有防火墙保护,但除非禁止用户收电子邮件或下载软件,否则已经暴露在危险之中,而传统的网络安全架构对于这种入侵方式,则完全束手无策。于是各种新型的防火墙技术纷纷揭竿而起,但是它们中到底有谁能笑到最后,实现网络安全的最终幻想,目前就不得而知了。

区域联防

如果说过去传统的单一网络网关型防火墙是“半场盯人”的话,随着黑客技术的不断提升,已渐渐不适于今天的企业架构。新型的防火墙必须结合主机型防火墙与个人计算机型防火墙再配合传统网关型防火墙的功能,让其各司其职、各在其位,来达成全方位及最佳效能比的防卫架构,也就是利用所谓“区域联防”的战术(如图1),其目的是利用各区域的加强防卫动作来化解对手的攻击行为。凡是会连上网络的各端点,不管是网络主机、服务器或个人计算机等,都应该有相当的防护功能,以避免成为骇客入侵的罩门所在,同时,各端点间能彼此能互相防护,避免企业陷入更深的危机。而以后要有效压制对手的攻势,甚至要采取“全场盯人”的战术,让每个上网的网络族都能由自身做起,确实防护自己的计算机。


图1

整合性

防火墙的规模和功能可以适应内部网络的规模和安全策略的变化。选择哪种防火墙,除了应考虑它基本性能外,毫无疑问,还应考虑用户的实际需求与未来网络的升级。未来的防火墙系统应是一个可随意伸缩的模块化解决方案,从最为基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。同时,防火墙还要尽可能地提供防毒和防黑的功能:在防火墙内具有内置病毒和内容扫描功能或允许用户将病毒与内容扫描程序,并可以与第三方过滤服务连接,获取这些服务所提供的不受欢迎的Internet站点的分类清单,并尽其可能阻止拒绝服务攻击。

未来的防火墙将是企业网络安全的一个基本平台,加入如同前文提到的VPN、内容过滤、加解密、防毒软件、入侵侦测,甚至包括负载平衡、HA(High Availability)、QoS(Quality of Service)等,组成一个整合的中央管理系统来控管整个企业网络的安全(如图2)。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)


图2

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

简便性

防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实际上,许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时,若防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面,Windows NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于Windows NT的防火墙通常落后于基于Unix的防火墙,但其简单性以及方便的可用性大大推动了基于Windows NT的防火墙的销售。 同时,像DNS 这类一直难于与防火墙恰当使用的关键应用程序正引起有意简化操作的厂商越来越多的关注。

结束语:尽管防火墙是在内部网与外部网之间实施安全防范的系统,还存在一定的局限性:

不能防范外部的刻意的人为攻击;

不能防范内部用户攻击;

不能防止内部用户因误操作而造成口令失密受到的攻击;

很难防止病毒或者受病毒感染的文件的传输。

所以绝对完美的防火墙只是后防火墙时代的一个最终幻想,作为网络安全政策和策略中的一个组成部分,它并不能解决网络安全中的所有问题。但了解防火墙技术并学会在实际操作中应用防火墙技术,能在很大程度上保证在你连上Internet的时候不受网络“黑客”的骚扰从而能保证计算机系统的安全。

来源:http://www.tulaoshi.com/n/20160129/1499066.html

延伸阅读
深入浅出谈防火墙(2)      3、被屏蔽主机网关(ScreenedGatewy) 屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网,即没有子网...
天网防火墙负载分担技术      1. 负载分担——大型服务节点的解决方案 拥有大量的访问量和用户是信息服务提供者的目标,但是大量的访问会给服务器带来沉重的负担,随着出色的Internet应用服务的用户人数不断增加,服务器变得不胜负荷,如果无法及时处理大量的用户服务请求,将出现服务中断的情况。以往在解决这些问题...
引言 随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点,做为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的防火墙产品,已经充斥了整个网络世界。做为保护网络边界的安全产品,防火墙技术也已经逐步趋于成熟,并为广大用户所认可。...
随着网络的高速发整,现在使用防火墙的企业越来越多,产品也越来越多,但可能很多人还不了解防火墙,到底能干什么。下面我就简单的说说软件防火墙到底能干些什么吧。 什么是软件防火墙? 顾名思义,软件防火墙就是像office 等,是一个安装在PC上(当然,这里是指可以在PC上安装,但具体使用的时候最好用服务器),的一个软件,而且一般...
防火墙原理入门(2)      第二代:动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更绿跄俊? ...

经验教程

294

收藏

47
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部