6. 第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1 抗IP假冒攻击
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已将网内的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
6.2 抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程式传入电脑网络,且通常是将这些恶意程式隐蔽在正常的程式之中,尤其是热门程式或游戏,一些用户下载并执行这一程式,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程式,故而能够防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户能够通过防火墙下载程式,并执行下载的程式。
6.3 抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户传给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文档,并设法解密。此外,攻击者还常常利用一些常用口令字直接登录。
第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4 抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。现在,SATA软件能够从网上免费获得,Internet Scanner能够从市面上购买,这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网络做分析。
6.5 抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对他攻击,同样值得一提的是,防火墙不接收邮件,并不表示他不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7. 防火墙技术展望
伴随着Internet的飞速发展,防火墙技术和产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又能够看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从现在对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从现在的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的研发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是能够活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别和加密功能、操作环境和硬件需要、VPN的功能和CA的功能、接口的数量、成本等几个方面。
