SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN和外部网之间有防火墙保护,SSN和风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
4.8 用户鉴别和加密
为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
4.9 用户定制服务
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,假如某一用户需要建立一个数据库的代理,便能够利用这些支持,方便配置。
4.10 审计和告警
第四代防火墙产品采用的审计和告警功能十分健全,日志文档包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外,第四代防火墙还在网络诊断、数据备份保全等方面具备特色。
5. 第四代防火墙技术的实现方法
在第四代防火墙产品的设计和研发中,安全内核、代理系统、多级过滤、安全服务器、鉴别和加密是关键所在。
5.1 安全内核的实现
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化和改造主要从以下几个方面进行:
1)取消危险的系统调用;
2)限制命令的执行权限;
3)取消IP的转发功能;
4)检查每个分组的接口;
5)采用随机连接序号;
6)驻留分组过滤模块;
7)取消动态路由功能;
8)采用多个安全内核。
5.2 代理系统的建立
防火墙不允许任何信息直接穿过他,对任何的内外连接均要通过代理系统来实现,为确保整个防火墙的安全,任何的代理都应该采用改变根目录方式存在一个相对单独的区域以安全隔离。
在任何的连接通过防火墙前,任何的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:
1)源地址;
2)目的地址;
3)时间;
4)同类服务器的最大数量。
任何外部网络到防火墙内部或SSN的连接由进站代理处理,进站代理要确保内部主机能够了解外部主机的任何信息,而外部主机只能看到防火墙之外或SSN的地址。
任何从内部网络SSN通过防火墙和外部网络建立的连接由出站代理处理,出站代理必须确保完全由他代表内部网络和外部地址相连,防止内部网址和外部网址的直接连接,同时还要处理内部网络SSN的连接。
5.3 分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,任何的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。
1)进站接口;
2)出站接口;
3)允许的连接;
4)源端口范围;
5)源地址;
6)目的端口的范围等。
对每一种参数的处理都充分体现设计原则和安全政策。
5.4 安全服务器的设计
安全服务器的设计有两个要点:第一,任何SSN的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,他看上去像是内部网,因为他对外透明,同时又像是外部网络,因为他从内部网络对外访问的方式十分有限。
SSN上的每一个服务器都隐蔽于Internet,SSN提供的服务对外部网络而言似乎防火墙功能,由于地址已是透明的,对各种网络应用没有限制。实现SSN的关键在于:
1)解决分组过滤器和SSN的连接;
2)支持通过防火墙对SSN的访问;
3)支持代理服务。
5.5 鉴别和加密的考虑
鉴别和加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,更有安全管理功能,现在外国防火墙产品中广泛使用令牌鉴别方式,具体方法有两种一种是加密卡(Crypto Card);另一种是Secure ID,这两种都是一次性口令的生成工具。
对信息内容的加密和鉴别则涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,现在外国防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家信息安全和主权,各国有不同的需要。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
