返回
Internet防火墙技术发展

Internet防火墙技术发展

ID:42407037

大小:376.64 KB

页数:9页

时间:2019-09-14

Internet防火墙技术发展_第1页
Internet防火墙技术发展_第2页
Internet防火墙技术发展_第3页
Internet防火墙技术发展_第4页
Internet防火墙技术发展_第5页
资源描述:

《Internet防火墙技术发展》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Internet防火墙技术最新发展作者:汪辉來源:方正数码网络安全产品技术支持中心引言21世纪是网络和知识经济的时代,大量的.com公司的建立和大量的传统企业的e化,全球己有1.5亿网民,我国已有网民1600多万,今后五年内将达到3000万人,上网人数仅次于美国列全球第二。互连网己越来越广泛的引川于社会的各个方而。计算机网络安全已经逐渐成为一个人们关注的问题。在黑客的攻击下,曾经使雅虎网站的网络停止运行3小时,这令它损失了几百万美金的交易。春节期间263的若T•服务器也遭到黑客的疯狂攻击。在IDC里面托管的服务器儿乎每天都要受

2、到人量的扫描器的疯狂扫描。黑客一般都是通过一些系统的漏洞和网络管理人员的疏忽侵入主机。比如黑客可以利用Wu-ftp的溢出来获得root权限等等。面对如此脆弱的网络,我们必须搭建一个安全体系来维护网络的安全,这些可以通过防火墙和入侵检测系统来实现。本文将综合论述防火墙的技术要领和新的发展趋势,通过本文能够使读者对防火墙的一些细节上能够有更深的理解,从而在选择防火墙产品的时候不会那么盲目。防火墙定义和分类作为内部网络与外部公共网络之间的第一道胖障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底

3、层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术己经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品止朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。根据防火墙所采用的技术不同,我们可以将它分为三种基本类型:包过滤型、代理型利监测型。•包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包

4、屮都会包含一些特定信息,如数据的源地址、H标地址、TCP/UDP源端口和冃标端口等。防火墙通过读取数据包中的地址信息來判断这些''包”是否来白可信任的安全站点,一口发现来自危险站点的数据包,防火墙便会将这些数据拒Z门外。系统管理员也可以根据实际情况灵活制订判断规则。•代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并己经开始向应用层发展。•监测型监测型防火墙是新一代的产品,这一技术实际已经超越了故初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据•加以分析的基础上,监测型防

5、火墙能够有效地判断出各层中的非法侵入。新型防火墙的技术要领1.新型防火墙和传统防火墙区別传统的包过滤防火墙和应用网关防火墙,随着网络技术的不断发展和新的安全问题的出现,逐渐不能适应新的网络女全需求。在包过滤上需要改进算法从而提供网络带宽,而II需要加入状态检测,地址转换功能,流量管理和负载;均衡功能。只有这样才能适应现在的需要。新型的防火墙应当具有很好的可伸缩性和可扩展性,同时也耍具备高可鼎性和稳定性。新型防火墙从功能上來分,通常由以下儿部分组成,如图1所示。针对现在新型防火墙的特点,方正数码开发研制了自有品牌的网络安全产甜一

6、一FireGate方御防火墙。它能够为网络提供强大的保护措施,抵御来自外部网络的攻击、防止不法分子入侵。FireGate具有高效、多层次、高安全性、易于管理和高可靠性等特点。与传统的软件防火墙不同,FireGate方御防火墙是一体化的硬件产品,它通过与硬件系统的深层结合,比任何传统的基于软件的防火墙都更加高效,安全,而且更加实时化。2.防火墙包过滤功能的技术实现传统的包过滤防火墙-般是在网络层检查数据包,通过是否匹配指定的包过滤规则来决定是否允许数据包通过防火墙。有些防火墙在匹配规则的时候是顺序匹配,这样在规则很多的时候,会对

7、WEB服务器的吞吐能力影响很大,造成性能的降低。为了减少由于安装了防火墙的原因而导致的网络流最的降低,FircGatc方御防火墙采用了31(IntelligentIPIdentifying)技术,能够实现快速匹配,这样能够使一个数据包快速的通过Hash表找到相应的规则列表,而不是顺序匹配,从而使网络流量不受到较大的影响。规则一规则二规则三图2快速匹配数据包(31技术)和传统防火墙不同的是,现代防火墙的包过滤部分还应当包括状态检测功能。状态检测是对每个IP包的状态进行记录与甄别,将一个个独立的IP包定位到相应的IP连接中去.从而

8、IP包被分成几类:•新建连接:•己建连接:•相关连接:•无效连接:川来新建连接的包(NEW-CONN)。己建立连接屮的包(ESTABLISHED-CONN)。与已建立连接相关的包(RELATED-CONN),比如某个TCP连接的ICMP响应。无效包(INVALID-CONN)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。