浅析自适应算法 提升企业防火墙的安全途径
2008-11-26 13:35:47 来源:WEB开发网自适应算法的优越性是非常明显的,无论在安全性方面,还是在性能上,都有非常突出的表现。
1、通过自适应安全算法,可以防止TCP会话被拦截
在黑客攻击中,通过拦截TCP会话而获得特定资源的访问权,这是非常常见的一种手段。在防火墙的其他算法中,如分组过滤中,不能够有效的杜绝这种威胁。但是,在自适应安全算法中,则可以帮助企业网络管理员有效的消除TCP被拦截的安全威胁。
自适应安全算法被设计成一个有状态的、面向连接的安全过程。在防火墙的状条表中,会保存当前的所有会话信息。通过在状态表中应用相关的安全策略与地址转换来控制通过防火墙的所有信息。如此的话,在企业网络边界部署防火墙后,企业所有内部主机与外部网络通信都将会受到有效的管理。
自适应算法的特点就是在会话开始前会生成一个随机的TCP序列号,并将相关的信息写入到状态表中。外部主机响应后,会像企业防火墙传回一个响应信息。返回信息与状态表中的信息将进行比较。如果信息不匹配的话,则防火墙将会删除这个连接,并且,状态表中的这条信息也将会被删除。很明显,安全算法强调的是对连接的控制,而不是分组。这个特性就可以有效的杜绝黑客对TCP会话的挟持。这关闭了黑客想通过拦截TCP会话而却资源的访问权的大门。
2、配置管理更加的智能化
在PIX防火墙的各个接口上,都分配了对应的安全等级。防火墙允许流量从高安全等级接口流向低安全等级接口。而不需要相关人员对各个接口定义显示的规则。如企业一般情况下,不需要对内部的信息进行过多的控制。从数据安全性方面出发,主要是考虑对外部连接访问的控制,杜绝外部对内部网络的非法访问。如此的话,不需要对防火墙进行额外的配置,就可以起作用。只需要被企业内部网络接到高安全级别的接口上;而把外部网络接到低安全界别的接口中。
如此连接后,不需要配置具体的规则,内部网络向外部网络发送信息,可以畅通无阻。但是,若外部网络要访问企业内部网络资源的话(流量从低安全等级接口到高安全等级接口),则必须满足一定的条件。一是必须存在对目的地的静态转换。也就是说,网络安全人员必须在防火墙上显示的定义允许外部主机对企业内部主机的访问。二是在适当的位置必须有一个访问列表或者管道(如VPN隧道)允许这个流量通过。只有同时满足这两个条件后,外部主机访问企业内部的主机才会被允许。
当然,在有必要的时候,也可以通过访问控制列表来管理从高安全级别向低安全级别的流量。如要控制企业内部主机对外部特定网站的访问,就可以通过访问控制列表来解决。
可见,利用自适应安全算法,在安全管理上,更加的灵活;管理配置也更加的简单、智能化。
三、笔者管理心得共享
虽然说,防火墙还提供了其他的算法,如分组过滤、贯穿式代理等等,而且他们也各有各的特点。不过笔者还是倾向于这个自适应算法的防火墙。其部属起来相对来说比较简单,而且,也比较灵活。
不过现在能够实现这个自适应算法的防火墙产品还不是很多。企业在选择网络防火墙的时候,要根据自己的操作偏好,选择合适的防火墙产品。若你比较钟爱自适应算法的防火墙的话,则选购的时候,就一定要注意,看看防火墙是否支持这种算法。
更多精彩
赞助商链接