|
当前位置: Home > 防火墙 > 文章
|
|
|
防火墙技术综述
|
|
文章来源: http://www.linuxaid.com.cn
文章作者: iamafan
发布时间: 2002-04-22
字体:
[大
中
小]
|
|
|
防火墙技术的发展
为实现以上功能,在防火墙产品的开发中,人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段,纵观防火墙产品近年内的发展,可将其分为四个阶段:
第一阶段:基于路由器的防火墙
由于多数路由器中本身就包含有分组过滤的功能,故网络访问控制功能可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第一代防火墙产品的特点是:
●利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;
●过滤判决的依据可以是:地址、端口号、IP旗标及其它网络特征;
●只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网络采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙。
第一代防火墙产品的不足之处十分明显:
●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如:在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20端口仍可由外部探寻。
●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性,作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
●路由器防火墙的最大隐患是:攻击者可以"假冒"地址,由于信息在网络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火墙。
●路由器防火墙的本质性缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说:基于路由器的防火墙只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
第二阶段:用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户化防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
●将过滤功能从路由器中独立出来,并加上审计和告警功能;
●针对用户需求,提供模块化的软件包;
●软件可通过网络发送,用户可自己动手构造防火墙;
●与第一代防火墙相比,安全性提高了,价格降低了。
由于是纯软件产品,第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
●配置和维护过程复杂、费时;
●对用户的技术要求高;
●全软件实现、安全性和处理速度均有局限;
●实践表明,使用中出现差错的情况很多。
共4页: 上一页 [1] 2 [3] [4] 下一页
|
|
|
↑返回顶部
打印本页
关闭窗口↓
|
|
|
|
