網(wǎng)絡防火墻產生的原因

網(wǎng)絡防火墻產生的原因GhentClientClientGhentClientClient隨著網(wǎng)絡技術的發(fā)展，因特網(wǎng)已經(jīng)走進千家萬戶。網(wǎng)絡犯罪的遞增、大量黑客網(wǎng)站的產生，促使人們思考網(wǎng)絡的安全性問題。網(wǎng)絡防火墻作為最受人注目的網(wǎng)絡安全工具應運而生。一、防火墻的基本概念防火墻是一個系統(tǒng)或一組系統(tǒng)，它在企業(yè)內網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略，所有從因特網(wǎng)流入或流向因特網(wǎng)的信息按照此策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許。防火墻加強了網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡，訪問內部網(wǎng)絡資源，以保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。從理論上看，防火墻處于網(wǎng)絡安全的最底層，負責網(wǎng)絡間的安全認證與傳輸,但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化，現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務：提供網(wǎng)絡地址轉換(NAT)功能，有助于緩解IP地址資源緊張的問題，同時，可以避免當一個內部網(wǎng)更換ISP時需重新編號的麻煩;防火墻可查詢或登記因特網(wǎng)的使用情況，可以確認因特網(wǎng)連入的代價、潛在的帶寬瓶頸;在其上可以配置相應的WWW和FTP服務，使因特網(wǎng)用戶僅可以訪問此類服務，而禁止對保護網(wǎng)絡的其他系統(tǒng)的訪問等。User二、防火墻的基本類型防火墻的基本類型包括包過濾、網(wǎng)絡地址轉化一NAT、應用代理和狀態(tài)檢測。1、 包過濾包過濾是防火墻的初級類型，依靠自身的數(shù)據(jù)安全保護機制來控制流出和流入網(wǎng)絡的數(shù)據(jù)。它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間河根據(jù)地址薄進行設置規(guī)則。其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判規(guī)則。2、 網(wǎng)絡地址轉化一NAT網(wǎng)絡地址轉換是一種用于把內部IP地址轉換成臨時的、注冊的外部IP地址。網(wǎng)絡地址轉換允許具有私有IP地址的內部網(wǎng)絡通過地址轉換訪問因特網(wǎng)，用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。全網(wǎng)卡訪問外部網(wǎng)絡時，將產生一個映射記錄，系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內部網(wǎng)絡地址。使得有限的外網(wǎng)IP就能滿足內網(wǎng)用戶對外網(wǎng)的訪問，同時還能夠避免受到來自外部其他網(wǎng)絡的非授權訪問或惡意攻擊。緩解了地址空間的短缺問題，節(jié)省了資源，降低了成本。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內部網(wǎng)絡時，它并不知道內部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。3、應用代理代理型防火墻的優(yōu)點是安全性較高。應用代理完全接管了用戶與服務器的訪問，把用戶主機與服務器之間的數(shù)據(jù)包的交換通道給隔離起來。應用代理不允許外部主機連接到內部的網(wǎng)絡，只允許內部主機使用代理服務器訪問Internet主機，同時只有被認為""可信任的""代理服務器才可以允許通過應用代理。在實際的應用中，應用代理的功能是由代理服務器來完成的。4、狀態(tài)檢測狀態(tài)檢測防火墻是新一代的防火墻技術，由CheckPoint公司引入。它監(jiān)視每一個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡數(shù)據(jù)包是否能夠通過防火墻。通過狀態(tài)檢測技術，動態(tài)地維護各個連接的協(xié)議狀態(tài)。狀態(tài)檢測在包過濾的同時，檢查數(shù)據(jù)包之間的關聯(lián)性和數(shù)據(jù)包中的動態(tài)變化。三、防火墻的未來發(fā)展方向在防火墻性能和功能不斷發(fā)展的同時，大多數(shù)業(yè)內專家認為，以下五個方面將是未來防火墻的發(fā)展方向。1、 防火墻的性能將不斷突破。隨著網(wǎng)絡應用的不斷豐富，網(wǎng)絡帶寬需求會不斷的增長，并對防火墻的性能提出更高的要求，滿足千兆、萬兆以及更高的帶寬要求是防火墻發(fā)展的一個方向。2、 防火墻將不斷的深入應用防護。隨著網(wǎng)絡安全技術的發(fā)展，網(wǎng)絡層和操作系統(tǒng)的漏洞將越來越少，但應用層的安全問題卻越來越突出，防火墻將會把更多的注意力放在深度應用防護上，不斷挖掘應用防護的深度和廣度。3、 防火墻將支持更多的應用層協(xié)議。對應用協(xié)議支持的廣度，也是防火墻的發(fā)展趨勢，它將支持更多新的應用協(xié)議，使更多的應用程序能和防火墻協(xié)同工作。4、 防火墻將作為企業(yè)安全管理平臺的一個組件。隨著安全管理平臺的發(fā)展，未來企業(yè)所有的安全設備將由安全管理平臺統(tǒng)一調度和管理，防火墻需要向安全管理平臺提供安全策略管理接口、安全事件管理接口、安全審計接口。5、 防火墻將更可靠、更智能化。一方面，防火墻越來越穩(wěn)定可靠，同時也更趨于智能化，并將解決IPV6未來會出現(xiàn)的安全問題?，F(xiàn)有防火墻技術仍無法給我們一個相當安全的網(wǎng)絡。攻擊時的變數(shù)太大，所以對網(wǎng)絡安全的需求對防火墻提出了