1前言
网络安全是一个人们普遍关注的话题。我们能够设想,几十年后的社会将进入一个全新的网络时代,信息时代。所以网络安全的重要性就更为突出了,只有安全的互联网才能保障互联网生活能够有序进行,网络系统不遭受破坏,信息能够不被窃取,互联网服务不会被非法中断等等。另一方面,当前的互联网正在经受许多威胁和攻击,互联网中存在很多不安全的因素。例如,黑客攻击、密码泄露等等。甚至可以说,目前绝对安全的网络的不存在的。因此,掌握更多的网络安全技术至关重要。网络安全的一个非常重要保障就是防火墙。防火墙在网络安全保护中起到了不可替代的作用。最新一代的防火墙技术有了相当大提高,比如加密防毒、NAT技术、多端口、安全审计等,这些功能使防火墙具有了更加重要的作用。然而,网络的不断进步也导致更为多样化的网络威胁和网络攻击方式。网络威胁包括,人为和自然两个方面。自然因素例如意外事故和自然灾害;人为因素包括使用不当和安全意识差等。网络威胁主要包括主动行为,如黑客入侵,非法访问等;被动行为如泄密,信息丢失,协议缺陷等。因此,本文对现代防火墙技术及应用进行分析,对网络安全有一定的意义。
2防火墙工作原理
目前市面上的防火墙都会具备三种不同的工作模式,透明模式、NAT模式和路由模式。
透明模式时,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第2层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0,防火墙对于用户来说是可视或“透明”的。
处于“网络地址转换(NAT)”模式下时,防火墙的作用与Layer 3(第3层)交换机(或路由器)相似,将绑定到外网区段的IP封包包头中的两个组件进行转换:其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个防火墙生成的任意端口号替换源端口号。
路由模式时,防火墙在不同区段间转发信息流时不执行NAT;即,当信息流穿过防火墙时,IP封包包头中的源地址和端口号保持不变。与NAT不同,不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同,内网区段中的接口和外网区段中的接口在不同的子网中。
(1)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具 有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被 黑客所攻破。
图2.1包过滤防火墙工作原理图
(2)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从 而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是 从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。
图2.2应用网关防火墙工作原理图
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防 火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以 这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
防火墙在网络安全中的设计(一)由免费论文网(www.jaoyuw.com)会员上传。
