由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的需要,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术需要高;
全软件实现,使用中出现差错的情况很多。
3.3 建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙研发商很快推出了建立在通用操
作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,他们具备如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或借用路由器的分组过滤功能;
3)装有专用的代理系统,监控任何协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的配置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,他们已得到了广大用户的认同
。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性
无从确保;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的
安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具备加密鉴别功能;
5)透明性好,易于使用。
4. 第四代防火墙的主要技术及功能
第四代防火墙产品将网关和安全系统合二为一,具备以下技术功能。
4.1 双端口或三端口的结构
新一代防火墙产品具备两个或三个单独的网卡,内外两个网卡可不做IP转化而串接于内部和外部之间,另一个网卡可专用于对服务器的安全保护。
4.2 透明的访问方式
以前的防火墙在访问方式上要么需要用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
4.3 灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
4.4 多级过滤技术
为确保系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉任何的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的任何通用服务;在电路网关一级,实现内部主机和外部站点的透明连接,并对服务的通行实行严格控制。
4.5 网络地址转换技术
第四代防火墙利用NAT技术能透明地对任何内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6 Internet网关技术
由于是直接串联在网络之中,第四代防火墙必须支持用户在Internet互联的任何服务,同时还要防止和Internet服务有关的安全漏洞,故他要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对任何的文档和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种单独的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图像或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何和攻击有关的系统信息。SMTP和POP邮件服务器要对任何进、出防火墙的邮件做处理,并利用邮件映射和标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
4.7 安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,他利用一张网卡将对外服务器作为一个单独网络处理,对外服务器既是内部网络的一部分,又和内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可配置成通过FTP、Tnlnet等方式从内部网上管理。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
