防火墙解决方案
防火墙解决方案范文第1篇
关键词:分布式防火墙 网络安全 应用
0 引言
近几年来,随着互联网应用的飞速发展,许多政府机构、企事业单位及各类学校都纷纷建成了诸如城域网、企业网、校园网等内部互联网。但人们在享受网络带来的诸多便利的同时,也正在面临着日益严重的网络安全问题。能否确保内部网不被来自网内外的用户非法登陆及恶意攻击,使政务、商务等信息系统能正常运行,将成为影响企业利益、国家安全和社会稳定的重要因素。 因此,作为新一代的网络安全技术,分布式防火墙技术已应运而生,并逐渐取代传统防火墙技术,成为目前网络安全应用的主流。
1分布式防火墙技术的主要优势
1.1增强的系统安全性
分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自网络内部的攻击防范,可以实施全方位的安全策略。
1.2提高了系统性能
传统防火墙由于具有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上抛弃了单一的接入点,而使这一问题迎刃而解。另一方面,分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运行效率。
1.3系统的可扩展性
因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。
1.4实施主机策略[2]
传统防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也是显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤。分布式防火墙由主机来实施策略控制,毫无疑问主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题,对网络中的各节点可以起到更安全的防护。
1.5支持VPN通信
分布式防火墙最重要的优势在于它能够保护物理拓扑上不属于内部网络,但位于逻辑上的“内部”网络的那些主机,这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性。这种方法使原本可以直接通信的双方必须经过防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与此相反,分布式防火墙从根本上防止了这种情况的发生,因为它本身就是基于逻辑网络的概念,对它而言,远程“内部”主机与物理上的内部主机没有任何区别。
2分布式防火墙技术的应用
2.1利用分布式防火墙查杀病毒
企业级防火墙作为企业网络安全的“门神”,有着不可替代的作用。但实践证明,企业级防火墙也不能令人完全满意。与企业级防火墙相比,个人防火墙(主机防火墙)可以有效地阻止内部网络攻击,并且由于防护节点在主机,可以大大减轻对网络带宽和资源的影响。但个人防火墙在企业网络中的应用和防病毒软件的应用一样面临管理的问题,没有统一整体的管理,个人防火墙也不会起到应有的作用。
分布式防火墙技术的出现,有效地解决了这一问题。以北京安软天地科技的EVERLINK分布式防火墙[3]为例,它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能,最主要的是提供了中央管理功能。利用EVERLINK分布式防火墙中央管理器,可以对网络内每台计算机上的防火墙进行配置、管理和更新,从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行,也可以通过Internet实现远程管理。另外,对于应用较简单的局域网,网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。
2.2利用分布式防火墙堵住内网漏洞
随着网络安全技术的不断发展,传统边界防火墙逐渐暴露出一些弱点[4],具体表现在以下几个方面。
(1)受网络结构限制 边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络,移动办公和服务器托管日益普遍,加上电子商务要求商务伙伴之间在一定权限下可以彼此访问,企业内部网和网络边界逐渐成为逻辑上的概念,边界防火墙的应用也受到越来越多的限制。
(2)内部不够安全 边界防火墙设置安全策略是基于这样一个基本假设: 企业网外部的人都是不可信的,而企业网内部的人都是可信的。事实上,接近80%的攻击和越权访问来自于企业网内部,边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙把Internet和内部网络均视为不“友好”的。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些不必要的协议通过,从而阻止了非法入侵的发生。
(3)效率不高与故障点多 边界防火墙把检查机制集中在网络边界的单点上,由此造成网络访问瓶颈,并使得用户在选择防火墙产品时首先考虑检测效率,其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。
针对传统边界防火墙存在的缺陷,专家提出了分布式防火墙方案。该方案能有效地消除前面提到的各种内网漏洞。正是由于分布式防火墙这种优越的安全防护体系,并且符合未来的发展趋势,所以使得这一技术刚出现便为许多用户所接受,成为目前公认的最有效的网络安全解决方案。
3结束语
防火墙技术从边界防火墙逐渐演变到主机防火墙、分布式防火墙,并日益与IDS(入侵检测系统)相融合,分布式防护的理念已逐渐被主流安全厂商所拥护,也逐步得到使用者的认可。但大多数的企业网络都非常复杂,要保护它们免受当今难以捉摸且快速传播的混合威胁,是一件非常不容易的事。 “集中式管理、分布式防护”是近年来提出的一个新话题,它能真正解决高速网络带来的入侵检测困难的问题。网络安全技术未来的发展目标,势必是各种分布式安全模块在统一的网络管理软件框架内的融合,共同构架起一个从内到外、安全无处不在的大安全体系,使企业尽可能地全面保护自己的网络信息安全。
参考文献:
[1] John Viga,Gary McGraw[美],Building Secure Software[M],北京:清华大学出版社,2003,160-162.
[2]王伟,曹元大,分布式防火墙下主机防火墙Agent技术[J],计算机工程,2004,30(8).
[3] 叶丹,网络安全实用技术[M],北京:清华大学出版杜,2003,85-86.
防火墙解决方案范文第2篇
【关键字】酒店施工图设计 ,技术整合,设计实践
【前言】北海银滩皇冠假日酒店总建筑面积6万多平米,造型多变,功能复杂,综合性强,作者主要负责裙房部分的施工图设计。因该项目的设计难度较大,刚拿到方案设计时,感觉有点无从下手,经过对方案的多次深度理解,才逐步理清思路,从以下几方面着手展开施工图设计:
1、深刻理解平面布局
该平面布局非常复杂,作者只能从最基本的开始入手,先读图,读懂图,读懂方案设计人员的意图。酒店一层的主要功能空间是:全日餐厅、厨房、大堂、婚宴宴会厅、厨房、空调机房等,设计将外部流线和内部流线严格分开,客户和内部员工分开,客梯和货梯分开,将全日餐厅和婚宴宴会厅布置于南面,有着朝海的良好朝向。二层主要是办公会议区、婚宴策划区、多功能厅和酒店办公室等。三层主要是中餐厅、中餐厅厨房和机房。四层主要是中餐厅包厢、室内游泳池、健身会所。设备层主要是机电设备。
2、合理划分防火分区
了解布局后,就是要合理划分防火分区。因5月1日起开始实施新防火规范,按新防火规范旅馆裙房防火分区面积可以适当提高,地上能达到3000平米以内(有喷淋的情况),所以此次施工图设计将防火分区进行适当合并,比原方案有所减少。但是新规范要求每个防火分区要有一台消防电梯,因而又需要对原方案进行合理调整,大大增加消防电梯数量,于是将原方案的货梯和客梯大部分都变更为消防电梯。另外,施工图设计阶段还增加了两台无障碍电梯。在进行施工图设计时,作者发现原方案的防火分区设计有以下不合理之处:(1)一层楼梯间的疏散门门洞尺寸为1.2米,而规范要求是1.2米净宽,因而设计时门洞尺寸应在1.2米以上;(2)一层疏散出入口应设置防护挑檐;(3)房间最远点离最近疏散门距离不能超过15米;(4)疏散门应开向疏散方向;(5)常开式防火门必须有相应标注,以方便电气专业设计人员配置消防控制系统;(6)办公室门宜开够1米;(7)防火墙在两个防火分区间的间隔未按要求留够4米,于是作者采用耐火极限不低于3.0h的防火玻璃进行处理,在防火墙两侧每边2米的距离,总共4米的距离都采用防火玻璃。(8)防火门应开向疏散方向,特别是楼梯间出屋面部分。这里有个经验,楼梯间可以理解为向两个方向疏散,一个是屋顶,一个是地面,也相当于两个疏散口,所以疏散门都向两个疏散口方向开启。作者根据国家相关规范,通过相应的技术处理,合理调整并完善了防火分区设计。
3、做好细部设计
整体部分的防火设计问题解决以后,接下来是细节部分的设计处理,努力应用设计技术完美实现方案的设计艺术。主要包括楼梯、墙身、女儿墙、幕墙、格栅百叶、雨篷、室内游泳池无边际设计等。
楼梯设计。楼梯是为疏散服务的,设计时计算好每层每个房间的疏散人数后确定每部楼梯梯段宽度。根据空间需要,有时设计梯段的宽度不一样,技术细节处理方面可以通过装修,将两个梯段做到一样宽,而结构实际是不一样宽的,这样就开拓了我们设计楼梯的思路。
幕墙设计。该酒店裙房部分墙身主要是背栓式干挂花岗岩石材幕墙,作者参考国标幕墙做法进行深化处理,着重处理了压顶细部和墙脚收头部分,石材幕墙采用钢龙骨和角钢纵横固定,压顶和墙脚都采用铝合金压板收头,设计时要注意其预留厚度,在建筑实际面积计算中要记入建筑面积,同时根据立面需要,使石材幕墙与玻璃幕墙相平齐,这样,外墙和玻璃幕墙并不齐平,而是石材幕墙和玻璃幕墙齐平,这是施工图设计中需要考虑到的。
女儿墙设计。女儿墙设计中,要考虑不同幕墙在女儿墙上的收头压顶,同时女儿墙泛水做法也要考虑清楚,因为方案设计有大量露台,女儿墙与露台防腐木及其龙骨的接口处理要尤为谨慎,泛水既要满足规范要求,又不影响美观和使用。
格栅百叶设计。酒店的格栅百叶分混凝土和钢方通两种。位于建筑北面大面积的百叶,由于延伸高度达90多米,作者在施工图设计时将其设计为混凝土百叶,结构专业配合设置。而南面的格栅百叶主要在裙房部分,用于装饰空调排风口,于是采用钢方通来进行格栅百叶设计,主要是后期室外装饰工程进行装饰设置。两种百叶相比较,混凝土百叶安全,但不够轻巧,钢方通百叶相对轻巧。在比较矮的裙房部位,便于安装,安装质量有保障,在能保证安全的前提下使用钢方通百叶格栅能更好地发挥其轻巧美观的优点,而高空部位,使用混凝土百叶既保证了安全,同时又兼顾了美观。
雨篷设计。酒店的雨篷设计分为主入口大雨篷和一般门上部小雨篷两种。主入口大雨篷由于原方案设计考虑欠妥,在广西北海多台风的地域使用上拉索式钢雨篷,台风天容易被掀翻,不利于安全,我们重新设计,在雨篷端部增加钢柱,同时采用边缘出挑的设计,使整个大雨篷有像鸟儿翅膀一样起飞的轻盈感觉,同时又不失稳重。大雨篷分三截,上部采用300mm的铝板封边,在立面的视觉效果上有效遮挡了顶部点驳接式夹胶安全玻璃,中部采用横钢梁,下部采用与横钢梁相紧扣的木方通,刚硬中不失柔美,木方通下部是装饰灯具。在雨篷靠外墙的部位,设置有铝板包边,让透光的大雨篷虚实结合,品质感强且不失大气。其他小雨篷主要是设置在一般出口门的上方,采用简洁的轻型槽钢,上接驳接爪,然后是夹胶安全玻璃,简洁明快,同时在一楼出入口位置又起到了防护挑檐的作用。
室内游泳池无边际设计。除了以上设计难点之外,该项目还有一个设计难点就是室内游泳池,这也是作者之前没有接触过的。在裙房四楼设计有一个室内恒温游泳池,该室内泳池南面朝海部分采用无边际设计,为了配合无边际效果,施工图设计时的技术处理手法是:泳池南面排水沟要比室内地坪低很多,于是将泳池整体结构降板1.65米,然后再在内部建筑找坡,最浅处1.1米,最深处1.5米,并在泳池的四周都设置有排水沟,在泳池侧壁设置有水下照明灯和歇脚台。在排水沟的设计中,将排水沟设计为400mm净宽,装修做完盖板后为300mm宽,方便施工和安装。另外,游泳池的玻璃幕墙尽量少设计竖杆,以加强无边际的效果。
防火墙解决方案范文第3篇
创业初期:把握机遇走自己的路
1995年,网络开始涉足中国市场,网络安全市场当时在国外也是一个新兴的市场,国内更是一片空白。北京天融信公司的前身――北京天融信技贸有限责任公司在中关村挂牌,成为中国首家网络安全公司。
1996年,随着网络安全产品市场需求量的增大,以及国家对信息网络安全要求的政策出台,国内鼓励厂商自主研发安全产品。天融信紧紧抓住并牢牢把握重要机遇,克服重重困难,推出了我国第一套自主版权的防火墙系统,并被应用于政府的首个网络安全项目、也是当时最大的安全项目――国家统计局600万元安全系统集成项目。就此,这家当时瞄准了防火墙市场的国内安全厂商,开始顺利踏上信息安全之路并进入国产网络安全产品厂商前列。
“我是在1997年11月,一个偶然的机会进入到北京天融信公司的,那时对防火墙还是一无所知,也没有想着在这个公司长远发展下去。因为我的专业是学金属材料专业――计算机模拟计算,只是因为对计算机行业的一点兴趣以及希望有新的机会,能将所从事的研究工作进行转型,便进入了天融信公司。”于海波简单地做了自我介绍。
据记者了解,天融信公司是属于当时将产品尽快推向市场并得到应用最好的企业之一。主要产品是防火墙,该防火墙于1996年6月研制成功,属我国第一套具有自主知识版权的防火墙系统,并通过国家安全部与电子工业部联合主持的技术鉴定,填补了国内空白。国务院信息办在1997年12月还曾将天融信防火墙列为重点安全项目向全国推广。“我当时进入网络安全行业可以说对网络安全的了解是一片空白。”于海波说,“1999年前,我国的信息安全产业基本处于萌芽状态,专业从事信息安全的国内厂商可谓凤毛麟角,防火墙厂商只有天融信等几家,防病毒厂商主要包括瑞星、江民等,用户基本上不知道什么是防火墙、甚至什么是信息安全,信息安全产品以单机版杀毒软件为主”。
可见,早在当年天融信决定进入网络安全行业时,天融信就在技术、研发方面走出了自己的路。随着国内信息安全市场的需求逐渐明确,防病毒、防火墙已经成为信息系统事实上的标准配置产品。防病毒、防火墙、IDS是我国信息安全市场的支柱型产品,入侵检测(IDS)和VPN的需求上升最快,物理隔离网闸、身份认证和安全管理平台的需求也有较大幅度提高。政府上网工程、网上审批工程、电子政务工程和12大“金”字工程的实施,将政府内部网、企业内网、电子商务网与Internet互联是必须的功能,因此防“黑客”入侵攻击是信息安全的重要任务,而内外网边界安全设备的防火墙更成了需求热点。由于市场对防火墙需求强劲,与此配套使用的其他安全类产品自然也“热”起来了,成为新的需求亮点。
成长期:重视渠道和创新,打造民族品牌
2001-2003年,是我国信息安全产业的成长期,国内的信息安全厂商与用户共同成长;主流厂商密切跟踪、学习,并逐步掌握国际最新技术;用户深入了解信息安全技术,国产品牌产品得到认可;多种信息安全产品面世,“联动”成为安全产品走向。
这期间,天融信公司根据各地不断增长的安全需求,也开始了地方分支机构的建设。于海波告诉记者,他曾于2001年初,被派到广州负责分公司建设。从最初的2个人发展到现在的50多人,从最初的几百万销售额发展到2003年的3000多万的销售额。
在整个信息安全产业方面,用户对信息安全的多样化需求、个性化需求,极大地促进了国内安全厂商的发展,同时也使国内厂商逐步掌握了国际最新技术。2000年,国外信息安全产品占据大部分市场份额,但由于是进口产品,不能在国内进行技术上的快速变更满足国内用户的需求,使得更多的用户转向使用国产安全产品。如天融信开发的NGFW3000有很多功能是根据国内用户的需求开发定制的。之后,2002年推出的NGFW4000,创新性地使用了会话检测技术,极大地提高了防火墙的性能以及过滤的内容深度。
随着诸多国内、国际信息安全厂商进入国内市场并加大投入力度以及政府的扶持,国产信息安全产品与品牌得到普遍认可,使国内网络安全市场规模快速增长,年复合增长率平均达到40%左右。到2003年,总体信息安全产品市场规模已经达到20亿人民币。同时从2000年至2003年,天融信公司连续四年市场份额均居国内安全厂商之首,同时还联合多家国内知名安全厂商,共同倡导推广TopSEC联动网络安全解决方案,为用户构造了一个以防火墙为中心的联动的集成防御体系。
2004年,虽然我国的信息安全产业继续快速发展,使国内用户的需求发生了变化,即“需求的整合”。主要表现在:企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。
面对市场和用户需求的变化,天融信的对策首先是围绕“完全你的安全”,打造全线的网络安全产品、全程的专业安全服务和全面的安全解决方案。到目前为止,天融信已经拥有了网络卫士防火墙、网络卫士VPN、网络卫士入侵检测系统、网络卫士过滤网关、TOPSEC安全审计综合分析系统、网络卫士综合管理系统等6大系列近20多款安全产品与安全应用系统,可以充分满足不同用户的应用需求。
于海波认为,信息安全行业是个来不得半点虚假的行业,“水分太多”,一定程度上会误导用户。网络系统安全必须是整体的、动态的。用户可以通过选择优秀的产品和服务构建一个完整的解决方案,要使优秀产品、服务等环节形成整体的安全策略。另外,必须有统一的、动态的安全策略,一个相互联动的、高效的整体安全解决方案,于是天融信全力推出了以“完全你的安全”为基础的全网整体解决方案,从技术、管理、运行三个层面帮助用户搭建一个安全管理、监控、检测、加固、优化、审计、维护安全平台。
结语
防火墙解决方案范文第4篇
关键词:下一代防火墙,;云计算;,SSL加密
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01
一、什么是下一代防火墙
随着云计算、移动、社交网络等新兴IT技术的发展,互联网应用类型的不断增加以及应用形式的不断变化,越来越多的安全威胁伴随着我们,这为IT系统的安全带来全新的挑战,同时也给企业IT基础架构带来了翻天覆地的变化。在这种情况下,第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。传统的安全防护手段无法识别出网络应用,仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求,没有办法对其进行管理和防护,是必须要经过改进来应对各种各样新的安全威胁挑战,下一代防火墙,即Next Generation Firewall,简称NG Firewall适时出现。下一代防火墙就是以应用识别技术为基础的。下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报,如:使用Web邮件、anonymizer、端到端或计算机远程控制等。“下一代”功能,具体描述如下:
1.(1)功能部署预配置: 提供高吞吐量低延迟防火墙,基于不同规模下的个性化的需求譬如分布式企业安全控制管理的多功能应用,这种部署选项设置目的在于对用户提供随需应变的网络与安全选择。
(2)2.关联可视性: 基于网络中应用,用户与设备即时或查看过往的网络使用状况,及时的调配流量,应用控制以及安全策略。
3.(3)高级威胁防护(ATP):提供强化的安全工具,抵御多面向的持续性渗透攻击。能确保网络安全不会成为网络效能的瓶颈。
二、下一代防火墙技术特点
下一代防火墙应该能够为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案,具有包括如下的技术特点:
(一)基于用户进行防护
传统防火墙策略都是依赖IP与MAC地址来区分数据流,这不利于管理也很难完成对网络状况的清晰掌握与精确的控制。下一代防火墙集成了安全准入控制功能,支持多种认证协议和认证的方式,实现了基于用户的安全防护策略部署和可视化管控。
(二)更加安全的面向应用
在应用安全方面,下一代防火墙应可以做到对各种应用的深层次的识别;;另外在数据安全性问题方面的解决方面,通过远程接入技术,虚拟化技术相结合,为远程接入终端提供虚拟应用和虚拟桌面功能,不用执行任何应用系统客户端程序,使其本地完成和内网服务器端的数据交互,实现了终端到业务系统的“无痕访问”,从而达到了终端与业务分离的目的。
(三)转发平台更加高效
下一代防火墙将NSE(网络服务引擎)和SE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发,并且,对整机各模块进行管理和状态监控;;安全引擎负责把数据流进行网络层安全处理和应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。下一代防火墙为了突破传统网关设备的性能瓶颈。
(四)拥有多层级冗余架构
下一代防火墙在设计中,通过板卡冗余,模块冗余和链路冗余来构建底层物理级冗余,它使用双操作系统来提供系统级冗余,而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级,系统级和方案级共同构成了多层级的冗余化架构体系结构。下一代防火墙设备拥有完善的业务连续性保障方案。采用多层级冗余化设计方案。
(五)可视化全方位视角
下一代防火墙对于管理范围内所有主机,设备的网络应用情况和安全事件信息进行准确的定位和实时跟踪,包括对历史精确还原与对各种数据智能的统计分析,使得管理者清晰的认知网络运行状态。从应用和用户视角多层面的将网络应用的状态展现出来,对于全网产生的海量安全事件信息内容,通过深入的数据挖掘能够形成安全趋势的分析,与各种图形化的统计分析报告。
(六)防护和安全技术融合
下一代防火墙的整套安全防御体系都应该是基于动态云防护而进行设计的。一方面可以通过云来收集安全威胁信息并且快速寻找解决方案,及时的更新攻击防护规则库,并且以动态的方式实时部署到各用户设备中,从而保证用户的安全防护策略得到及时的,准确的动态更新。动态云防护和全网威胁联防是技术的一大融合。
三、下一代防火墙的优势
下一代防火墙作为边界安全防护手段的核心技术,在经历了无数次的技术变革后,早已不是传统防概念了。下一代防火墙之所以受到各界的追捧,主要原因是由于当今的网络威胁来源发生了重大的变化,过去以邮件附件形式为主的攻击手段已经构不成威胁了,取而代之的是,来自隐藏的在数以万计的网络应用中的网络攻,。下一代防火墙可以让管理员分别控制管理与业务相关的网络数据流,能够保证企业的网络生产效率保持高水平,还可以将所有安全和程序控制技术应用到SSL加密数据流中,确保SSL数据流中没有恶意代码。扫描各个端口的文件,不限制文件大小,也不会在扫描时影响数据的安全性或网络的效率。
四、结束语
云计算、大数据和移动技术都正以迅猛的速度发展,反映在企业网络安全领域。下一代防火墙为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案,以智能化识别、精细化控制、一体化扫描为核心理念,满足了在下一代网络中的安全应用需求,集中体现了识别安全风险、保障应用安全的客户价值。
参考文献:
[1]肖坚.浅析入侵防御系统[J].电脑知识与技术,,2011(14).
[2]王纯.探析防火墙技术[J].无线互联科技,,2011(06).
防火墙解决方案范文第5篇
关键词:网络安全 信息安全 防火墙
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)03-0197-02
随着网络技术发展和Internet 的普及,网络信息安全的内涵也就发生了根本的变化。从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
在当今网络互连的环境中,网络安全体系结构的考量和选择显得尤为重要.采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。
1 防火墙的定义及分类
防火墙是用来对因特网种特定的连接段进行隔离的任何一台设备或一组设备,他们提供单一的控制点,从而允许或禁止在网络中的传输流。通常有两种实现方案,即采用应用网关的应用层防火墙和采用过滤路由器的网络层防火墙。防火墙的结构模型可划分为策略(policy)和控制(control)两部分,前者是指是否赋予服务请求着相应的访问权限,后者对授权访问着的资源存取进行控制。
1.1 应用层防火墙(application-layer firewall)
应用层防火墙可由下图简单示例:
图1 应用层防火墙
其中C代表客户;F代表防火墙而居于客户和提供相应服务的服务器S之间[2]。客户首先建立与防火墙间的运输层连接,而不是与服务器建立相应的连接。域名服务器DNS受到客户对服务器S的域名解析请求后,返回给客户一个服务重定向纪录(service redirection record),其中包含有防火墙的IP地址。然后,客户与防火墙进行会话,从而使防火墙能够确定客户的标识,与此同时包含对服务器S的服务请求。接下来防火墙F判断客户C是否被授权访问相应的服务,若结果肯定,防火墙F建立自身同服务器S键的运输层连接,并充当二者间交互的中介。应用层防火墙不同于网络层防火墙之处在于,其可处理和检验任何通过的数据。但必须指出的是,针对不同的应用它并没有一个统一的解决方案,而必须分别编码,这严重制约了它的可用性和通用性。另外,一旦防火墙崩溃,整个应用也将随之崩溃;由于其自身的特殊机制,带来的性能损失要比网络层防火墙要大。
1.2 网络层防火墙(IP-layer firewall)
网络层防火墙的基本模型为一个多端口的IP层路由器,它对每个IP数据报都运用一系列规则进行匹配运算[3],借以判断该数据报是否被前传或丢弃,也就是利用数据包头所提供的信息,IP数据报进行过滤(filter)处理。
防火墙路由器具有一系列规则(rule),每条规则由分组刻面(packet profile)和动作(action)组成。分组刻面用来描述分组头部某些域的值,主要有源IP地址,目的IP地址,协议号和其他关于源端和目的端的信息。防火墙的高速数据报前传路径(high_speed datagram forwarding path)对每个分组应用相应规则进行分组刻面的匹配。若结果匹配,则执行相应动作。典型的动作包括:前传(forwarding),丢弃(dropping),返回失败信息(sending a failure response)和异常登记(logging for exception tacking)。一般而言,应包含一个缺省的规则,以便当所有规则均不匹配时,能够留一个出口,该规则通常对应一个丢弃动作。
1.3 策略控制层 (policy control level)
现在引入策略控制层的概念,正是它在防火墙路由器中设置过滤器,以对客户的请求进行认证和权限校验,策略控制层由认证功能和权限校验功能两部分组成。前者用来验证用户的身份,而后者用来判断用户是否具有相应资源的访问权限。
图2 策略控制层
如上图所示,C为客户,S为服务器,F1、F2为处于其间的两个防火墙。A1和X1分别为认证服务器和权限验证服务器。首先由C向S发送一个数据报开始整个会话过程,客户C使用通常的DNSlookup和网络层路由机制。当分组到达防火墙F1时,F1将会进行一系列上述的匹配。由于该分组不可能与任何可接受的分组刻面匹配,所以返回一个“Authentication Required”的标错信息给C,其中包括F1所信任的认证/权限校验服务器列表。然后客户C根据所返回的标错信息,箱认证服务器A1发出认证请求。利用从A1返回的票据,客户C向全县校验服务器Z1发出权限校验请求,其中包括所需的服务和匹配防火墙所需的刻面。Z1随之进行相应的校验操作,若校验结果正确,权限校验服务器Z1知会防火墙F1允许该分组通过。在客户器C的分组通过F1后,在防火墙F2处还会被拒绝,从而各部分重复上述过程,通过下图可清晰的看到上述过程中各事件的发生和处理。
网络防火墙技术是一项安全有效的防范技术,主要功能是控制对内部网络的非法访问。通过监视等措施,限制或更改进出网络的数据流,从而对外屏蔽内部网的拓扑结构,对内屏蔽外部危险站点。防火墙将提供给外部使用的服务器,通过一定技术的设备隔离开来,使这些设备形成一个保护区,即防火区。它隔离内部网与外部网,并提供存取机制与保密服务,使内部网有选择的与外部网进行信息交换;根据需要对内部网络访问的INTERNET进行控制,包括设计流量,访问内容等方面,使内部网络与INTERNET的网络得到隔离,内部网络的IP地址范围就不会受到INTERNET的IP地址的影响,保证了内部网络的独立性和可扩展性(如图3)。
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但防火墙并不是万能的,自身存在缺陷,使它无法避免某些安全风险,而且层出不穷的攻击技术又令防火墙防不胜防。
2 结语
随着INTERNET在我国的迅速发展,防火墙技术引起了各方面的广泛关注,一方面在对国外信息安全和防火墙技术的发展进行跟踪,另一方面也已经自行开展了一些研究工作。目前使用较多的,是在路由器上采用分组过滤技术提供安全保证,对其他方面的技术尚缺乏深入了解。防火墙技术还处在一个发展阶段,仍有许多问题有待解决。因此,密切关注防火墙的最新发展,对推动INTERNET在我国的健康发展有着重要的意义。
参考文献
[1]雷震甲.《网络工程师教程》.清华大学出版社,p644 2004.7.
