❶ 防火牆發展趨勢
防火牆的發展趨勢
網路安全涉及到通信和網路、密碼學、晶元、操作系統、資料庫等多方面技術。目前的網路安全產品,主要分為以下幾類:3A類產品、安全操作系統、安全隔離與信息交換系統、安全WEB、反病毒產品、IDS和弱點評估產品、防火牆、VPN、保密機、PKI等。其中,防火牆是網路安全的第一道屏障,所佔市場最大,安全技術也比較成熟。下面就防火牆的現狀與發展趨勢作重點闡述。
防火牆的功能
從防火牆的功能來說,主要包含以下幾個方面:訪問控制,如應用ACL進行訪問控制;攻擊防範,如防止 SYN FLOOD 等; NAT; VPN ;路由;認證和加密;日誌記錄;支持網管等。
為了滿足多樣化的組網需求,降低用戶對其它專用設備的需求,減少用戶建網成本,防火牆上也常常把其它網路技術結合進來,例如支持 DHCP SERVER , DHCP RELAY;支持動態路由,如RIP,OSPF等;支持撥號, PPPOE 等特性;支持廣域網口;支持透明模式(橋模式);支持內容過濾(如URL過濾)、防病毒和IDS等功能。
防火牆的發展,經歷了從早期的簡單包過濾,到今天廣泛應用的狀態包過濾技術和應用代理。其中狀態包過濾技術因為其安全性較好,速度快,得到最廣泛的應用。
應用代理雖然安全性更好,但它需要針對每一種協議開發特定的代理協議,對應用的支持不夠好。但關鍵的是,它的性能比較差,從國外公開的防火牆測試報告來看,代理防火牆性能表現比較差,因此在網路帶寬迅猛發展的情況下,已經不能完全滿足需要。
此外,有的防火牆支持SOCK代理,這種代理屏蔽了協議本身,只要客戶端支持SOCK代理,該應用在防火牆上就可以穿越。這種代理對於部分不公開的協議,如QQ的語音和視頻協議,採用其它技術,在NAT情況下很難實現對該協議的支持,但QQ軟體本身支持SOCK代理,如果防火牆支持SOCK代理協議,就可以實現對防火牆的穿越。但對於防火牆而言,不參與協議解碼,也意味著防火牆對該協議失去了監測能力。
狀態檢測技術
狀態檢測技術要監視每個連接發起到結束的全過程,對於部分協議,如FTP、 H.323等協議,是有狀態的協議,防火牆必須對這些協議進行分析,以便知道什麼時候,從哪個方向允許特定的連接進入和關閉。
狀態防火牆可以對特定的協議進行解碼,因此安全性也比較好。有的防火牆可以對FTP、SMTP等有害命令進行檢測和過濾,但因為在應用層解碼分析,處理速度比較慢,為此,有的防火牆採用自適應方式,因此處理速度很快。
狀態防火牆還有一個特色是,當檢測到SYN FLOOD攻擊時,會啟動代理。此時,如果是偽造源IP的會話,因為不能完成三層握手,攻擊報文就無法到達伺服器,但正常訪問的報文仍然可達。
防火牆因為軟體復雜,實現的功能較多,必須有操作系統支持,操作系統的安全是防火牆安全的基石。1998年,在中國和美國計算機學會ACM共同舉辦的國際會議上,我提出了高保障防火牆的概念,其核心是防火牆與安全操作系統無縫集成,在防火牆上實現類似B級操作系統的機制,如標記,MAC,強實體認證等。入關具有入關證,出關具有出關證。建立了防止內部敏感信息泄漏的機制,達到既防外又防內的目標。
防火牆的未來發展趨勢
未來防火牆的發展趨勢是朝高速、多功能化、更安全的方向發展。
從國內外歷次測試的結果都可以看出,目前防火牆一個很大的局限性是速度不夠。應用ASIC、FPGA和網路處理器是實現高速防火牆的主要方法,其中以採用網路處理器最優,因為網路處理器採用微碼編程,可以根據需要隨時升級,甚至可以支持IPV6,而採用其它方法就不那麼靈活。
實現高速防火牆,演算法也是一個關鍵,因為網路處理器中集成了很多硬體協處理單元,因此比較容易實現高速。對於採用純CPU的防火牆,就必須有演算法支撐,例如ACL演算法。目前有的應用環境,動輒應用數百乃至數萬條規則,沒有演算法支撐,對於狀態防火牆,建立會話的速度會十分緩慢。
受現有技術的限制,目前還沒有有效的對應用層進行高速檢測的方法,也沒有哪款晶元能做到這一點。因此,防火牆不適宜於集成內容過濾、防病毒和IDS功能(傳輸層以下的IDS除外,這些檢測對CPU消耗小)。對於IDS,目前最常用的方式還是把網路上的流量鏡像到IDS設備中處理,這樣可以避免流量較大時造成網路堵塞。此外,應用層漏洞很多,攻擊特徵庫需要頻繁升級,對於處在網路出口關鍵位置的防火牆,如此頻繁地升級也是不現實的。
這里還要提到日誌問題,根據國家有關標准和要求,防火牆日誌要求記錄的內容相當多。隨著網路流量越來越大,龐大的日誌對日誌伺服器提出了很高的要求。目前,業界應用較多的SYSLOG日誌,採用的是文本方式,每一個字元都需要一個位元組,對防火牆的帶寬也是一個很大的消耗。二進制日誌可以大大減小數據傳送量,也方便資料庫的存儲、加密和事後分析。所以,支持二進制格式和日誌資料庫,是未來防火牆日誌和日誌伺服器軟體的一個基本要求。
多功能也是防火牆的發展方向之一,鑒於目前路由器和防火牆價格都比較高,組網環境也越來越復雜,一般用戶總希望防火牆可以支持更多的功能,滿足組網和節省投資的需要。例如,防火牆支持廣域網口,並不影響安全性,但在某些情況下卻可以為用戶節省一台路由器;支持部分路由器協議,如路由、撥號等,可以更好地滿足組網需要;支持IPSEC VPN,可以利用網際網路組建安全的專用通道,既安全又節省了專線投資。
未來防火牆的操作系統會更安全。隨著演算法和晶元技術的發展,防火牆會更多地參與應用層分析,為應用提供更安全的保障。
❷ 簡述防火牆技術的發展趨勢。
防火牆技術發展的三個發展趨勢
防火牆可說是信息安全領域最成熟的產品之一,但是成熟並不意味著發展的停滯,恰恰相反,日益提高的安全需求對信息安全產品提出了越來越高的要求,防火牆也不例外,下面我們就防火牆一些基本層面的問題來談談防火牆產品的主要發展趨勢。
模式轉變
傳統的防火牆通常都設置在網路的邊界位置,不論是內網與外網的邊界,還是內網中的不同子網的邊界,以數據流進行分隔,形成安全管理區域。但這種設計的最大問題是,惡意攻擊的發起不僅僅來自於外網,內網環境同樣存在著很多安全隱患,而對於這種問題,邊界式防火牆處理起來是比較困難的,所以現在越來越多的防火牆產品也開始體現出一種分布式結構,以分布式為體系進行設計的防火牆產品以網路節點為保護對象,可以最大限度地覆蓋需要保護的對象,大大提升安全防護強度,這不僅僅是單純的產品形式的變化,而是象徵著防火牆產品防禦理念的升華。
防火牆的幾種基本類型可以說各有優點,所以很多廠商將這些方式結合起來,以彌補單純一種方式帶來的漏洞和不足,例如比較簡單的方式就是既針對傳輸層面的數據包特性進行過濾,同時也針對應用層的規則進行過濾,這種綜合性的過濾設計可以充分挖掘防火牆核心功能的能力,可以說是在自身基礎之上進行再發展的最有效途徑之一,目前較為先進的一種過濾方式是帶有狀態檢測功能的數據包過濾,其實這已經成為現有防火牆產品的一種主流檢測模式了,可以預見,未來的防火牆檢測模式將繼續整合進更多的范疇,而這些范疇的配合也同時獲得大幅的提高。
就目前的現狀來看,防火牆的信息記錄功能日益完善,通過防火牆的日誌系統,可以方便地追蹤過去網路中發生的事件,還可以完成與審計系統的聯動,具備足夠的驗證能力,以保證在調查取證過程中採集的證據符合法律要求。相信這一方面的功能在未來會有很大幅度的增強,同時這也是眾多安全系統中一個需要共同面對的問題。
功能擴展
現在的防火牆產品已經呈現出一種集成多種功能的設計趨勢,包括VPN、AAA、PKI 、IPSec等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火牆產品中了,很多時候我們已經無法分辨這樣的產品到底是以防火牆為主,還是以某個功能為主了,即其已經逐漸向我們普遍稱之為IPS(入侵防禦系統)的產品轉化了。有些防火牆集成了防病毒功能,這樣的設計會對管理性能帶來不少提升,但同時也對防火牆產品的另外兩個重要因素產生了影響,即性能和自身的安全問題,所以我們的意見是應該根據具體的應用環境來做綜合的權衡,畢竟這個世界暫時還不存在什麼完美的解決方案。
防火牆的管理功能一直在迅猛發展,並且不斷地提供一些方便好用的功能給管理員,這種趨勢仍將繼續,更多新穎實效的管理功能會不斷地涌現出來,例如簡訊功能,至少在大型環境里會成為標准配置,當防火牆的規則被變更或類似的被預先定義的管理事件發生之後,報警行為會以多種途徑被發送至管理員處,包括即時的簡訊或行動電話撥叫功能,以確保安全響應行為在第一時間被啟動,而且在將來,通過類似手機、PDA這類移動處理設備也可以方便地對防火牆進行管理,當然,這些管理方式的擴展需要首先面對的問題還是如何保障防火牆系統自身的安全性不被破壞。
性能提高
未來的防火牆產品由於在功能性上的擴展,以及應用日益豐富、流量日益復雜所提出的更多性能要求,會呈現出更強的處理性能要求,而寄希望於硬體性能的水漲船高肯定會出現瓶頸,所以諸如並行處理技術等經濟實用並且經過足夠驗證的性能提升手段將越來越多的應用在防火牆產品平台上;相對來說,單純的流量過濾性能是比較容易處理的問題,而與應用層涉及越密,性能提高所需要面對的情況就會越復雜;在大型應用環境中,防火牆的規則庫至少有上萬條記錄,而隨著過濾的應用種類的提高,規則數往往會以趨進幾何級數的程度上升,這是對防火牆的負荷是很大的考驗,使用不同的處理器完成不同的功能可能是解決辦法之一,例如利用集成專有演算法的協處理器來專門處理規則判斷,在防火牆的某方面性能出現較大瓶頸時,我們可以單純地升級某個部分的硬體來解決,這種設計有些已經應用到現有的產品中了,也許未來的防火牆產品會呈現出非常復雜的結構,當然,從某種角度來說,我們祈禱這種狀況最好還是不要發生。
另外根據經驗,除了硬體因素之外,規則處理的方式及演算法也會對防火牆性能造成很明顯的影響,所以在防火牆的軟體部分也應該會融入更多先進的設計技術,並衍生出更多的專用平台技術,以期緩解防火牆的性能要求。
綜上所述,不論從功能還是從性能來講,防火牆產品的演進並不會放慢速度,反而產品的豐富程度和推出速度會不斷的加快,這也反映了安全需求不斷上升的一種趨勢,而相對於產品本身某個方面的演進,更值得我們關注的還是平台體系結構的發展以及安全產品標準的發布,這些變化不僅僅關繫到某個環境的某個產品的應用情況,更關繫到信息安全領域的未來。
❸ 防火牆的發展趨勢
防火牆未來的技術發展趨勢
隨著新的網路攻擊的出現,防火牆技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火牆體系結構和防火牆系統管理三方面來體現。
1. 防火牆包過濾技術發展趨勢
(1). 一些防火牆廠商把在AAA系統上運用的用戶認證及其服務擴展到防火牆中,使其擁有可以支持基於用戶角色的安全策略功能。該功能在無線網路應用中非常必要。具有用戶身份驗證的防火牆通常是採用應用級網關技術的,包過濾技術的防火牆不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網路通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗證。
(2). 多級過濾技術
所謂多級過濾技術,是指防火牆採用多級過濾措施,並輔以鑒別手段。在分組過濾(網路層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、聖誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火牆技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。
這種過濾技術在分層上非常清楚,每種過濾技術對應於不同的網路層,從這個概念出發,又有很多內容可以擴展,為將來的防火牆技術發展打下基礎。
(3). 使防火牆具有病毒防護功能。現在通常被稱之為"病毒防火牆",當然目前主要還是在個人防火牆中體現,因為它是純軟體形式,更容易實現。這種防火牆技術可以有效地防止病毒在網路中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火牆可以大大減少公司的損失。
2. 防火牆的體系結構發展趨勢
隨著網路應用的增加,對網路帶寬提出了更高的要求。這意味著防火牆要能夠以非常高的速率處理數據。另外,在以後幾年裡,多媒體應用將會越來越普遍,它要求數據穿過防火牆所帶來的延遲要足夠小。為了滿足這種需要,一些防火牆製造商開發了基於ASIC的防火牆和基於網路處理器的防火牆。從執行速度的角度看來,基於網路處理器的防火牆也是基於軟體的解決方案,它需要在很大程度上依賴於軟體的性能,但是由於這類防火牆中有一些專門用於處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火牆的性能要比傳統防火牆的性能好許多。
與基於ASIC的純硬體防火牆相比,基於網路處理器的防火牆具有軟體色彩,因而更加具有靈活性。基於ASIC的防火牆使用專門的硬體處理網路數據流,比起前兩種類型的防火牆具有更好的性能。但是純硬體的ASIC防火牆缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火牆功能的快速發展。理想的解決方案是增加ASIC晶元的可編程性,使其與軟體更好地配合。這樣的防火牆就可以同時滿足來自靈活性和運行性能的要求。
3. 防火牆的系統管理發展趨勢
防火牆的系統管理也有一些發展趨勢,主要體現在以下幾個方面:
(1). 首先是集中式管理,分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本,並保證在大型網路中安全策略的一致性。快速響應和快速防禦也要求採用集中式管理系統。目前這種分布式防火牆早已在Cisco(思科)、3Com等大的網路設備開發商中開發成功,也就是目前所稱的"分布式防火牆"和"嵌入式防火牆"。關於這一新技術在本篇下面將詳細介紹。
(2). 強大的審計功能和自動日誌分析功能。這兩點的應用可以更早地發現潛在的威脅並預防攻擊的發生。日誌功能還可以管理員有效地發現系統中存的安全漏洞,及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火牆通常是比較高級的,早期的靜態包過濾防火牆是不具有的。
(3). 網路安全產品的系統化
隨著網路安全技術的發展,現在有一種提法,叫做"建立以防火牆為核心的網路安全體系"。因為我們在現實中發現,僅現有的防火牆技術難以滿足當前網路安全需求。通過建立一個以防火牆為核心的安全體系,就可以為內部網路系統部署多道安全防線,各種安全技術各司其職,從各方面防禦外來入侵。
如現在的IDS設備就能很好地與防火牆一起聯合。一般情況下,為了確保系統的通信性能不受安全設備的影響太大,IDS設備不能像防火牆一樣置於網路入口處,只能置於旁路位置。而在實際使用中,IDS的任務往往不僅在於檢測,很多時候在IDS發現入侵行為以後,也需要IDS本身對入侵及時遏止。顯然,要讓處於旁路偵聽的IDS完成這個任務又太難為,同時主鏈路又不能串接太多類似設備。在這種情況下,如果防火牆能和IDS、病毒檢測等相關安全產品聯合起來,充分發揮各自的長處,協同配合,共同建立一個有效的安全防範體系,那麼系統網路的安全性就能得以明顯提升。
目前主要有兩種解決辦法:一種是直接把IDS、病毒檢測部分直接"做"到防火牆中,使防火牆具有IDS和病毒檢測設備的功能;另一種是各個產品分立,通過某種通訊方式形成一個整體,一旦發現安全事件,則立即通知防火牆,由防火牆完成過濾和報告。目前更看重後一種方案,因為它實現方式較前一種容易許多。
三、分布式防火牆技術
在前面已提到一種新的防火牆技術,即分布式防火牆技術已在逐漸興起,並在國外一些大的網路設備開發商中得到了實現,由於其優越的安全防護體系,符合未來的發展趨勢,所以這一技術一出現便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火牆技術。
因為傳統的防火牆設置在網路邊界,外於內、外部互聯網之間,所以稱為"邊界防火牆(Perimeter Firewall)"。隨著人們對網路安全防護要求的提高,邊界防火牆明顯感覺到力不從心,因為給網路帶來安全威脅的不僅是外部網路,更多的是來自內部網路。但邊界防火牆無法對內部網路實現有效地保護,除非對每一台主機都安裝防火牆,這是不可能的。基於此,一種新型的防火牆技術,分布式防火牆(Distributed Firewalls)技術產生了。它可以很好地解決邊界防火牆以上的不足,當然不是為每對路主機安裝防火牆,而是把防火牆的安全防護系統延伸到網路中各對台主機。一方面有效地保證了用戶的投資不會很高,另一方面給網路所帶來的安全防護是非常全面的。
我們都知道,傳統邊界防火牆用於限制被保護企業內部網路與外部網路(通常是互聯網)之間相互進行信息存取、傳遞操作,它所處的位置在內部網路與外部網路之間。實際上,所有以前出現的各種不同類型的防火牆,從簡單的包過濾在應用層代理以至自適應代理,都是基於一個共同的假設,那就是防火牆把內部網路一端的用戶看成是可信任的,而外部網路一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火牆是一種主機駐留式的安全系統,它是以主機為保護對象,它的設計理念是主機以外的任何用戶訪問都是不可信任的,都需要進行過濾。當然在實際應用中,也不是要求對網路中每對台主機都安裝這樣的系統,這樣會嚴重影響網路的通信性能。它通常用於保護企業網路中的關鍵結點伺服器、數據及工作站免受非法入侵的破壞
❹ 網路安全前景怎樣
網路現在已抄經深入人心,前景方面應該是非常不錯的,但是如果網路安全你學的不精,那就相當 於沒有學,現在菜鳥都可以解決很多網路問題,也有很多菜鳥照著教程學,就可以使用工具黑掉一個網站,所以如果你想從事這方面,需要付出比別人更多的精力去學習,學深
❺ 網路病毒過濾規則 國外發展趨勢
隨著網路技術的不斷發展,出現了大量的基於網路的服務,網路安全問題也就變得越來越重要。ACL即訪問控制列表,它是工作在OSI參考模型三層以上設備,通過對數據包中的第三、四層中的包頭信息按照給定的規則進行分析,判斷是否轉發該數據包。基於ACL的網路病毒的過濾技術在一定程度上可以比較好的保護區域網用戶免遭外界病毒的干擾,是一種比較好的中小型區域網網路安全控制技術。
本設計重點從計算機網路病毒的出現、基本特徵以及發展現狀的角度出發,比較深入的研究了相關網路安全技術,深入分析了當前幾種嚴重影響網路性能的網路病毒,結合ACL的工作原理,制定了相應的訪問控制規則列表,並且通過模擬實驗,對ACL的可行性進行了相應的測試。
關鍵詞:ACL 訪問控制列表 網路安全 路由器 防火牆
目錄
中文摘要 2
ABSTRACT 3
1. 緒言 4
1.1 計算機病毒的出現 4
1.2 反病毒的發展 4
1.2.1 病毒製造者的心態分析 4
1.2.2 反病毒行動 5
2. ACL的發展,現狀,將來 8
2.1 什麼是ACL 8
2.1.1 ACL的工作流程及分類 8
2.1.2 ACL應用舉例 10
2.2 當前的網路安全技術 10
2.3 ACL的未來 14
3. 基於ACL的網路病毒過濾的研究 16
3.1 "計算機病毒"的分類 16
3.2 部分病毒檔案 16
3.2.1 示例一:Worm.Msblast 17
3.2.2 示例二:Worm.Sasser 18
3.2.3 示例三:Worm.SQLexp.376 19
3.2.4 示例四:Worm_Bagle.BE 20
3.2.5 示例五:Worm.MyDoom 21
3.2.6 示例六:Code Red & Code Red II 23
3.2.7 示例七:Worm.Nimda 24
4. 基於網路病毒過濾的ACL規則的制定與測試 27
4.1 制定基於網路病毒過濾的ACL規則 27
4.2 ACL規則實驗室測試 27
結束語 30
致謝 32
參考文獻 33
附錄 1 34
附錄 2 35
❻ 急,internet防火牆技術應用的特點分類以及發展趨勢
防火牆的特點
我們在使用防火牆的同時,對性能、技術指標和用戶需求版進行分權析。包過濾防火牆技術的特點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。包過濾技術是一種基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒;代理型防火牆的特點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。當然代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性;雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。
防火牆一般具有如下顯著特點:
·廣泛的服務支持 通過動態的、應用層的過濾能力和認證相結合,可以實現WWW瀏覽器、HTTP伺服器、FTP等;
❼ 網路安全技術的發展趨勢
中國的網路安全技術在近幾年得到快速的發展,這一方面得益於從中央到地方政府的廣泛重視,另一方面因為網路安全問題日益突出,網路安全企業不斷跟進最新安全技術,不斷推出滿足用戶需求、具有時代特色的安全產品,進一步促進了網路安全技術的發展。
從技術層面來看,目前網路安全產品在發展過程中面臨的主要問題是:以往人們主要關心系統與網路基礎層面的防護問題,而現在人們更加關注應用層面的安全防護問題,安全防護已經從底層或簡單數據層面上升到了應用層面,這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇,越來越多的安全技術已經與應用相結合。
一、現階段網路安全技術的局限性
談及網路安全技術,就必須提到網路安全技術的三大主流—防火牆技術、入侵檢測技術以及防病毒技術。
任何一個用戶,在剛剛開始面對安全問題的時候,考慮的往往就是這「老三樣」。可以說,這三種網路安全技術為整個網路安全建設起到了功不可沒的作用,但是傳統的安全「老三樣」或者說是以其為主的安全產品正面臨著許多新的問題。
首先,從用戶角度來看,雖然系統中安裝了防火牆,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。
其次,未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。
再次,雖然很多用戶在單機、終端上都安裝了防病毒產品,但是內網的安全並不僅僅是防病毒的問題,還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。
所以說,雖然「老三樣」已經立下了赫赫戰功,且仍然發揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網路安全的整體技術框架來看,網路安全技術同樣面臨著很大的問題,「老三樣」基本上還是針對數據、單個系統、軟硬體以及程序本身安全的保障。應用層面的安全,需要將側重點集中在信息語義范疇的「內容」和網路虛擬世界的「行為」上。
二、技術發展趨勢分析
1.防火牆技術發展趨勢
在混合攻擊肆虐的時代,單一功能的防火牆遠不能滿足業務的需要,而具備多種安全功能,基於應用協議層防禦、低誤報率檢測、高可靠高性能平台和統一組件化管理的技術,優勢將得到越來越多的體現,UTM(UnifiedThreatManagement,統一威脅管理)技術應運而生。
從概念的定義上看,UTM既提出了具體產品的形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從後半部分來看,UTM的概念還體現了經過多年發展之後,信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。
UTM的功能見圖1.由於UTM設備是串聯接入的安全設備,因此UTM設備本身必須具備良好的性能和高可靠性,同時,UTM在統一的產品管理平台下,集防火牆、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能於一體,實現了多種防禦功能,因此,向UTM方向演進將是防火牆的發展趨勢。UTM設備應具備以下特點。
(1)網路安全協議層防禦。防火牆作為簡單的第二到第四層的防護,主要針對像IP、埠等靜態的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的牆,除了傳統的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協議的保護,而不僅限於第二到第四層。
(2)通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高,將會對用戶帶來災難性的後果。IPS理念在20世紀90年代就已經被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率,針對不同的攻擊,採取不同的檢測技術,比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規簡訊攻擊等,從而顯著降低誤報率。
(3)有高可靠性、高性能的硬體平台支撐。
(4)一體化的統一管理。由於UTM設備集多種功能於一身,因此,它必須具有能夠統一控制和管理的平台,使用戶能夠有效地管理。這樣,設備平台可以實現標准化並具有可擴展性,用戶可在統一的平台上進行組件管理,同時,一體化管理也能消除信息產品之間由於無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網路安全。
❽ 誰能告訴我下防火牆的國內國外發展形勢
防火牆未來的技術發展趨勢
隨著新的網路攻擊的出現,防火牆技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火牆體系結構和防火牆系統管理三方面來體現。
1. 防火牆包過濾技術發展趨勢
(1). 一些防火牆廠商把在AAA系統上運用的用戶認證及其服務擴展到防火牆中,使其擁有可以支持基於用戶角色的安全策略功能。該功能在無線網路應用中非常必要。具有用戶身份驗證的防火牆通常是採用應用級網關技術的,包過濾技術的防火牆不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網路通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗證。
(2). 多級過濾技術
所謂多級過濾技術,是指防火牆採用多級過濾措施,並輔以鑒別手段。在分組過濾(網路層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、聖誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火牆技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。
這種過濾技術在分層上非常清楚,每種過濾技術對應於不同的網路層,從這個概念出發,又有很多內容可以擴展,為將來的防火牆技術發展打下基礎。
(3). 使防火牆具有病毒防護功能。現在通常被稱之為"病毒防火牆",當然目前主要還是在個人防火牆中體現,因為它是純軟體形式,更容易實現。這種防火牆技術可以有效地防止病毒在網路中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火牆可以大大減少公司的損失。
2. 防火牆的體系結構發展趨勢
隨著網路應用的增加,對網路帶寬提出了更高的要求。這意味著防火牆要能夠以非常高的速率處理數據。另外,在以後幾年裡,多媒體應用將會越來越普遍,它要求數據穿過防火牆所帶來的延遲要足夠小。為了滿足這種需要,一些防火牆製造商開發了基於ASIC的防火牆和基於網路處理器的防火牆。從執行速度的角度看來,基於網路處理器的防火牆也是基於軟體的解決方案,它需要在很大程度上依賴於軟體的性能,但是由於這類防火牆中有一些專門用於處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火牆的性能要比傳統防火牆的性能好許多。
與基於ASIC的純硬體防火牆相比,基於網路處理器的防火牆具有軟體色彩,因而更加具有靈活性。基於ASIC的防火牆使用專門的硬體處理網路數據流,比起前兩種類型的防火牆具有更好的性能。但是純硬體的ASIC防火牆缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火牆功能的快速發展。理想的解決方案是增加ASIC晶元的可編程性,使其與軟體更好地配合。這樣的防火牆就可以同時滿足來自靈活性和運行性能的要求。
3. 防火牆的系統管理發展趨勢
防火牆的系統管理也有一些發展趨勢,主要體現在以下幾個方面:
(1). 首先是集中式管理,分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本,並保證在大型網路中安全策略的一致性。快速響應和快速防禦也要求採用集中式管理系統。目前這種分布式防火牆早已在Cisco(思科)、3Com等大的網路設備開發商中開發成功,也就是目前所稱的"分布式防火牆"和"嵌入式防火牆"。關於這一新技術在本篇下面將詳細介紹。
(2). 強大的審計功能和自動日誌分析功能。這兩點的應用可以更早地發現潛在的威脅並預防攻擊的發生。日誌功能還可以管理員有效地發現系統中存的安全漏洞,及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火牆通常是比較高級的,早期的靜態包過濾防火牆是不具有的。
(3). 網路安全產品的系統化
隨著網路安全技術的發展,現在有一種提法,叫做"建立以防火牆為核心的網路安全體系"。因為我們在現實中發現,僅現有的防火牆技術難以滿足當前網路安全需求。通過建立一個以防火牆為核心的安全體系,就可以為內部網路系統部署多道安全防線,各種安全技術各司其職,從各方面防禦外來入侵。
如現在的IDS設備就能很好地與防火牆一起聯合。一般情況下,為了確保系統的通信性能不受安全設備的影響太大,IDS設備不能像防火牆一樣置於網路入口處,只能置於旁路位置。而在實際使用中,IDS的任務往往不僅在於檢測,很多時候在IDS發現入侵行為以後,也需要IDS本身對入侵及時遏止。顯然,要讓處於旁路偵聽的IDS完成這個任務又太難為,同時主鏈路又不能串接太多類似設備。在這種情況下,如果防火牆能和IDS、病毒檢測等相關安全產品聯合起來,充分發揮各自的長處,協同配合,共同建立一個有效的安全防範體系,那麼系統網路的安全性就能得以明顯提升。
目前主要有兩種解決辦法:一種是直接把IDS、病毒檢測部分直接"做"到防火牆中,使防火牆具有IDS和病毒檢測設備的功能;另一種是各個產品分立,通過某種通訊方式形成一個整體,一旦發現安全事件,則立即通知防火牆,由防火牆完成過濾和報告。目前更看重後一種方案,因為它實現方式較前一種容易許多。
三、分布式防火牆技術
在前面已提到一種新的防火牆技術,即分布式防火牆技術已在逐漸興起,並在國外一些大的網路設備開發商中得到了實現,由於其優越的安全防護體系,符合未來的發展趨勢,所以這一技術一出現便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火牆技術。
因為傳統的防火牆設置在網路邊界,外於內、外部互聯網之間,所以稱為"邊界防火牆(Perimeter Firewall)"。隨著人們對網路安全防護要求的提高,邊界防火牆明顯感覺到力不從心,因為給網路帶來安全威脅的不僅是外部網路,更多的是來自內部網路。但邊界防火牆無法對內部網路實現有效地保護,除非對每一台主機都安裝防火牆,這是不可能的。基於此,一種新型的防火牆技術,分布式防火牆(Distributed Firewalls)技術產生了。它可以很好地解決邊界防火牆以上的不足,當然不是為每對路主機安裝防火牆,而是把防火牆的安全防護系統延伸到網路中各對台主機。一方面有效地保證了用戶的投資不會很高,另一方面給網路所帶來的安全防護是非常全面的。
我們都知道,傳統邊界防火牆用於限制被保護企業內部網路與外部網路(通常是互聯網)之間相互進行信息存取、傳遞操作,它所處的位置在內部網路與外部網路之間。實際上,所有以前出現的各種不同類型的防火牆,從簡單的包過濾在應用層代理以至自適應代理,都是基於一個共同的假設,那就是防火牆把內部網路一端的用戶看成是可信任的,而外部網路一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火牆是一種主機駐留式的安全系統,它是以主機為保護對象,它的設計理念是主機以外的任何用戶訪問都是不可信任的,都需要進行過濾。當然在實際應用中,也不是要求對網路中每對台主機都安裝這樣的系統,這樣會嚴重影響網路的通信性能。它通常用於保護企業網路中的關鍵結點伺服器、數據及工作站免受非法入侵的破壞
❾ 以後網路安全的發展方向是什麼, 防火牆 入侵檢測 態勢感知 有沒有網路安全的大佬來解個惑
目前防火牆功能和入侵檢測,態勢感知這些有統一的趨勢。尤其是UTM防火牆版,整合了防火牆功能,權也有入侵檢測,還有上網行為管理功能等等。
對於一般企業而言是希望維護簡單化,不需要為了安全加一大堆設備。未來UTM防火牆是趨勢。
當然不能一味講究集中化,UTM防火牆筆者也了解過,功能上大雜燴,但是在單一應對方面還是干不過單獨設備。所以如果大企業的數據流量很大,這種集中化的防火牆又不適合了,只能買單一的更加專業的設備。
未來很長一段時間還會是UTM這種大雜燴設備和單一防火牆,滲透入侵檢測設備,態勢感知都會存在一段時間。實際上網路安全方向范圍很大很廣,你要鎖定一個方向精通,其他方向做為輔助方面。切莫全部攻擊多個方向,那樣會累死,而且你一樣都精通不了。
目前滲透入侵工程師待遇是非常非常高的,比很多程序員工資還要高。當然這一類工程師除了自身對滲透入侵有深入了解,也了解企業資料庫,常見應用系統的漏洞掃描這一類。看你自己主攻方向吧,