Internet防火墙技术必威体育精装版发展.docVIP

Internet防火墙技术必威体育精装版发展 作者：汪辉来源：方正数码网络安全产品技术支持中心 引言 　　21世纪是网络和知识经济的时代，大量的.com公司的建立和大量的传统企业的e化，全球已有1.5亿网民，我国已有网民1600多万，今后五年内将达到3000万人，上网人数仅次于美国列全球第二。互连网已越来越广泛的引用于社会的各个方面。计算机网络安全已经逐渐成为一个人们关注的问题。 　　在黑客的攻击下，曾经使雅虎网站的网络停止运行3小时，这令它损失了几百万美金的交易。春节期间263的若干服务器也遭到黑客的疯狂攻击。在IDC里面托管的服务器几乎每天都要受到大量的扫描器的疯狂扫描。 　　黑客一般都是通过一些系统的漏洞和网络管理人员的疏忽侵入主机。比如黑客可以利用Wu-ftp的溢出来获得root权限等等。 　　面对如此脆弱的网络，我们必须搭建一个安全体系来维护网络的安全，这些可以通过防火墙和入侵检测系统来实现。本文将综合论述防火墙的技术要领和新的发展趋势，通过本文能够使读者对防火墙的一些细节上能够有更深的理解，从而在选择防火墙产品的时候不会那么盲目。 防火墙定义和分类 　　作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 　　根据防火墙所采用的技术不同，我们可以将它分为三种基本类型：包过滤型、代理型和监测型。 包过滤型 　　包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、 TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 代理型 　　代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。 监测型 　　监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。 新型防火墙的技术要领 1.新型防火墙和传统防火墙区别 　　传统的包过滤防火墙和应用网关防火墙，随着网络技术的不断发展和新的安全问题的出现，逐渐不能适应新的网络安全需求。在包过滤上需要改进算法从而提供网络带宽，而且需要加入状态检测，地址转换功能，流量管理和负载均衡功能。只有这样才能适应现在的需要。新型的防火墙应当具有很好的可伸缩性和可扩展性，同时也要具备高可靠性和稳定性。 　　新型防火墙从功能上来分，通常由以下几部分组成，如图1所示。 人机接口 日志审计 访问控制 自身安全 地址转换 流量管理 负载均衡 网络互连设备 图 1 防火墙体系结构 　　针对现在新型防火墙的特点，方正数码开发研制了自有品牌的网络安全产品——FireGate方御防火墙。 它能够为网络提供强大的保护措施，抵御来自外部网络的攻击、防止不法分子入侵。FireGate具有高效、多层次、高安全性、易于管理和高可靠性等特点。与传统的软件防火墙不同，FireGate方御防火墙是一体化的硬件产品，它通过与硬件系统的深层结合，比任何传统的基于软件的防火墙都更加高效，安全，而且更加实时化。 2.防火墙包过滤功能的技术实现 　　传统的包过滤防火墙一般是在网络层检查数据包，通过是否匹配指定的包过滤规则来决定是否允许数据包通过防火墙。有些防火墙在匹配规则的时候是顺序匹配，这样在规则很多的时候，会对WEB服务器的吞吐能力影响很大，造成性能的降低。 　　为了减少由于安装了防火墙的原因而导致的网络流量的降低，FireGate方御防火墙采用了3I（Intelligent IP Identifying）技术，能够实现快速匹配，这样能够使一个数据包快速的通过Hash表找到相应的规则列表，而不是顺序匹配，从而使网络流量不受到较大的影响。 　 图 2 快速匹配数据包（3I技术） 　　和传统防火墙不同的是，现代防火墙的包过滤部分还应当包括状态检测功能。状态检测是对每个IP包的状态进行记录与甄别，将一个个独立的IP包定位到相应的IP连接中去，从而IP包被分成几类： 新建连接：用来新建连接的