四、防火墙技术管窥

　　1、包过滤技术

　　包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

　　包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。使用包过滤技术时，要特别注意一般应用的数据通信大多都是双向的，在设置过滤规则时必须予以考虑。

　　2、状态检测

　　状态检测与包过滤相类似的，是更为有效的安全控制方法。对于新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。

　　状态检测的优点是：由于不需要对每个数据包进行规则检查，而是对一个连接的后续数据包通过散列算法、直接进行状态检查，从而使得性能得到了较大提高；而且由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。此外，部分状态检测型防火墙还支持多种用户认证方式，提供了应用级的安全认证手段，增加了某些应用的代理功能，使得安全控制力度更为细致。

　　3、代理服务

　　代理服务是运行于内部网络与外部网络之间的主机上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序进行连接映射。由于代理机制完全阻断了内部网络与外部网络的直接联系，保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。

　　缺点：代理服务器的应用也受到诸多限制。例如当一项新的应用加入时，如果代理服务程序不予支持，则此应用不能使用；其次代理服务器的处理性能也远不及状态检测高。

　　五、防火墙的选购

　　1、按需选购

　　选购时首先要弄清楚这款防火墙具有哪些功能，然后根据你需要的功能来选择防火墙产品。通常一个防火墙产品应有以下的基本功能：

　　◆先进的认证手段或挂钩程序，可以安装认证方法；

　　◆能运用过滤技术允许和禁止服务，集中和过滤拨入访问，可以根据数据包的性质（例如目标/源IP地址、协议类型、源/目的TCP/UDP端口等）进行包过滤；拥有界面友好、易于编程的IP过滤语言。

　　◆支持FTP和Telnet等服务代理，包含NNTP、XWindow、HTTP和Gopher等代理服务程序

　　◆具有精简日志的能力，可以记录网络流量和可疑的活动。

　　许多企业对有防火墙会有特殊的要求，例如有的希望防火墙应该有网络地址转换功能(NAT，隐藏网络的IP，使黑客无法直接攻击)、双重DNS、虚拟专用网络(VPN)、特殊控制需求等功能，这时候你就应该选择满足上述要求的防火墙。

　　2、安全检查功能完备的

　　优秀的防火墙应该为用户提供完整的安全检查功能，为用户管理时记录、改进和追踪等等安全操作提供便利，因为防火墙并不能有效地杜绝所有的恶意封包，例如用合法掩护非法的情形仍需用户自己去发现，这时候一个完备的安全检查功能就显得很重要了。

　　3、使用要方便的

　　优秀的防火墙，应该管理和使用极其容易，建议选购使用方便的防火墙。例如一个防火墙如果有设定困难、需要具备完整知识、不易除错等缺点，就会给用户带来负担，也增加了管理防火墙的工作量。

　　4、自身安全措施完备的

　　由于防火墙也是网络上的主机，因此其自身也存在着安全问题，如果防火墙连自身安全都不能保证，那么即使它的控制功能极强，也不可能保证网络的安全。建议选购自身安全保护措施完备的产品。由于防火墙主机上要先运行操作系统，然后才执行防火墙软件，所以操作系统的安全决定了防火墙本身是否安全，优秀的防火墙通常都会堵住操作系统上的各种安全隐患，弥补操作系统的各种不足。

　　最后应该选购售后服务完善的防火墙，因为新产品的安全性也只是相对的，时间一长就会有人研究新的破解方法，所以好的防火墙产品还应该拥有完善及时的售后服务体系，保证用户能及时堵住新的安全漏洞。

上一页  [1] [2] [3] 下一页