Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2590488
  • 博文数量: 351
  • 博客积分: 76
  • 博客等级: 上将
  • 技术积分: 3555
  • 用 户 组: 普通用户
  • 注册时间: 2004-11-13 21:27
文章分类

全部博文(351)

文章存档

2013年(1)

2012年(4)

2011年(7)

2010年(16)

2009年(34)

2008年(34)

2007年(34)

2006年(68)

2005年(82)

2004年(71)

分类: 网络与安全

2005-09-26 10:25:20

防火墙:多种技术齐头并进

  作为网络安全领域的旗舰产品,防火墙发 挥了重要的网络保护作用。但是随着网络应用的发展,对于各种网络危机的防范,传统的状态检测防火墙显得捉襟见肘。需求产生新的市场,市场促进技术发展,这 个规则在网络安全领域同样有效。目前的防火墙已经不仅仅只是进行状态检测,还提供了更多的安全功能,从各个方面对网络安全威胁进行防护,主动扩大战线。

8min.gif

  新一代NP技术

   用CPU、ASIC还是NP,一直是大家不断争论的一个问题,其实这个问题非常简单。在能达到同样性能的情况下,优选CPU,其次是NP,然后是 ASIC。目前很多厂商使用CPU+特定业务ASIC来实现高速处理,这是比较常见的方式。在性能不能解决的情况下,选择NP是必然的做法。但不管是 IBM,还是Intel的NP,一个主要问题是开发成本太高,微码的开发难度和进度都不是普通公司能够短期搞定的,而带来的维护成本和对客户的响应速度都 是很大的问题。这两年推出的新一代网络业务NP,通过直接集成多个通用CPU在一个处理器中,既可以保证高性能,又能借助软件的灵活性处理高层业务数据。 新一代NP直接支持C语言和标准协议栈,性能高达10G,是期望中的业务网关处理芯片。使用新一代NP技术的防火墙将会获得性能和功能上两全的保障。

  防火墙深包检测

   防火墙最初的功能就是进行访问控制、状态检测,以及地址转换功能。通过对报文网络层信息的检测,来实现在网络层上对报文的控制。比如,哪些用户可以访问 哪些地址(访问控制),哪些流量可以从外网进入内网(状态检测),如何隐藏内部网络的地址(地址转换)。随着网络应用的发展,高层协议得到越来越多的应 用,互联网也从多种协议并驾齐驱发展成少数应用协议成为主流。而针对这些协议,用户需要进行控制。比如,需要控制用户不能访问非法网址,带有恶意信息的报 文不能进入内网。而这些功能,仅仅依靠传统防火墙技术实现的对网络层信息进行检查和判断,是不能实现的,需要检查报文中的更深层次的内容,于是发展出了深 度检测技术。深度检测可以检测报文中的内容信息,从而实现URL过滤、FTP命令过滤、网页中ActiveX控件过滤等功能,达到控制应用内容的目的。集 成深包检测的防火墙将会越来越多。通过深包检测对内容进行控制,而不仅仅是对网络层信息进行控制,使防火墙对智能攻击有了主动防护能力。

  应用状态检测

   安全领域中长期依赖、发挥最大作用的无非是状态防火墙,通过协议状态检测技术实现数据访问单向流动,从而有效的保护内部网络不受攻击。而对服务器,采取 暴露端口的形式。随着应用的增多和对安全性要求的提高,对这种开放端口的服务器同样需要保护,在网络层状态检查的基础上需要扩展到应用层的状态检查,从而 对暴露在网络中的服务器进行保护。这种趋势会产生一系列的应用层安全网关,比如Web安全网关、语音安全网关等专用协议网关。当然,其网络位置不必是整个 网络的出口,只要在保护资源的通路上即可。目前的专有过滤网关就是这一趋势的一个表现。这种技术在具体产品形态上表现为:防垃圾邮件网关——针对目前网络 垃圾邮件泛滥的产品;应用防火墙——专门保护应用层安全的防火墙,其中的代表是Web应用防火墙。

  安全技术融合

   传统的网络层安全技术,如NAT、状态防火墙、VPN将不再作为专有设备,网络中路由器、交换机性能的提升和硬件构架的换代将直接提供网络层的安全功 能,传统意义上的防火墙功能可以集成在路由器中。而另一方面,随着协议和接口的统一,防火墙也可以取代路由器或者交换机的位置。安全厂商或许会变化成网络 设备厂商,网络设备厂商也能变为安全厂商,而由于积累的不同,网络设备厂商具有更大的优势。比如,现在的交换机成本和以前的Hub一样,但是抛弃了原来的 交换芯片,使用新的硬件,不但提供交换,而且提供安全和业务特性,将来会直接把安全延伸到整个内部网络,彻底解决目前的内网安全问题。那么,传统的安全厂 商如何发展?1、把自己融合进网络设备厂商。2、向安全的新领域—业务安全(而不是网络安全)进军。3、组建安全联盟,形成一个大的安全体系,自己成为其 中一个基石。

  VPN功能集成

  从厂商的角度来说,希望一个环境中既使用VPN设 备,又使用防火墙。但是,由于VPN设备对数据的隧道封装会导致防火墙设备上对VPN数据检测出现失准的现象,而同时维护两套配置策略也是没有必要的。为 了减少重复处理,降低维护工作,提高防火墙的防护范围,直接在防火墙上集成VPN功能是非常有效的方法。如IPSec VPN、SSL VPN、L2TP VPN直接通过防火墙来支持,应用效果提高,而且降低了用户的投入成本。

  防火墙技术在新的挑战下会继续向前发展,提供越来越多的智能和主动防御功能。防火墙中各个功能的协调工作,以及和网络中其他硬件、软件组件的配合联动,才能达到真正意义上的智能安全和主动防御。而这些,都需要安全厂商不断的创新。

http://blog.chinaunix.net/article.php?articleId=46198&blogId=7486

阅读(2854) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~