WEB开发网
开发学院数据库MSSQL Server 防火墙系列连载之六—数据包过滤的技术 阅读

防火墙系列连载之六—数据包过滤的技术

 2007-11-11 07:05:21 来源:WEB开发网   
核心提示: 近年来, 网络犯罪的递增、大量黑客网站的诞生,促使人们思考网络的安全性问题,防火墙系列连载之六—数据包过滤的技术(3),各种网络安全工具也跟着在市场上被炒得火热,其中最受人注目的当属网络安全工具中最早成熟,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,也是最早产品化的网络防火墙产品了,目前防火墙产品已经

  近年来, 网络犯罪的递增、大量黑客网站的诞生,促使人们思考网络的安全性问题。各种网络安全工具也跟着在市场上被炒得火热。其中最受人注目的当属网络安全工具中最早成熟,也是最早产品化的网络防火墙产品了。目前防火墙产品已经进入战国时代,在全球至少有千种以上的防火墙,那么防火墙到底是一种什么东西?它有那些技术指标?我们应该怎样选择一个合适的防火墙呢?本文试图就这些问题对防火墙进行探讨。

  一. 防火墙是什么?

  所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。

  二.防火墙的安全技术分析

  防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究,我对防火墙的安全性有如下几点认识。

  1.正确选用、合理配置防火墙非常不容易

  防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:

  a. 风险分析;

  b. 需求分析;

  c. 确立安全政策;

  d. 选择准确的防护手段,并使之与安全政策保持一致。

  然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。

  2.需要正确评估防火墙的失效状态

  评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪,而且要看到一旦防火墙被攻破,它的状态如何? 按级别来分,它应有这样四种状态:a.未受伤害能够继续正常工作;b.关闭并重新启动,同时恢复到正常工作状态;c.关闭并禁止所有的数据通行;d.关闭并允许所有的数据通行。

  前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。3.防火墙必须进行动态维护

  防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。

  4.目前很难对防火墙进行测试验证

  防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大:

  a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试的工具软件。

  b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作难以达到既定的效果。

  c.选择“谁”进行公正的测试也是一个问题。

  可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,进而提出这样一个问题:不进行测试,何以证明防火墙安全?

上一页  1 2 3 4 5 6 7 8  下一页

Tags:防火墙 系列 连载

编辑录入:coldstar [复制链接] [打 印]
赞助商链接