防火墙安全技术

2018-10-16 21:32:28

字体：大中小

来源：转载

供稿：网友

在构建安全的网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。通常一个公司在购买网络安全设备时，总是把防火墙放在首位。目前，防火墙已经成为世界上用得最多的网络安全产品之一。那么，防火墙是如何保证网络系统的安全，又如何实现自身安全的呢？

众所周知，防火墙是一种将内部网和公众网如 Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换――NAT技术、代理技术等。

包过滤技术（Packet Filter）是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤（通常是对从互联网络到内部网络的包进行过滤）。用户可以设定一系列的规则，指定允许哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包的传输应该被拦截。包过滤规则以IP包信息为基础, 对IP包的源地址、 IP包的目的地址、封装协议(TCP/UDP/ICMP/IP Tunnel)、端口号等进行筛选。包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。

传统的包过滤只是与规则表进行匹配。防火墙的IP 包过滤，主要是根据一个有固定排序的规则链过滤，其中的每个规则都包含着IP地址、端口、传输方向、分包、协议等多项内容。同时，一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。东方龙马防火墙采用了基于连接状态的检查，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。

网络地址转换是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP地址。

NAT的工作过程如图所示：

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

应用代理或代理服务器（ApplicationLevel Proxy or Proxy Server）是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再回送给用户。这种技术被用于在Web服务器上高速缓存信息，并且扮演Web客户和Web服务器之间的中介角色。它主要保存因特网上那些最常用和最近访问过的内容，为用户提供更快的访问速度，并且提高网络安全性。这项技术对ISP很常见，特别是如果它到因特网的连接速度很慢的话。在Web 上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。也可以通过建立代理服务器来允许在防火墙后面直接访问因特网。代理在服务器上打开一个套接字，并允许通过这个套接字与因特网通信。

如果防火墙系统本身被攻击者突破或迂回，对内部系统来说它就毫无意义。因此，保障防火墙自身的安全是实现系统安全的前提。一个防火墙要抵御黑客的攻击必须具有严密的体系结构和安全的网络结构。

上一篇：防火墙功能指标详解

下一篇：深度包检测:未来防火墙的新武器