浅谈防火墙技术与网络安全!
新客网 XKER.COM 2006-09-08 来源: 收藏本文
网络的核心区域包括核心交换机,核心路由器等重要设备,它们负担整个网络的核心数据的转发,并且连接着DMZ区的各个关键应用,如OA系统,ERP系统,CRM系统,对内或对外的Web服务器,数据库服务器等。从安全的角度来说,这个区域是最关键的,也是风险最集中的区域。我们遇到的矛盾是,既要不影响DMZ区应用的可用性和友好性,又要保证其访问的安全性与审核。很多情况下我们不但要在网络的边界部署防火墙,也要在这个区域部署为保护DMZ等类似的关键区域的防火墙。
存在的矛盾:如果部署安全策略,在提高安全性的同时,势必会影响其可用性。这个矛盾是不可调和的。
与边界防火墙不同的是,关键区域的防火墙主要是面对内部用户,保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁,比如扫描,渗透,入侵,拒绝服务攻击等攻击,也要提供诸如NAT服务,出站控制,远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域,提供深层次的检测与告警。因为一旦涉及到数据包深入检测,将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发,不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途,结合设备与现有的网络环境灵活部署,才能达到较高可用性与安全性的平衡。
如今的防火墙的功能越来越强大,这里我们选择业界一流的防火墙CheckPoint的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。
简单来说,状态检测技术工作在OSI参考模型的Data Link与Network层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。对状态和上下文信息的收集使得CheckPoint防火墙不仅能跟踪TCP会话,也能智能处理无连接协议,如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前,必须有内部网络的某一台客户端发出了请求,而且如果没有受到响应,端口也不会处于开放的状态。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速,有效的控制数据的进出和做出控制决策。
在Web环境中,威胁来自于多个方面,从端点到传输到边界,最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。传统的防火墙的功能对于Web的保护相当有限,比如,无法深入检测HTTP的内容,不能理解 Web 应用的上下文,性能低下,无法提前部署与防御等等。CheckPoint的Web Intelligence,有一种名为Malicious Code Protector(可疑代码防护器)来提供对应用层的保护。比如,Web会话是否符合RFC的标准不能包含二进制数据;协议使用是否为预期或典型的;应用是否引入了有害的数据或命令;应用是否执行了未授权的操作或引入了有害的可执行代码等。如何去判断上述的一些威胁呢?MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码,模拟行来判断攻击,将可执行代码放置到一个虚拟的仿真服务器中运行,检测是否对虚拟系统造成威胁,最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击,并且误报率相当低。
通过多种技术的协同防护,可以保证在网络边界对访问进行控制,但是,随着VPN网络和远程移动办公用户的接入增多,网络边界的概念在如今已经非常模糊了。很明显的,网络的边界已经拓展到实际用户的桌面端。所以还是回到了我们文章一开始谈到的,网络安全是需要综合的部署和完善的策略来做保证的。企业的网络安全是一项综合性很强的工作,并且持续的时间将随着整个拓扑和应用的周期而扩展。企业内部安全的很多部分本文都没有提到,如服务器的加固,无线安全,反垃圾邮件系统,风险评估,安全检测等,因为篇幅的关系,希望下次有机会继续与各位探讨和学习,谢谢。
存在的矛盾:如果部署安全策略,在提高安全性的同时,势必会影响其可用性。这个矛盾是不可调和的。
与边界防火墙不同的是,关键区域的防火墙主要是面对内部用户,保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁,比如扫描,渗透,入侵,拒绝服务攻击等攻击,也要提供诸如NAT服务,出站控制,远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域,提供深层次的检测与告警。因为一旦涉及到数据包深入检测,将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发,不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途,结合设备与现有的网络环境灵活部署,才能达到较高可用性与安全性的平衡。
如今的防火墙的功能越来越强大,这里我们选择业界一流的防火墙CheckPoint的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。
简单来说,状态检测技术工作在OSI参考模型的Data Link与Network层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。对状态和上下文信息的收集使得CheckPoint防火墙不仅能跟踪TCP会话,也能智能处理无连接协议,如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前,必须有内部网络的某一台客户端发出了请求,而且如果没有受到响应,端口也不会处于开放的状态。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速,有效的控制数据的进出和做出控制决策。
在Web环境中,威胁来自于多个方面,从端点到传输到边界,最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。传统的防火墙的功能对于Web的保护相当有限,比如,无法深入检测HTTP的内容,不能理解 Web 应用的上下文,性能低下,无法提前部署与防御等等。CheckPoint的Web Intelligence,有一种名为Malicious Code Protector(可疑代码防护器)来提供对应用层的保护。比如,Web会话是否符合RFC的标准不能包含二进制数据;协议使用是否为预期或典型的;应用是否引入了有害的数据或命令;应用是否执行了未授权的操作或引入了有害的可执行代码等。如何去判断上述的一些威胁呢?MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码,模拟行来判断攻击,将可执行代码放置到一个虚拟的仿真服务器中运行,检测是否对虚拟系统造成威胁,最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击,并且误报率相当低。
通过多种技术的协同防护,可以保证在网络边界对访问进行控制,但是,随着VPN网络和远程移动办公用户的接入增多,网络边界的概念在如今已经非常模糊了。很明显的,网络的边界已经拓展到实际用户的桌面端。所以还是回到了我们文章一开始谈到的,网络安全是需要综合的部署和完善的策略来做保证的。企业的网络安全是一项综合性很强的工作,并且持续的时间将随着整个拓扑和应用的周期而扩展。企业内部安全的很多部分本文都没有提到,如服务器的加固,无线安全,反垃圾邮件系统,风险评估,安全检测等,因为篇幅的关系,希望下次有机会继续与各位探讨和学习,谢谢。
上一篇:局域网攻防工具详解 下一篇:安全卫士新版!一键修复系统安全漏洞
最新相关文章- ·防止病从口入 打造聪明型卡巴斯基
- ·新版ESET NOD32杀毒套装体验
- ·暴破HTTP验证检测页面口令强度
- ·网管秘籍:选择安全漏洞扫描工具
- ·一站式解决方案:360顽固木马专杀大全
- ·08十大上网必备软件 保你一年高枕无忧
- ·你的密码是否强大 让微软帮你测试便知
- ·暴强!教你1分钟激活卡巴斯基(视频)
- ·在线杀毒保护你 六大在线杀毒网站评测
- ·高手支招 如何发现和防止Sniffer嗅探器
- ·瑞星卡卡:流氓软件已死 我还能杀谁
- ·dummycom木马专杀工具
- ·防盗:用360为游戏帐号保驾护航
- ·“机器狗/AV终结者/8749” 木马专杀工具
- ·捍卫你的系统 防杀机器狗病毒工具导用
- ·PC Tools杀毒软件 大家电脑的安全保护神
发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐