新一代防火墙技术的应用与发展 (2)

　　*网络防火墙

　　用于内部网与外部网之间(即传统的边界防火墙)和内部网子网之间的防护产品，后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。

　　*主机防火墙

　　对于网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机。

　　*中心管理

　　边界防火墙只是网络中的单一设备，管理是局部的。对分布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上，但总体安全策略又是统一策划和管理的，安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。

　　2、优点

　　分布式防火墙克服了传统防火墙的缺陷，它的优势在于：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用；与拓扑无关，支持移动计算。

　　3、应用

　　主要应用在企业的网络和服务器主机，在于堵住内部网的漏洞，解决来自企业内部网的攻击。分布式防火墙实施在企业各个网络端点上，克服了传统防火墙的缺陷，有效保护了主机，适应了新的网络应用的需要。

　　(二)新一代嵌入式防火墙技术

　　1、概念

　　嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块， 安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样， 所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层，所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言，嵌入式防火墙常常是无监控状态的， 它在传递信息包时并不考虑以前的连接状态。

　　2、优点

　　它弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序而设计，它确保了企业内部与外部的网络具有以下功能：不论企业局域网的拓扑结构如何变更，防护措施都能延伸到网络边缘为网络提供保护；基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行，甚至在安全性较差的宽带链路上都能实现安全移动与远程接入，可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。

　　3、应用

　　一套嵌入式防火墙安全性解决方案能够为那些需要在家访问公司局域网的远程办公用户提供了保护。帮助企业确保网络最薄弱和未保护领域的安全，如笔记本电脑和远程PC机，实行集中式管理的嵌入式客户机方案，并实现了跨越企业边缘防火墙的可靠网络连接，为企业和政府站点提供天衣无缝的安全性。

　　(三)新一代智能防火墙技术

　　1、概念

　　智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此被称为智能防火墙。

　　智能防火墙的关键技术有：

　　*防攻击技术

　　智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding，Land Attack，UDP Flooding，Fraggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。

　　*防扫描技术

　　智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS，SSS，NMAP等扫描工具，智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。

　　*防欺骗技术

　　智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。

　　*入侵防御技术

　　智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护。入侵防御技术采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库涵盖了目前流行的网络攻击；异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控，并能阻断应用层攻击。

　　*包擦洗和协议正常化技术

　　智能防火墙支持包擦洗技术，对IP，TCP，UDP，ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。

　　*AAA技术

　　IP v4版本的一大缺陷是缺乏身份认证功能，所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日，IP v4在相当长一段时间内，还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。

　　2、优点

　　智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题、病毒传播问题和高级应用入侵问题，代表着防火墙的主流发展方向。新一代智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面，与传统防火墙相比有质的飞跃。

　　3、应用

　　其主要应用领域如下：

　　*防范恶意数据攻击

　　智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击，解决SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻击，有效的切断恶意病毒或木马的流量攻击。

　　*防范黑客攻击

　　智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具，可以防止被扫描。并可有效地解决恶意代码的恶意扫描攻击。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有