内容摘要:由于TCP/IP协议自身在安全上的脆弱性,事实上,当前INTERNET上的信息无论系统信息、还是内容信息,都具有不安全因素,比如大量的网站被黑、用户个人帐号、银行帐号被盗用、国防机密档案失窃等等,说明网络的不安全因素它已经严重影响到它自身的发展。去年被媒体爆炒的电子商务终于受到冷落的重要原因之一即是:如何保证网上交易信息的安全?
应用级代理防火墙模式提供了十分先进的安全控制。因为它通过在协议栈的最高层检查每一个东西而提供了足够的应用级连接的信息。因为在应用层中它有足够的能见度,应用级代理防火墙能很容易看见前面提及的每一个连接的细节从而实现安全策略。例如这种防火墙能很容易运用适当的策略区分重要的应用程序命令,象 ftp的“put”和“get”。这种方式被称之为man-in-the-middle configuration。
应用级代理防火墙也具有内建代理功能的特性,即在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全,这是因为它将内部和外部系统隔离开来,使系统外部的黑客在防火墙内部系统上进行探测变得更困难。同时一般它们都有完整的系统日志。然而所有的这些优点都是通过牺牲速度换取的,因为每次联接请求和所有发往内部网的报文在网关上经历接受、分析、转换和再转发等几个过程,完成这些过程所需时间显然比包过滤防火墙的时间长得多。应用网关另一个不足之处是,必须为每个网络服务创建一个应用代理。
3 防火墙领域的前沿技术
1) 自适应的代理服务防火墙
“自适应代理”是最近一代防火墙设计。基本安全检测仍在安全应用层进行,但一旦安全检测后包能重新直接通过网络层,则能够动态“适应”传送中的分组流量,从而明显改善了防火墙性能。因此自适应防火墙基本上和标准代理服务防火墙一样安全,但是却显著的提高了它的速度。
2) 桥式接口防火墙
通常的包过滤过程通常在TCP/IP协议栈的IP层,而交换式接口防火墙对于数据包的截取却是在数据链路层,它利用在链路层截取到的包直接分析其IP层信息,从而进行相应的信息安全检查,合法的包再根据其链路层地址进行端口转发。
这种防火墙在许多场合极具优势,如管理简单、客户端设置无须变更、处理速度快等等,目前国外与国内均有此类产品。
3) 混合型防火墙
事实上,现在的防火墙产品大多是集成包过滤以及应用代理技术为一体,用户在使用时,可以有多种选择,以提高其安全性。 当然,混合型防火墙不仅包含了多种防火墙技术,它也可能包含了其它与信息安全直接相关的技术,如VPN、入侵检测等等。
但是,无论拥有什么先进的安全技术与产品,我们都不能认为自己的系统是绝对安全的,网络攻击与安全防范永远是一对矛盾,它最终会导致现有整个网络体系的完善与进步。
责编:豆豆技术应用