成 人 网 站国产免费观看

<p id="lkccd"></p>

    <td id="lkccd"></td>
    <acronym id="lkccd"></acronym>
    <table id="lkccd"><ruby id="lkccd"></ruby></table>
    <td id="lkccd"></td>
    <p id="lkccd"><strong id="lkccd"></strong></p>

    dvbbs
    聯系我 收藏本頁
    聯系我們
    論壇幫助
    dvbbs

    深圳印刷論壇世界網絡-網絡技術網絡設施 → 防火墻的現狀與發展趨勢


      共有12988人關注過本帖平板打印

    主題:防火墻的現狀與發展趨勢

    帥哥喲,離線,有人找我嗎?
    止談風月
      1樓 個性首頁 | QQ | 信息 | 搜索 | 郵箱 | 主頁 | UC


    加好友 發短信 止談風月
    等級:管理員 貼子:1542 積分:16633 威望:5 精華:0 注冊:2007-3-17 22:33:59
    防火墻的現狀與發展趨勢  發貼心情 Post By:2008-12-20 15:30:44

    網絡安全涉及到通信和網絡、密碼學、芯片、操作系統、數據庫等多方面技術。目前的網絡安全產品,主要分為以下幾類:3A類產品、安全操作系統、安全隔離與信息交換系統、安全WEB、反病毒產品、IDS和弱點評估產品、防火墻、VPN、保密機、PKI等。其中,防火墻是網絡安全的第一道屏障,所占市場最大,安全技術也比較成熟。下面就防火墻的現狀與發展趨勢作重點闡述。

    防火墻的功能

    從防火墻的功能來說,主要包含以下幾個方面:訪問控制,如應用ACL進行訪問控制;攻擊防范,如防止 SYN FLOOD 等; NAT; VPN ;路由;認證和加密;日志記錄;支持網管等。

    為了滿足多樣化的組網需求,降低用戶對其它專用設備的需求,減少用戶建網成本,防火墻上也常常把其它網絡技術結合進來,例如支持 DHCP SERVER , DHCP RELAY;支持動態路由,如RIP,OSPF等;支持撥號, PPPOE 等特性;支持廣域網口;支持透明模式(橋模式);支持內容過濾(如URL過濾)、防病毒和IDS等功能。

    防火墻的發展,經歷了從早期的簡單包過濾,到今天廣泛應用的狀態包過濾技術和應用代理。其中狀態包過濾技術因為其安全性較好,速度快,得到最廣泛的應用。

    應用代理雖然安全性更好,但它需要針對每一種協議開發特定的代理協議,對應用的支持不夠好。但關鍵的是,它的性能比較差,從國外公開的防火墻測試報告來看,代理防火墻性能表現比較差,因此在網絡帶寬迅猛發展的情況下,已經不能完全滿足需要。

    此外,有的防火墻支持SOCK代理,這種代理屏蔽了協議本身,只要客戶端支持SOCK代理,該應用在防火墻上就可以穿越。這種代理對于部分不公開的協議,如QQ的語音和視頻協議,采用其它技術,在NAT情況下很難實現對該協議的支持,但QQ軟件本身支持SOCK代理,如果防火墻支持SOCK代理協議,就可以實現對防火墻的穿越。但對于防火墻而言,不參與協議解碼,也意味著防火墻對該協議失去了監測能力。

    狀態檢測技術

    狀態檢測技術要監視每個連接發起到結束的全過程,對于部分協議,如FTP、 H.323等協議,是有狀態的協議,防火墻必須對這些協議進行分析,以便知道什么時候,從哪個方向允許特定的連接進入和關閉。

    狀態防火墻可以對特定的協議進行解碼,因此安全性也比較好。有的防火墻可以對FTP、SMTP等有害命令進行檢測和過濾,但因為在應用層解碼分析,處理速度比較慢,為此,有的防火墻采用自適應方式,因此處理速度很快。

    狀態防火墻還有一個特色是,當檢測到SYN FLOOD攻擊時,會啟動代理。此時,如果是偽造源IP的會話,因為不能完成三層握手,攻擊報文就無法到達服務器,但正常訪問的報文仍然可達。

    防火墻因為軟件復雜,實現的功能較多,必須有操作系統支持,操作系統的安全是防火墻安全的基石。1998年,在中國和美國計算機學會ACM共同舉辦的國際會議上,我提出了高保障防火墻的概念,其核心是防火墻與安全操作系統無縫集成,在防火墻上實現類似B級操作系統的機制,如標記,MAC,強實體認證等。入關具有入關證,出關具有出關證。建立了防止內部敏感信息泄漏的機制,達到既防外又防內的目標。

    防火墻的未來發展趨勢

    未來防火墻的發展趨勢是朝高速、多功能化、更安全的方向發展。

    從國內外歷次測試的結果都可以看出,目前防火墻一個很大的局限性是速度不夠。應用ASIC、FPGA和網絡處理器是實現高速防火墻的主要方法,其中以采用網絡處理器最優,因為網絡處理器采用微碼編程,可以根據需要隨時升級,甚至可以支持IPV6,而采用其它方法就不那么靈活。

    實現高速防火墻,算法也是一個關鍵,因為網絡處理器中集成了很多硬件協處理單元,因此比較容易實現高速。對于采用純CPU的防火墻,就必須有算法支撐,例如ACL算法。目前有的應用環境,動輒應用數百乃至數萬條規則,沒有算法支撐,對于狀態防火墻,建立會話的速度會十分緩慢。

    受現有技術的限制,目前還沒有有效的對應用層進行高速檢測的方法,也沒有哪款芯片能做到這一點。因此,防火墻不適宜于集成內容過濾、防病毒和IDS功能(傳輸層以下的IDS除外,這些檢測對CPU消耗小)。對于IDS,目前最常用的方式還是把網絡上的流量鏡像到IDS設備中處理,這樣可以避免流量較大時造成網絡堵塞。此外,應用層漏洞很多,攻擊特征庫需要頻繁升級,對于處在網絡出口關鍵位置的防火墻,如此頻繁地升級也是不現實的。

    這里還要提到日志問題,根據國家有關標準和要求,防火墻日志要求記錄的內容相當多。隨著網絡流量越來越大,龐大的日志對日志服務器提出了很高的要求。目前,業界應用較多的SYSLOG日志,采用的是文本方式,每一個字符都需要一個字節,對防火墻的帶寬也是一個很大的消耗。二進制日志可以大大減小數據傳送量,也方便數據庫的存儲、加密和事后分析。所以,支持二進制格式和日志數據庫,是未來防火墻日志和日志服務器軟件的一個基本要求。

    多功能也是防火墻的發展方向之一,鑒于目前路由器和防火墻價格都比較高,組網環境也越來越復雜,一般用戶總希望防火墻可以支持更多的功能,滿足組網和節省投資的需要。例如,防火墻支持廣域網口,并不影響安全性,但在某些情況下卻可以為用戶節省一臺路由器;支持部分路由器協議,如路由、撥號等,可以更好地滿足組網需要;支持IPSEC VPN,可以利用因特網組建安全的專用通道,既安全又節省了專線投資。

    未來防火墻的操作系統會更安全。隨著算法和芯片技術的發展,防火墻會更多地參與應用層分析,為應用提供更安全的保障。


    ▓止談風月(www.zonaiam.com)

    我們的口號:沒有最高質量的產品我們無法生存

                      沒有非常的創意我們不如不干
    支持(0中立(0反對(0單帖管理 | 引用 | 回復 回到頂部

    返回版面帖子列表

    防火墻的現狀與發展趨勢








    簽名  

    本站聯系電話:0755-25925567
    成 人 网 站国产免费观看

    <p id="lkccd"></p>

      <td id="lkccd"></td>
      <acronym id="lkccd"></acronym>
      <table id="lkccd"><ruby id="lkccd"></ruby></table>
      <td id="lkccd"></td>
      <p id="lkccd"><strong id="lkccd"></strong></p>