第三阶段:建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛可用的就是这一代产品,它具有以下特点:
●是批量上市的专用防火墙产品;
●包括分组过滤或者借用路由器的分组过滤功能;
●装有专用的代理系统,监控所有协议的数据和指令;
●保护用户编程空间和用户可配置内核参数的设置;
●安全性和速度大为提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,已得到广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
●作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证。
●由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;
●从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。
●用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。
第四阶段:具有安全操作系统的防火墙
防火墙技术和产品随着网络攻击和安全防护手段的发展而演进,到1997年初,具有安全操作系统的防火墙产品面市,使防火墙产品步入了第四个发展阶段。
具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性,由此建立的防火墙系统具有以下特点:
●防火墙厂商具有操作系统的源代码,并可实现安全内核;
●对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护;
●对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁;
●在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能;
●透明性好,易于使用。
第四代防火墙的主要技术与功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能。
●双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。
●透明的访问方式
以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
●灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。第四代防火墙采用了两种代理机制,一种用于代理从内部网络到外部网络的连接,另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
共4页: 上一页 [1] [2] 3 [4] 下一页
|
