|
|
[img][/img] 它检测的项目是:
(1)IP包的源、目的地址、端口;
(2)TCP会话的连接状态;
(3)上下文信息。
此类防火墙对以上各项进行主动、实时的监控,并可重组会话,对应用进行细粒度检测,且数据吞吐率高。
1.3应用网关(代理)防火墙
应用网关(代理)技术是一种正在应用的安全技术,它结合了前匠两类防火墙的比较安全和较高速度的优点。
在应用网笑(代理)型防火墙中,初始的安全仍然发生在应用层,一旦安全通道建立后,随后的数据包就可定向到网络层。其工作原理如图4所示。
图4 应用网关(代理)防火墙工作原理
2 当前已经投入运行的防火墙存在的弱点
防火墙是目前使用最为广泛的网络安全新产品之一,它们大都存在以下弱点:
(1)防火墙无法检测以夹带方式通过的非法信息,例如:病毒以电子邮件附件的形式进入,此时防火墙无能为力;
(2)当病毒进入内网后一旦入侵OA服务器和应用服务器,后果将十分严重。OA报务器可能成为病毒转发的中转站,而在应用服务器上,病毒扩散的速度是普通机器的13到20倍。而此时的防火墙无法采取有效措施;
(3)病毒一旦穿透防火墙后,中毒客户机会成为攻击点,由于功能昕限,加之现行防火墙网管界面均不太理想,系统管理的任务将十分艰巨;
(4)软件系统升级不太方便。和反病毒新产品类似,防火墙也必须不断地进行升级,才能有效地抵御新的攻击;
3 在当前安全形式下,用户需要什么品质的防火墙
在当前形式下,黑客从业余向专业化发展,有组织的攻击出现,内部攻击越来越多,防不胜防,网络安全方面的资源和人员十分有限,安全形式十分严峻,在这种情况下,用户需要具有什么品质的防火墙呢?
世界一流防火墙应该具备的品质就是在安全性、时效性、可用性、可控性和可扩性方面具有卓越的品质。令人十分遗憾的是国内企业还没有一款这五性同时达到用户要求的防火墙产品,中国电信,金融等高瑞防火墙市场一直被国外产品所垄断。该类产品具有多层检测,精确控制功能,系统功能框图如图5所示。
图5 系统功能框图
在此工作模式下,产品的内核智能检测技术将得到较好的体现,具体表现在:
(1)网络特征检测功能,应用了状态包过滤检测技术;
(2)空间特征检测功能,实现了IP地址段异常会话连接分析,基于IP空间域的访问控制技术;
(3)时间特征检测功能,应用了某一超长时间会话连接分析技术,基于时间域的访问控制技术;
(4)数据特征检测功能,应用了基于TCP流、I
P碎片重组的细粒度分析技术;
(5)智能分析调度功能,应用了自适应的检测、分析模块智能内核调度技术。
另外,此类产品采用NP架构线速处理,运用了先进的Buffer技术,数据吞吐量大,运行效率高,处理速度快,并且具有良好的集中管理,全局掌控的管理界面。
4 结束语
总之,在研发新一代防火墙时应考虑到:在防火墙的安全性方面做到高屋建瓴,固若金汤,具有多层防护措施和多层安全陷阱,能够抵挡住非法访问和高级黑客的攻击.确保敏感信息的安全和重要网络的畅通。更应当面向用市场,用户希望他们购买的防火墙,能够魔高一尺,道高一丈,在新的攻击手段出现时,仍然可以游刃有余,防范于未然。 |
|
发表于 2009-12-23 13:51:19
