智能防火墙的技术特征

  防火墙已经被用户普遍接受,而且正在成为一种主要的网络安全设备。防火墙圈定一个保护的范围,并假定防火墙是唯一的出口,然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设—如果防火墙拒绝某些数据包的通过,则一定是安全的,因为这些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的,防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同,而是要求管理员来保证该包是安全的。管理员必须告诉防火墙准许通过什么,防火墙则依据设置的规则来准许该包通过,这样管理员就必须承担策略错误的安全责任。然而,传统防火墙的这种假设对网络安全是不恰当的,安全效果也不好。把安全责任交给安全管理员,实际上就没有解决安全问题。新一代的防火墙应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全,也必须保证应用的正常进行。

  本文介绍的智能防火墙是一种更聪明、更智能的防火墙产品,它克服了传统防火墙“一管就死,一放就乱”的状况,修正了上述防火墙的重大假设。新的智能防火墙把“出口”的概念改变为“关口”的概念,所有经过“关口”的数据包都必须接受防火墙的检查。与传统防火墙采用的数据匹配检查的技术不同,新的智能防火墙采用人工智能识别技术来决定访问控制。智能防火墙比传统的防火墙更安全,效率更高。

  传统防火墙面临应用难题

  目前的防火墙无论从技术上还是产品发展历程上,都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙—应用层防火墙(代理防火墙)的初步结构。1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。

  前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。因此,它们都有一个共同的缺陷—安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。

  没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题。而这三大问题,传统的防火墙是无能为力的。原因有三,一是传统防火墙计算能力的限制。传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法应对复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为,该特征决定了传统的防火墙无法解决恶意的攻击行为。

  智能防火墙应运而生

  智能防火墙是相对传统的防火墙而言的,顾名思义,它更聪明、更智能。80%的用户非常接受智能防火墙的概念,在他们的眼里,不聪明就是不可靠、不安全。找个不聪明的保镖,你觉得安全吗?传统防火墙存在的很多问题,用户往往难以理解。用户经常会问,为什么防火墙不能防止黑客的攻击?安全专家用记录的数据来分析,一眼就发现黑客的攻击,为什么防火墙不行?原因就是传统的防火墙是一个简单机制,只能机械地执行安全策略。

  智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。

  一个典型的例子可以说明智能防火墙对网络安全是多么的重要。传统的防火墙对包的检查,就像对人的相貌的识别,采用图像识别一样。把一个人的相貌转换为图像,对图像的每一个像素进行记忆,然后进行匹配检查。通过检查上千万个像素之后,告诉你这是谁。人不是这样来识别相貌的。人几乎没有计算就可以实时地识别你是谁。这就是智能识别。智能防火墙无须海量计算就可以轻松找到网络行为的特征值来识别网络行为,从而轻松的执行访问控制。

  总之,智能防火墙的出现正可谓应运而生,必将把信息安全带入新的境界。

  应用看台

  智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向。新一代智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比有质的飞跃。其主要应用领域如下:

  防范恶意数据攻击:智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击,解决SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻击,有效的切断恶意病毒或木马的流量攻击。

  防范黑客攻击:智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具,可以防止被扫描。并可有效地解决恶意代码的恶意扫描攻击。

  防范MAC欺骗和IP欺骗:智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。

  入侵防御:智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护,这样就完成了深层数据包监控,并能阻断应用层攻击。

  防范潜在风险:智能防火墙支持包擦洗技术,对IP、TCP、UDP、ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。

  综上所述,与传统防火墙相比,智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面,都有广泛的应用价值。

(0)

相关推荐

  • 智能防火墙的技术特征

    防火墙已经被用户普遍接受,而且正在成为一种主要的网络安全设备.防火墙圈定一个保护的范围,并假定防火墙是唯一的出口,然后防火墙来决定是放行还是封锁进出的包.传统的防火墙有一个重大的理论假设-如果防火墙拒绝某些数据包的通过,则一定是安全的,因为这些包已经被丢弃.但实际上防火墙并不保证准许通过的数据包是安全的,防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同,而是要求管理员来保证该包是安全的.管理员必须告诉防火墙准许通过什么,防火墙则依据设置的规则来准许该包通过,这样管理员就必须承担策略错误

  • Docker高级教程之智能添加与修改防火墙规则

    资料简介:如果你有以下痛苦: 1.使用默认docker0桥接方式: 2.修改防火墙规则的话,使用手动修改配置: 3.并且修改时候还得计算来源端口,防止重复端口使用户登陆错误容器: 4.并当容器意外重启,内网ip变化后还得修改规则 那么你可以看看本文了,对你这些痛处都有解决方法. 目前docker容器设置访问规则的话,就2个方法 1.在docker容器创建的时候,使用-p来设置 2.在容器运行中,获取容器的ip,然后在宿主机的iptables力通过nat链做dnat设置 我之前一直使用第2个方法,

  • 如何突破各种防火墙的防护

    现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网络的安全,一般的攻击者在有防火墙的情况下,一般是很难入侵的.下面谈谈有防火墙环境下的攻击和检测. 一 防火墙基本原理 首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转

  • 比较精辟的精通防火墙问与答

    凡是网络存在之处,都不可避免地会受到诸多不安全因素的威胁,在系统中安装防火墙无疑是最明智.有效的选择.我们既然寄希望于防火墙成为个人计算机与网络之间的一道安全屏障,就一定要对防火墙的方方面面有通透的了解,才能事半功倍,达到预期效果.  问:Windows 2003 自带的防火墙应该如何打开和关闭? 答:可以直接在网卡属性里面设置,也可以在服务里面自己开启服务. ******************************************************* 问:除了Norton 8

  • 网络防火墙功夫深入到第七层

    编者按在短短的几年里,防火墙的功能重心从网络层发展到了应用层.本文阐述了这种变迁的技术背景,以及未来的防火墙技术走向. 应用层攻击挑战传统防火墙 最近两年来,攻击者的兴趣明显从端口扫描和制造拒绝服务攻击(DoS Attack)转向了针对Web.E-mail甚至数据库等主流应用的攻击.传统的防火墙仅仅检查IP数据包的包头,而忽略了内容--如果用信件来做比喻,也就是只检查了信封而没有检查信纸.因此对这类应用层的攻击无能为力.可以说,仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽

  • 黑客突破防火墙常用的几种技术

    一.防火墙基本原理 首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过.当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制. 说到访问控制,这是防火墙的核心了:),防火墙主要通过一个

  • 黑客突破防火墙几种惯用手法

    首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过.当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制. 说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,

  • 边缘智能交换

    随着应用的扩展.骨干网上在传输着各种各样的数据,骨干网所受的数据传输压力越来越大.此种情况下就好似在宽广的主干公路上,跑着各式各样的交通工具,如果交通工具少还好说,但是随着交通流量的增大,如果不对交通工具进行分类管理,不区分车辆运行速度需求的轻重缓急(譬如救护车.消防车应让其优先占用车道,优先行驶),纵然车道再宽,交通也会陷入混乱的局面,难 以收拾.对于骨干网络上的数据传输与以上情况类似,于是就出现了智能化交换机.智能交换机实现了QoS.ACL(访问控制列表)和多业务应用等功能,以上功能的实现部

  • CentOS7 Docker防火墙的简单配置教程

    CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/local/bin/fired.sh <<'EOF' #!/bin/bash iptables -F iptables -X iptables -Z

  • windows 系统防火墙 添加端口号方法

    目前在大部分公司内使用的台式机和部分服务器都采用了Windows操作系统,而我么都知道相当一部分病毒.恶意程序.黑客都是利用扫描端口号,利用开放的端口进行入侵,此时大型企业都会将服务器的系统防火墙打开来关闭非常用端口.有些程序安装后可能会自动添加开放需要用到的端口,而有些软件则没有这么智能:又或者我们需要改变某个程序的端口号,改变后如果没有在系统防火墙中添加的话,那么连接就会被防火墙阻止掉,导致连接失败. 添加方法: 1.在<控制面板>中找到<Windows防火墙>点击打开. 2.

随机推荐