浅析传统防火墙防护不足与发展趋势.docVIP

浅析传统防火墙防护不足与发展趋势 　　摘要：随着全球网络化进程的不断加深，互联网安全成为了网络发展的瓶颈。针对于此，该文主要介绍传统的网络安全设备——防火墙，在目前网络安全防护当中的缺陷与不足，并针对网络防护的发展局势，介绍下一代防火墙这种新技术的体系结构特征,突出它在功能和性能上的优势。 　　关键词：网络安全；防火墙；下一代防火墙；IPS；DPI 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)18-4348-02 　　近年来，随着计算机互联网技术的飞速发展，计算机处理业务已由单机处理功能发展到面向内部局域网、全球互联网的全球范围内的信息共享和业务处理功能。网络信息已经成为社会发展的重要组成部分，同时渗透到各个行业当中，涉及政府、军事、金融、教育等诸多领域。其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行业务、股票证券、能源数据、科研数据等重要信息。有很多是敏感信息，甚至是国家机密。由于因特网组成形式多样性、终端分布广和网络的开放性、互联性等特征，致使这些网络信息容易受到来自全球各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。要保护这些信息就需要有一套完善的网络安全保护机制。在这种需求之下，防火墙在传统路由器的基础上，独立发展起来成为一款专业的安全防护产品。 　　 1防火墙 　　1.1什么是防火墙 　　防火墙（Firewall）简单的讲就是一个软件和硬件组成的一款安全设备。它的目的就是将内部网络和Internet网络进行一个逻辑的隔离，以保障内部网络数据的私有性和安全性。它通过对数据包五元组以及状态信息等信息检测，从根本上控制了非法数据流的流入或者流出，通过对内网和外网的监管和限制，有效地保障内外网的网络安全，从根本上制止了不可预测的破坏和入侵行为。 　　1.2防火墙技术 　　防火墙技术当中最主要的技术有两种，一种是包过滤技术，一种是状态监测技术。本部分会主要分析一下包过滤技术和状态技术的实现原理。 　　什么是包过滤技术呢？其实包过滤技术的实现原理合适比较简单的。???IP网络中进行数据通讯，必须确定的是五元组（源IP地址、目的IP地址，源端口、目的端口以及协议），而包过滤技术也正是建立在五元组的基础上，主要针对于TCP/IP协议栈的三层和四层。我们可以设定一系列的包过滤规则，当一个数据包进来的时候，包过滤机制首先回去检查它的IP报头中的五元组信息，一旦匹配了某个包过滤策略，那么就会执行相应的动作（通过、丢弃或者记录日志）。包过滤对用户来说是透明的，而且它是目前为止一种简单有效的安全控制手段。由于包过滤技术主要是针对TCP/IP协议的三、四层，因此针对一些更高层面的入侵或者攻击行为就显的有些力不从心了。 　　状态检测技术主要针对的是TCP协议，因为TCP在通信的过程中是需要三次握手建立连接的。当防火墙收到一个初始化的SYN请求报文，防火墙会依照规则策略对此报文进行检查，如果没有匹配规则，则发送一个RST置位的报文。当该报文匹配了规则，本次回话的记录就会存在于状态检测表里面，当下次接收到一个数据包的时候，就回去查找是否有相应的回话，而不是直接查找规则，因此使得防火墙的处理性能大大提高。 　　 2防火墙的不足之处 　　在企业网的部署当中，防火墙一般都会作为网络的出口设备，抵御来自外部的攻击。但是，随着互联网技术的飞速发展，黑客的攻击技术也达到了前所未有的高度。他们可以通过攻击一些开放端口，或者伪装攻击报文等技术，轻而易举的绕过传统防火墙的检测。据不完全统计，目前大多数的网络攻击事件都是针对应用层的，如常见的DDoS僵尸网络攻击，这些攻击报文和正常的访问流量没有什么区别。由此我们可以得出，传统防火墙已经没法应对当下强度大、危害深的网络攻击。其不足主要表现在以下五个方面： 　　1）面向服务的架构及Web2.0的广泛应用，大量应用建立在HTTP等基础协议之上，而基于端口及IP的处理机制传统防火墙，无法有效识别和管理这些应用，更无法检查应用中附带的威胁代码。 　　2）传统防火墙，无法检测出加密流量。比如防火墙无法迅速截获SSL数据流并对其解密，无法阻止应用程序的攻击，有些防火墙，根本就不提供数据解密的功能。不仅如此，对于程序加密的数据流，防火墙也无法识别 　　3）越来越多的新型安全威胁如社交网络蠕虫、僵尸网络等传播渠道变得越来越隐蔽，安全威胁也越来越智能化，传统防火墙无法有效发现和阻止这些威胁。 　　4）在网络中，传统防火墙主要是基于三层包过滤和四层状态监测等防护技术，无对应用进行有效地监控和管理，如P2P软件、视频、炒股、游戏等软件。因此，诸多应用成了网络安全当中难以监控的区域。 　　5）随着网络带宽的迅速