智能防火墙的技术特征_网络冲浪

  防火墙已经被用户普遍接受,而且正在成为一种主要的网络安全设备。防火墙圈定一个保护的范围,并假定防火墙是唯一的出口,然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设—如果防火墙拒绝某些数据包的通过,则一定是安全的,因为这些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的,防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同,而是要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么,防火墙则依据设置的规则来准许该包通过,这样管理员就必须承担策略错误的安全责任。然而,传统防火墙的这种假设对网络安全是不恰当的,安全效果也不好。把安全责任交给安全管理员,实际上就没有解决安全问题。新一代的防火墙应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全,也必须保证应用的正常进行。

  本文介绍的智能防火墙是一种更聪明、更智能的防火墙产品,它克服了传统防火墙“一管就死,一放就乱”的状况,修正了上述防火墙的重大假设。新的智能防火墙把“出口”的概念改变为“关口”的概念,所有经过“关口”的数据包都必须接受防火墙的检查。与传统防火墙采用的数据匹配检查的技术不同,新的智能防火墙采用人工智能识别技术来决定访问控制。智能防火墙比传统的防火墙更安全,效率更高。

  传统防火墙面临应用难题

  目前的防火墙无论从技术上还是产品发展历程上,都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙—应用层防火墙(代理防火墙)的初步结构。1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。

  前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。因此,它们都有一个共同的缺陷—安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。

  没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题。而这三大问题,传统的防火墙是无能为力的。原因有三,一是传统防火墙计算能力的限制。传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法应对复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为,该特征决定了传统的防火墙无法解决恶意的攻击行为。

  智能防火墙应运而生

  智能防火墙是相对传统的防火墙而言的,顾名思义,它更聪明、更智能。80%的用户非常接受智能防火墙的概念,在他们的眼里,不聪明就是不可靠、不安全。找个不聪明的保镖,你觉得安全吗?传统防火墙存在的很多问题,用户往往难以理解。用户经常会问,为什么防火墙不能防止黑客的攻击?安全专家用记录的数据来分析,一眼就发现黑客的攻击,为什么防火墙不行?原因就是传统的防火墙是一个简单机制,只能机械地执行安全策略。

  智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。

  一个典型的例子可以说明智能防火墙对网络安全是多么的重要。传统的防火墙对包的检查,就像对人的相貌的识别,采用图像识别一样。把一个人的相貌转换为图像,对图像的每一个像素进行记忆,然后进行匹配检查。通过检查上千万个像素之后,告诉你这是谁。人不是这样来识别相貌的。人几乎没有计算就可以实时地识别你是谁。这就是智能识别。智能防火墙无须海量计算就可以轻松找到网络行为的特征值来识别网络行为,从而轻松的执行访问控制。

  总之,智能防火墙的出现正可谓应运而生,必将把信息安全带入新的境界。

  应用看台

  智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向。新一代智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比有质的飞跃。其主要应用领域如下:

  防范恶意数据攻击:智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击,解决SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻击,有效的切断恶意病毒或木马的流量攻击。

  防范黑客攻击:智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具,可以防止被扫描。并可有效地解决恶意代码的恶意扫描攻击。

  防范MAC欺骗和IP欺骗:智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。

  入侵防御:智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护,这样就完成了深层数据包监控,并能阻断应用层攻击。

  防范潜在风险:智能防火墙支持包擦洗技术,对IP、TCP、UDP、ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。

  综上所述,与传统防火墙相比,智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面,都有广泛的应用价值。

时间: 2024-09-30 22:44:00

智能防火墙的技术特征_网络冲浪的相关文章

黑客突破防火墙常用的几种技术_网络冲浪

一.防火墙基本原理 首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过.当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制. 说到访问控制,这是防火墙的核心了:),防火墙主要通过一个

应该如何选择适合你的防火墙_网络冲浪

    防火墙非常普遍,但并非一应俱全.说到安全细化分析,基于网关的防火墙最好,紧随其后的是状态检测防火墙,但状态检测防火墙提供的安全处理功能最弱.不过就易管理性而言,顺序恰好相反:状态检测防火墙具有最佳的"即插即用性",应用代理防火墙最弱.那么你怎样确定哪种类型的防火墙适合你的网络呢?哪一种能够在安全.功能.成本和易管理性之间达到最佳平衡呢?     要解决上述问题,不妨分析一下三种应用环境:小型办公室.需求一般的大中型办公室,以及需求复杂的大型办公室.     小型办公室.    

IE无法打开网页的常见问题与解决方法_网络冲浪

一.网络设置的问题 这种原因比较多出现在需要手动指定IP.网关.DNS服务器联网方式下,及使用代理服务器上网的.仔细检查计算机的网络设置.  二.DNS服务器的问题  当IE无法浏览网页时,可先尝试用IP地址来访问,如果可以访问,那么应该是DNS的问题,造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题,这时你可以手动指定DNS服务(地址可以是你当地ISP提供的DNS服务器地址,也可以用其它地方可正常使用DNS服务器地址.)在网络的属性里进行,(控制面板-网络和拔号连接-本地连接-

浅析三种不同的“防Ping”方法_网络冲浪

众所周知,Ping命令是一个非常有用的网络命令,大家常用它来测试网络连通情况.但同时它也是把"双刃剑",特别是在网络高速发展的今天,一些"不怀好意"的人在互联网中使用它来探测别人的机器,以此来达到不可告人的目的.为了保证机器在网络中的安全,现在很多人都非常重视"防Ping",当然"防Ping"的方法和手段也非常多,如利用IPSec安全策略.Windows内置的防火墙.第三方防火墙工具.路由和远程访问组件等,到底这些"

千兆防火墙的两种方案选择_网络冲浪

    近年来随着千兆网络开始在国内大规模推广应用,用户对千兆防火墙的需求已逐渐升温.在很多网络环境下,传统的基于X86体系结构的防火墙已不能满足千兆防火墙高吞吐量.低时延的要求,因此,两种新的技术,即网络处理器(Network Processor)和专用集成电路(ASIC)技术成为众多国内厂家实现千兆防火墙的主要选择.可以说,防火墙的硬件体系结构正面临着一次变革. 百兆防火墙的不足 在百兆防火墙时代,国内防火墙厂商普遍采用的是通用CPU配合软件的技术方案.虽然很多厂家也把它称之为硬件防火墙,但

网络漏洞扫描系统必要性_网络冲浪

随着计算机技术.网络技术的飞速发展和普及应用,网络安全已日渐成为人们关注的焦点问题之一.近几年来,安全技术和安全产品已经有了长足的进步,部分技术与产品已日趋成熟.但是,单个安全技术或者安全产品的功能和性能都有其局限性,只能满足系统与网络特定的安全需求.因此,如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前信息安全领域的研究热点之一. 首先,让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测.为了确保网络的安全使用,研究它们的局限性和脆弱性已经十分必要. 一.防火墙的局

世界顶级防火墙Look n Stop中文版_网络冲浪

Look n Stop 被誉为世界顶级防火墙!与同类产品相比具有最为突出的强劲功能以及与众不同的特点,不仅功能评测在知名防火墙中是最强的!而且软件大小只有区区600多k十分小巧, 占内存非常小,可以监控dll,更具强大的御防黑客攻击能力!! 安装时几点需要注意到的事情: 1.提示没有经过微软的安全监测,这一点容易理解,微软当然希望所有的人使用它自己开发的软件产品,对于出现的提示,我想经常安装非微软软件产品的朋友都会遇上这种情况. 2.重新启动电脑进入桌面时,没有弹出一个询问你是否需要下载多国语言

使用Http通道突破防火墙限制_网络冲浪

不少公司的防火墙作了较为严格的限制,以至于很多网络服务如QQ.MSN都无法运行,如果你还能够打开网页,那么,使用Http通道软件可以让你突破限制,可以在现有的网络条件中使用任何网络服务. 使用Http通道软件可以突破防火墙的限制,利用唯一Http访问的权限获得其他Internet应用.那么什么是通道呢?这里所谓的通道,是指一种绕过防火墙端口屏蔽的通讯方式.防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上,然后穿过防火墙与对方通讯,当封装的数据包到达目的地时,再将数据包还原,并将还原

如何鉴别防火墙的实际功能差异_网络冲浪

有一些问题常令用户困惑:在产品的功能上,各个厂商的描述十分雷同,一些"后起之秀"与知名品牌极其相似.面对这种情况,该如何鉴别? 描述得十分类似的产品,即使是同一个功能,在具体实现上.在可用性和易用性上,个体差异地十分明显. 一.网络层的访问控制 所有防火墙都必须具备此项功能,否则就不能称其为防火墙.当然,大多数的路由器也可以通过自身的ACL来实现此功能. 1.规则编辑 对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的