防火墙技术分析
概述
着INTERNET发展 网络已走进千家万户 网络安全成关注问题网络开放性 网络安全防护方式发生根变化 安全问题更突出情形 防火墙技术应运生防火墙技术根防范方式侧重点分种类型 总体讲分类第代防火墙 称包滤防火墙 通数包源址目址端口号等参数决定否允许该数包通 进行转发 种防火墙难抵御址欺骗等攻击 审计功差第二代防火墙 称代理服务器提供网络服务级控制 起外部网络保护部网络申请服务时中间转接作 种方法效防止部网络直接攻击 安全性较高第三代防火墙效提高防火墙安全性 称状态监控功防火墙 层数包进行检测监控着网络攻击手段信息安全技术发展 新代功更强安全性更强防火墙已问世阶段防火墙已超出原传统意义防火墙范畴 已演变成全方位安全技术集成系统 称第四代防火墙 抵御目前常见网络攻击手段 址欺骗特洛伊木马攻击玩蠕虫口令探寻攻击邮件攻击等等第五代防火墙指复合型防火墙指综合状态检测透明代理新代防火墙进步基ASIC架构防病毒容滤整合防火墙里中包括VPNIDS功单元融体种新突破
二防火墙定义
防火墙 术语参考应建筑结构里安全技术楼宇里起分隔作墙 隔离公司房间 起防火作旦某单元起火种方法保护居住者然 数防火墙里重门 允许进离开楼 然防火墙保护安全 门提供增强安全性时允许必访问
计算机网络中 网络防火墙扮演着防备潜作简单说 天防火墙概念组件应现准备实施防火墙 需知道公司需什样服务什样服务部户外部户效
谓防火墙指软件硬件设备组合成部网外部网间专网公网间界面构造保护屏障种获取安全性方法形象说法种计算机硬件软件结合InternetIntranet间建立起安全网关(Security Gateway)保护部网免受非法户侵入防火墙服务访问规验证工具包滤应网关4部分组成
三防火墙发展史
面展示防火墙技术简单发展历史
第代防火墙技术路器时出现采包滤(Packet filter)技术
第二三代防火墙1989年贝尔实验室Dave PresottoHoward Trickey推出第二代防火墙电路层防火墙时提出第三代防火墙——应层防火墙(代理防火墙)初步结构
第四代防火墙1992年USC信息科学院BobBraden开发出基动态包滤(Dynamic packet filter)技术第四代防火墙演变目前说状态监视(Stateful inspection)技术1994年色列CheckPoint公司开发出第采种技术商业化产品
第五代防火墙1998年NAI公司推出种适应代理(Adaptive proxy)技术产品Gauntlet Firewall for NT中实现代理类型防火墙赋予全新意义称第五代防火墙
体化安全网关UTM(Unified Threat Management)UTM统威胁理包含入侵防御VPN防火墙网络电子邮件滤等着万兆UTM出现UTM代防火墙趋势避免国际Juniper飞塔公司高性UTM占定市场份额国启明星辰高性UTM直领跑国市场
三防火墙技术
防火墙通常安全控制手段包滤状态检测代理服务
包滤技术种简单效安全控制技术通网络间相互连接设备加载允许禁止某特定源址目址TCP端口号等规通设备数包进行检查限制数包进出部网络包滤优点户透明传输性高安全控制层次网络层传输层安全控制力度限源址目址端口号进行较初步安全控制恶意拥塞攻击存覆盖攻击病毒等高层次攻击手段力
状态检测包滤更效安全控制方法新建应连接状态检测检查预先设置安全规允许符合规连接通存中记录该连接相关信息生成状态表该连接续数包符合状态表通种方式处:需数包进行规检查连接续数包(通常量数包)通散列算法直接进行状态检查性较提高状态表动态选择动态开通1024号端口安全性进步提高
四防火墙工作原理
1 包滤防火墙
包滤防火墙般路器实现滤户定义容IP址包滤防火墙工作原理:系统网络层检查数包应层关样系统具传输性扩展力强包滤防火墙安全性定缺陷系统应层信息感知说防火墙理解通信容黑客攻破
(包滤防火墙工作原理图)
2 应网关防火墙
应网关防火墙检查应层信息包检查容信息放入决策程提高网络安全性然应网关防火墙通破客户机/服务器模式实现客户机/服务器通信需两连接:客户端防火墙防火墙服务器外代理需应进程台运行服务程序新应必须添加针应服务程序否该服务应网关防火墙具伸缩性差缺点
(应网关防火墙工作原理图)
3 状态检测防火墙
状态检测防火墙基保持简单包滤防火墙优点性较时应透明基础安全性幅提升种防火墙摒弃简单包滤防火墙仅仅考察进出网络数包关心数包状态缺点防火墙核心部分建立状态连接表维护连接进出网络数成事件处理样说状态检测包滤防火墙规范网络层传输层行应代理型防火墙规范特定应协议行
(状态检测防火墙工作原理图)
4 复合型防火墙
复合型防火墙指综合状态检测透明代理新代防火墙进步基ASIC架构防病毒容滤整合防火墙里中包括VPNIDS功单元融体种新突破常规防火墙防止隐蔽网络流量里攻击网络界面应层扫描防病毒容滤防火墙结合起体现网络信息安全新思路网络边界实施OSI七层容扫描实现实时网络边缘布署病毒防护容滤等应层服务措施复合型防火墙实现防火墙入侵检测安全评估虚拟专网4功模块防火墙功基础台安全模块层次应环境构筑套完整立体网络安全解决方案
(复合型防火墙工作原理图)
(2)新型复合型防火墙设计
①合外路器:果路器足够功灵活性时外路功台路器完成优点:符合路器规数包外部网间互传缺点:需参数网络需台端口分设置输入输出路器图:
②合堡垒机外部路器:采双宿机时充堡垒机(堡垒机种强化防御进攻计算机作进入部网络检查点达整网络安全问题集中某机解决省时省力考虑机安全目)外部路器机构优点:部网络性增强缺点:系统效(信息交换)变差灵活性低堡垒机外更暴露保护更加困难图:
③部路器:台路器链接参数网络部网部分优点:部处理数速度增快缺点:包滤系统设置更加复杂时会导致站点间建立连接图:
五四类防火墙
包滤防火墙:包滤防火墙检查数区包滤防火墙建立连接状态表前报文关应层控制弱
应网关防火墙:检查IPTCP报头建立连接状态表网络层保护较弱
状态检测防火墙:检查数区建立连接状态表前报文相关应层控制弱
复合型防火墙:检查整数包容根需建立连接状态表网络层保护强应层控制细会话控制较弱
六防火墙优缺性
1反防火墙优点
(1)防火墙强化安全策略
(2)防火墙效记录Internet活动
(3)防火墙限制暴露户点防火墙够隔开网络中网段网段样够防止影响网段问题通整网络传播
(4)防火墙安全策略检查站进出信息必须通防火墙防火墙便成安全问题检查点疑访问拒绝门外
2防火墙脆弱性
防火墙提供网络安全性保证网络绝安全难防范网络部攻击病毒侵犯指防火墙身够予计算机安全防火墙保护免受类攻击威胁防止LAN 部攻击部外部联合起防火墙强没优势甚保护免受检测攻击着技术发展破解方法防火墙造成定隐患
七防火墙未发展趋势
未防火墙发展趋势高速功化更安全方发展
目前防火墙局限性速度够实现高速防火墙 算法关键 网络处理器中集成硬件协处理单元 较容易实现高速 采纯CPU防火墙 必须算法支撑 例ACL算法
功防火墙发展方 鉴目前路器防火器价格较高 组网环境越越复杂 般户总希防火墙支持更功 满足组网节省投资需
未防火墙操作系统会更安全着算法芯片技术发展 防火墙会更参应层分析 应提供更安全保障
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
防火墙技术分析
概述
着INTERNET发展 网络已走进千家万户 网络安全成关注问题网络开放性 网络安全防护方式发生根变化 安全问题更突出情形 防火墙技术应运生防火墙技术根防范方式侧重点分种类型 总体讲分类第代防火墙 称包滤防火墙 通数包源址目址端口号等参数决定否允许该数包通 进行转发 种防火墙难抵御址欺骗等攻击 审计功差第二代防火墙 称代理服务器提供网络服务级控制 起外部网络保护部网络申请服务时中间转接作 种方法效防止部网络直接攻击 安全性较高第三代防火墙效提高防火墙安全性 称状态监控功防火墙 层数包进行检测监控着网络攻击手段信息安全技术发展 新代功更强安全性更强防火墙已问世阶段防火墙已超出原传统意义防火墙范畴 已演变成全方位安全技术集成系统 称第四代防火墙 抵御目前常见网络攻击手段 址欺骗特洛伊木马攻击玩蠕虫口令探寻攻击邮件攻击等等第五代防火墙指复合型防火墙指综合状态检测透明代理新代防火墙进步基ASIC架构防病毒容滤整合防火墙里中包括VPNIDS功单元融体种新突破
二防火墙定义
防火墙 术语参考应建筑结构里安全技术楼宇里起分隔作墙 隔离公司房间 起防火作旦某单元起火种方法保护居住者然 数防火墙里重门 允许进离开楼 然防火墙保护安全 门提供增强安全性时允许必访问
计算机网络中 网络防火墙扮演着防备潜作简单说 天防火墙概念组件应现准备实施防火墙 需知道公司需什样服务什样服务部户外部户效
谓防火墙指软件硬件设备组合成部网外部网间专网公网间界面构造保护屏障种获取安全性方法形象说法种计算机硬件软件结合InternetIntranet间建立起安全网关(Security Gateway)保护部网免受非法户侵入防火墙服务访问规验证工具包滤应网关4部分组成
三防火墙发展史
面展示防火墙技术简单发展历史
第代防火墙技术路器时出现采包滤(Packet filter)技术
第二三代防火墙1989年贝尔实验室Dave PresottoHoward Trickey推出第二代防火墙电路层防火墙时提出第三代防火墙——应层防火墙(代理防火墙)初步结构
第四代防火墙1992年USC信息科学院BobBraden开发出基动态包滤(Dynamic packet filter)技术第四代防火墙演变目前说状态监视(Stateful inspection)技术1994年色列CheckPoint公司开发出第采种技术商业化产品
第五代防火墙1998年NAI公司推出种适应代理(Adaptive proxy)技术产品Gauntlet Firewall for NT中实现代理类型防火墙赋予全新意义称第五代防火墙
体化安全网关UTM(Unified Threat Management)UTM统威胁理包含入侵防御VPN防火墙网络电子邮件滤等着万兆UTM出现UTM代防火墙趋势避免国际Juniper飞塔公司高性UTM占定市场份额国启明星辰高性UTM直领跑国市场
三防火墙技术
防火墙通常安全控制手段包滤状态检测代理服务
包滤技术种简单效安全控制技术通网络间相互连接设备加载允许禁止某特定源址目址TCP端口号等规通设备数包进行检查限制数包进出部网络包滤优点户透明传输性高安全控制层次网络层传输层安全控制力度限源址目址端口号进行较初步安全控制恶意拥塞攻击存覆盖攻击病毒等高层次攻击手段力
状态检测包滤更效安全控制方法新建应连接状态检测检查预先设置安全规允许符合规连接通存中记录该连接相关信息生成状态表该连接续数包符合状态表通种方式处:需数包进行规检查连接续数包(通常量数包)通散列算法直接进行状态检查性较提高状态表动态选择动态开通1024号端口安全性进步提高
四防火墙工作原理
1 包滤防火墙
包滤防火墙般路器实现滤户定义容IP址包滤防火墙工作原理:系统网络层检查数包应层关样系统具传输性扩展力强包滤防火墙安全性定缺陷系统应层信息感知说防火墙理解通信容黑客攻破
(包滤防火墙工作原理图)
2 应网关防火墙
应网关防火墙检查应层信息包检查容信息放入决策程提高网络安全性然应网关防火墙通破客户机/服务器模式实现客户机/服务器通信需两连接:客户端防火墙防火墙服务器外代理需应进程台运行服务程序新应必须添加针应服务程序否该服务应网关防火墙具伸缩性差缺点
(应网关防火墙工作原理图)
3 状态检测防火墙
状态检测防火墙基保持简单包滤防火墙优点性较时应透明基础安全性幅提升种防火墙摒弃简单包滤防火墙仅仅考察进出网络数包关心数包状态缺点防火墙核心部分建立状态连接表维护连接进出网络数成事件处理样说状态检测包滤防火墙规范网络层传输层行应代理型防火墙规范特定应协议行
(状态检测防火墙工作原理图)
4 复合型防火墙
复合型防火墙指综合状态检测透明代理新代防火墙进步基ASIC架构防病毒容滤整合防火墙里中包括VPNIDS功单元融体种新突破常规防火墙防止隐蔽网络流量里攻击网络界面应层扫描防病毒容滤防火墙结合起体现网络信息安全新思路网络边界实施OSI七层容扫描实现实时网络边缘布署病毒防护容滤等应层服务措施复合型防火墙实现防火墙入侵检测安全评估虚拟专网4功模块防火墙功基础台安全模块层次应环境构筑套完整立体网络安全解决方案
(复合型防火墙工作原理图)
(2)新型复合型防火墙设计
①合外路器:果路器足够功灵活性时外路功台路器完成优点:符合路器规数包外部网间互传缺点:需参数网络需台端口分设置输入输出路器图:
②合堡垒机外部路器:采双宿机时充堡垒机(堡垒机种强化防御进攻计算机作进入部网络检查点达整网络安全问题集中某机解决省时省力考虑机安全目)外部路器机构优点:部网络性增强缺点:系统效(信息交换)变差灵活性低堡垒机外更暴露保护更加困难图:
③部路器:台路器链接参数网络部网部分优点:部处理数速度增快缺点:包滤系统设置更加复杂时会导致站点间建立连接图:
五四类防火墙
包滤防火墙:包滤防火墙检查数区包滤防火墙建立连接状态表前报文关应层控制弱
应网关防火墙:检查IPTCP报头建立连接状态表网络层保护较弱
状态检测防火墙:检查数区建立连接状态表前报文相关应层控制弱
复合型防火墙:检查整数包容根需建立连接状态表网络层保护强应层控制细会话控制较弱
六防火墙优缺性
1反防火墙优点
(1)防火墙强化安全策略
(2)防火墙效记录Internet活动
(3)防火墙限制暴露户点防火墙够隔开网络中网段网段样够防止影响网段问题通整网络传播
(4)防火墙安全策略检查站进出信息必须通防火墙防火墙便成安全问题检查点疑访问拒绝门外
2防火墙脆弱性
防火墙提供网络安全性保证网络绝安全难防范网络部攻击病毒侵犯指防火墙身够予计算机安全防火墙保护免受类攻击威胁防止LAN 部攻击部外部联合起防火墙强没优势甚保护免受检测攻击着技术发展破解方法防火墙造成定隐患
七防火墙未发展趋势
未防火墙发展趋势高速功化更安全方发展
目前防火墙局限性速度够实现高速防火墙 算法关键 网络处理器中集成硬件协处理单元 较容易实现高速 采纯CPU防火墙 必须算法支撑 例ACL算法
功防火墙发展方 鉴目前路器防火器价格较高 组网环境越越复杂 般户总希防火墙支持更功 满足组网节省投资需
未防火墙操作系统会更安全着算法芯片技术发展 防火墙会更参应层分析 应提供更安全保障
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档