专业英语课题论文
《浅谈未来网络安全性问题------未来的新焦点分布式防火墙》
学院:信息学院
班级:通信1202
姓名:贾茹
学号:20123758
课程教师:蒋定德
浅谈未来网络安全性问题
未来新焦点——分布式防火墙
在计算机计算领域中,防火墙(英文:firewall)是一项协助确保信息安全的设备,它会依照特定的规则,允许或是限制传输的数据通过。防火墙通常是一台专属的硬件或是架设在一般硬件上的一套软件。随着科学的发展及网络信息安全的要求,一种新的防火墙技术应运而生——分布式防火墙
本文从“由传统式到分布式的转变——分布式防火墙的关键技术——分布式防火墙的优势——分布式防火墙的发展方向”四个方面加以论述。
(一)由传统式到分布式的转变
传统类型的防火墙在过去几年的网络安全防卫中发挥了显著的作用,但是由于它对网络拓扑结构的依赖,随着不断扩大的网络互联,其缺陷也日益突出。而分布式防墙概念的提出,使之在保留传统防火墙优势的同时,减小甚至去除了传统防火墙对网络拓扑结构的依赖性。
众所周知,传统意义上的防火墙用于限制被保护的网络与互联网络之间,或者与其他网络之间,相互进行信息存取、传递操作,它位于内部网络与外部网络(很多时候就是Internet)之间。实际上,所有以前出现的各种不同类型的防火墙,从简单的包过滤到应用层代理以至自适应代理,都基于一个共同的假设,那就是防火墙把一端的用户看成是可信任的,而另一端的用户则都被作为潜在的攻击者来对待。这样的假设是整个防火墙机制工作的基础。但最近几年随着各种网络技术的发展和各种攻击情况的出现,我们需要重新来探讨一下传统类型防火墙的问题。
防火墙依赖于物理上的拓扑结构,它从物理上将网络划分为内部网络和外部网络,这一点影响了防火墙在虚拟专用网(VPN)上的应用。因为根据VPN的概念,它对内部网络和外部网络的划分是基于逻辑的,而逻辑上同处内部网络的主机可能在物理上分处内部和外部两个网络。
传统意义上的防火墙拥有单一的接入点,在这个唯一的接入点上对内部网络和外部网络之间的信息传递进行控制。从性能的角度来说,防火墙极易成为网络流量的瓶颈;从网络可达性的角度来说,防火墙也是整个网络中的一个脆弱点。
此外,现在的防火墙设置一般都基于IP地址,因而一些内部主机和服务器的IP地址的变化将导致设置文件中的规则改变,也就是说这些规则的设定受到网络拓扑的制约。随着IP安全协议的逐渐实现,如果分处内部网络和外部网络的两台主机采用IP安全协议进行端到端的通信,防火墙将因为没有相应的密钥而无法看到IP包的内容,因而也就无法对其进行过滤。由于防火墙假设内部网络的用户可信任,所以一旦有内部主机被侵入,通常可以容易地扩展该次攻击。对于以上的这些问题,传统意义上的防火墙都很难给以解决。
当然,传统防火墙作为一种网络安全机制,也具有许多优点,其中最重要的是它能够提供外部的安全策略控制。因此我们在本文中将讨论一种全新概念的分布式防火墙,它不仅能够保留传统防火墙的这些优点,而且又能克服前面所说的那些缺点。
1
(二)分布式防火墙的关键技术及特点
下面我们以主机防火墙为例(一种典型的分布式防火墙)来阐述分布式防火墙的技术和特点:
1.主机驻留(Host-resident):主机防火墙的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在内部网还是外部网都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
2.嵌入操作系统内核(EmbeddedinOSkermel):众所周知,操作系统自身存在许多安全漏洞,运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上,所以起运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行直接接管网卡,在把所有数据包进行检查后再把它们提交给操作系统。为实现这样的运行机制,除了需要一些自身的开发技术外,与操作系统厂商的技术合作也是十分必要的,因为这需要一些操作系统不公开的内部技术接口。不能实现这种嵌入式运行模式的主机防火墙受到操作系统安全性的制约,存在明显的安全隐患。
3.个人防火墙(PersonalFirewall):个人防火墙是在分布式防火墙之前业已出现一类防火墙产品。IDC将个人防火墙定义为成本在&""美圆以下,以一般消费者和小企业为客户群,通过Cable或DSL调制解调器实现高速不间断来连接的独立产品。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处。但也有很多不同,如它们的管理方式不同:个人防火墙的安全策略由系统使用者自己设置,目标是防外部攻击;而针对桌面应用的主机防火墙的安全策略是由整个系统的管理员统一安排和设置的。这样以来除了对该桌面机起到保护作用以外,也可以实现对该桌面机的对外访问加以控制,并且这种安全机制对桌面机的使用者是不可见和不可改动的。除此之外,不同于个人防火墙面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙的其它产品共同构成了一个安全检查机制分散布置的分布式防火墙体系结构。
4.托管服务器(Hosting):互联网和电子商务的发展促进了互联网数据中心(InternetDataCenter)的迅速崛起,其主要业务之一就是服务器托管服务。对服务器托管用户而言,该服务器逻辑上是其企业网的一部分,只不过物理上不在企业内部。对于这种应用,边界防火墙解决方案就显得比较牵强附会,而针对服务器的主机防火墙则可以完美的解
2
决这个问题。用户只需在该服务器上安装上主机防火墙软件,并根据该服务器的应用设置安全策略即可,并可以利用中心管理软件对该服务器进行远程监控,而不需任何额外租用新的空间放置边界防火墙。对互联网数据中心而言,也需要提供包括防火墙安全服务在内的增值服务来提高竞争力。区别于用边界防火墙方案向托管用户提供防火墙安全增值服务,采用主机防火墙方案有其独到之处:首先,可以向托管用户提供针对特定用户特定应用的安全服务,使服务更安全更贴切;其次,消除了边界防火墙的结构性瓶颈问题。
(对于分布式防火墙:我们只需要在一台服务器上安装中心管理软件,并在各需要保护的节点安装客户端防火墙软件,就可以在中心管理系统中进行统一配置。)
(三)分布式防火墙的优势
1.由于分布式防火墙使用了IP安全协议,各主机之间的通信得到了很好的保护,因此分布式防火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用IP安全协议中的密码凭证来标识内部主机时,基于这些标志的策略对主机来说无疑更具可信性。对于传统的防火墙,所有内部主机在某种意义上是平等的,也就是说如果其中的一台被侵入,攻击者就 3
能很容易地以此为基点发起对其他内部主机的攻击;而对分布式防火墙,这样的攻击是不成立的。
2.由于传统防火墙拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提出了一些相应的解决方案,但从网络性能角度来说,自适应防火墙是一种在性能和安全之间寻求平衡的方案;而从网络可靠性角度来说,采用多个防火墙冗余也是一种可行的方案,但是它们不仅引入了很多复杂性,而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。
3.现在的防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也是显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤,攻击者就可以很容易地伪装成合法包发动攻击,攻击包除了内容以外的其他部分可以完全与合法包一样。而分布式防火墙由主机来实施策略控制,毫无疑问,主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题。
4.其实分布式防火墙最重要的优势在于它能够保护物理拓扑上不属于内部网络、但位于逻辑上的“内部”网络的那些主机,这种需求随着VPN的发展越来越多。对于这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性,这种方法使原本可以直接通信的双方必须绕经防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反,分布式防火墙的建立本身就是基于逻辑网络的概念的,因此对它而言,远程“内部”主机与物理上的内部主机没有任何区别,它从根本上防止了这种情况的发生。
(四)分布式防火墙的发展方向
随着分布式防火墙技术的不断发展,未来分布式防火墙技术将主要向两个方向发展:分布式主动型防火墙技术和分布式智能型防火墙技术。
1.分布式主动型防火墙:随着分布式防火墙技术的不断发展,未来分布式防火墙技术将向分布式主动型防火墙技术发展。不是被动地防止攻击,而是将内部的攻击拒绝在攻击者处。有效防止来自内部的拒绝服务攻击,使服务器能正常提供服务,从而克服分布式防火墙在防止拒绝服务攻击上的不足。
2.分布式智能型防火墙:分布式智能型防火墙是未来分布式防火墙发展的另一个方向。它具有以下几个特点:
(1)透明流量分担技术:保证了防火墙能够加大带宽,同时又起到双机设备的作用,显著提高防火墙的可用性。其巨大的吞吐能力,保证了客户网络巨大数据流的来往,并且不会影响网络速度和性能。
(2)内核集成IPS模块:分布式智能型防火墙将IPS作为一个模块集成到里面,直接在主干上直接监测并且阻断供给,更高效更安全。并且,如果单独放置IPS,那么这些DOS攻击以及防扫描的工作就被提到了应用空间去完成,显然没有集成之后的IPS直接在防火墙的内核处理的效率和稳定性高。
(3)预置防IP欺骗策略:智能型分布式防火墙的"防黒客"功能,能够对IP欺骗,碎片攻击,源路由攻击,DOS攻击等各种黑客攻击进行有效的抵抗和防御。
结语:纵观防火墙技术的发展历史,分布式防火墙无疑是一座里程碑。它不但弥补了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中各台主机,一方面有效 4
地保证了用户的投资不会很高,另一方面给网络带来全面的安全防护。分布式防火墙在整个企业的网络或服务器中,具有无限制的扩展能力,随着网络的增长,其处理负荷也在网络中进一步分布,进而持续保持高性能。然而当前黑客入侵系统技术的不断进步以及网络病毒朝向智能化和多样化的发展,对分布式防火墙技术提出了更高的要求。分布式防火墙技术只有不断向主动性和智能型等方向发展,才能满足人们对防火墙技术日益增长的需求。
参考文献: [1]《浅谈分布式防火墙的技术及其应用》 李咏霞2007
[2]《浅谈分布式防火墙的应用与发展趋势》 百度文库 2012.04
[3]《防火墙技术研究》李根 刘珊珊 2013
5
专业英语课题论文
《浅谈未来网络安全性问题------未来的新焦点分布式防火墙》
学院:信息学院
班级:通信1202
姓名:贾茹
学号:20123758
课程教师:蒋定德
浅谈未来网络安全性问题
未来新焦点——分布式防火墙
在计算机计算领域中,防火墙(英文:firewall)是一项协助确保信息安全的设备,它会依照特定的规则,允许或是限制传输的数据通过。防火墙通常是一台专属的硬件或是架设在一般硬件上的一套软件。随着科学的发展及网络信息安全的要求,一种新的防火墙技术应运而生——分布式防火墙
本文从“由传统式到分布式的转变——分布式防火墙的关键技术——分布式防火墙的优势——分布式防火墙的发展方向”四个方面加以论述。
(一)由传统式到分布式的转变
传统类型的防火墙在过去几年的网络安全防卫中发挥了显著的作用,但是由于它对网络拓扑结构的依赖,随着不断扩大的网络互联,其缺陷也日益突出。而分布式防墙概念的提出,使之在保留传统防火墙优势的同时,减小甚至去除了传统防火墙对网络拓扑结构的依赖性。
众所周知,传统意义上的防火墙用于限制被保护的网络与互联网络之间,或者与其他网络之间,相互进行信息存取、传递操作,它位于内部网络与外部网络(很多时候就是Internet)之间。实际上,所有以前出现的各种不同类型的防火墙,从简单的包过滤到应用层代理以至自适应代理,都基于一个共同的假设,那就是防火墙把一端的用户看成是可信任的,而另一端的用户则都被作为潜在的攻击者来对待。这样的假设是整个防火墙机制工作的基础。但最近几年随着各种网络技术的发展和各种攻击情况的出现,我们需要重新来探讨一下传统类型防火墙的问题。
防火墙依赖于物理上的拓扑结构,它从物理上将网络划分为内部网络和外部网络,这一点影响了防火墙在虚拟专用网(VPN)上的应用。因为根据VPN的概念,它对内部网络和外部网络的划分是基于逻辑的,而逻辑上同处内部网络的主机可能在物理上分处内部和外部两个网络。
传统意义上的防火墙拥有单一的接入点,在这个唯一的接入点上对内部网络和外部网络之间的信息传递进行控制。从性能的角度来说,防火墙极易成为网络流量的瓶颈;从网络可达性的角度来说,防火墙也是整个网络中的一个脆弱点。
此外,现在的防火墙设置一般都基于IP地址,因而一些内部主机和服务器的IP地址的变化将导致设置文件中的规则改变,也就是说这些规则的设定受到网络拓扑的制约。随着IP安全协议的逐渐实现,如果分处内部网络和外部网络的两台主机采用IP安全协议进行端到端的通信,防火墙将因为没有相应的密钥而无法看到IP包的内容,因而也就无法对其进行过滤。由于防火墙假设内部网络的用户可信任,所以一旦有内部主机被侵入,通常可以容易地扩展该次攻击。对于以上的这些问题,传统意义上的防火墙都很难给以解决。
当然,传统防火墙作为一种网络安全机制,也具有许多优点,其中最重要的是它能够提供外部的安全策略控制。因此我们在本文中将讨论一种全新概念的分布式防火墙,它不仅能够保留传统防火墙的这些优点,而且又能克服前面所说的那些缺点。
1
(二)分布式防火墙的关键技术及特点
下面我们以主机防火墙为例(一种典型的分布式防火墙)来阐述分布式防火墙的技术和特点:
1.主机驻留(Host-resident):主机防火墙的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在内部网还是外部网都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
2.嵌入操作系统内核(EmbeddedinOSkermel):众所周知,操作系统自身存在许多安全漏洞,运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上,所以起运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行直接接管网卡,在把所有数据包进行检查后再把它们提交给操作系统。为实现这样的运行机制,除了需要一些自身的开发技术外,与操作系统厂商的技术合作也是十分必要的,因为这需要一些操作系统不公开的内部技术接口。不能实现这种嵌入式运行模式的主机防火墙受到操作系统安全性的制约,存在明显的安全隐患。
3.个人防火墙(PersonalFirewall):个人防火墙是在分布式防火墙之前业已出现一类防火墙产品。IDC将个人防火墙定义为成本在&""美圆以下,以一般消费者和小企业为客户群,通过Cable或DSL调制解调器实现高速不间断来连接的独立产品。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处。但也有很多不同,如它们的管理方式不同:个人防火墙的安全策略由系统使用者自己设置,目标是防外部攻击;而针对桌面应用的主机防火墙的安全策略是由整个系统的管理员统一安排和设置的。这样以来除了对该桌面机起到保护作用以外,也可以实现对该桌面机的对外访问加以控制,并且这种安全机制对桌面机的使用者是不可见和不可改动的。除此之外,不同于个人防火墙面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙的其它产品共同构成了一个安全检查机制分散布置的分布式防火墙体系结构。
4.托管服务器(Hosting):互联网和电子商务的发展促进了互联网数据中心(InternetDataCenter)的迅速崛起,其主要业务之一就是服务器托管服务。对服务器托管用户而言,该服务器逻辑上是其企业网的一部分,只不过物理上不在企业内部。对于这种应用,边界防火墙解决方案就显得比较牵强附会,而针对服务器的主机防火墙则可以完美的解
2
决这个问题。用户只需在该服务器上安装上主机防火墙软件,并根据该服务器的应用设置安全策略即可,并可以利用中心管理软件对该服务器进行远程监控,而不需任何额外租用新的空间放置边界防火墙。对互联网数据中心而言,也需要提供包括防火墙安全服务在内的增值服务来提高竞争力。区别于用边界防火墙方案向托管用户提供防火墙安全增值服务,采用主机防火墙方案有其独到之处:首先,可以向托管用户提供针对特定用户特定应用的安全服务,使服务更安全更贴切;其次,消除了边界防火墙的结构性瓶颈问题。
(对于分布式防火墙:我们只需要在一台服务器上安装中心管理软件,并在各需要保护的节点安装客户端防火墙软件,就可以在中心管理系统中进行统一配置。)
(三)分布式防火墙的优势
1.由于分布式防火墙使用了IP安全协议,各主机之间的通信得到了很好的保护,因此分布式防火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用IP安全协议中的密码凭证来标识内部主机时,基于这些标志的策略对主机来说无疑更具可信性。对于传统的防火墙,所有内部主机在某种意义上是平等的,也就是说如果其中的一台被侵入,攻击者就 3
能很容易地以此为基点发起对其他内部主机的攻击;而对分布式防火墙,这样的攻击是不成立的。
2.由于传统防火墙拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提出了一些相应的解决方案,但从网络性能角度来说,自适应防火墙是一种在性能和安全之间寻求平衡的方案;而从网络可靠性角度来说,采用多个防火墙冗余也是一种可行的方案,但是它们不仅引入了很多复杂性,而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。
3.现在的防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也是显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤,攻击者就可以很容易地伪装成合法包发动攻击,攻击包除了内容以外的其他部分可以完全与合法包一样。而分布式防火墙由主机来实施策略控制,毫无疑问,主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题。
4.其实分布式防火墙最重要的优势在于它能够保护物理拓扑上不属于内部网络、但位于逻辑上的“内部”网络的那些主机,这种需求随着VPN的发展越来越多。对于这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性,这种方法使原本可以直接通信的双方必须绕经防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反,分布式防火墙的建立本身就是基于逻辑网络的概念的,因此对它而言,远程“内部”主机与物理上的内部主机没有任何区别,它从根本上防止了这种情况的发生。
(四)分布式防火墙的发展方向
随着分布式防火墙技术的不断发展,未来分布式防火墙技术将主要向两个方向发展:分布式主动型防火墙技术和分布式智能型防火墙技术。
1.分布式主动型防火墙:随着分布式防火墙技术的不断发展,未来分布式防火墙技术将向分布式主动型防火墙技术发展。不是被动地防止攻击,而是将内部的攻击拒绝在攻击者处。有效防止来自内部的拒绝服务攻击,使服务器能正常提供服务,从而克服分布式防火墙在防止拒绝服务攻击上的不足。
2.分布式智能型防火墙:分布式智能型防火墙是未来分布式防火墙发展的另一个方向。它具有以下几个特点:
(1)透明流量分担技术:保证了防火墙能够加大带宽,同时又起到双机设备的作用,显著提高防火墙的可用性。其巨大的吞吐能力,保证了客户网络巨大数据流的来往,并且不会影响网络速度和性能。
(2)内核集成IPS模块:分布式智能型防火墙将IPS作为一个模块集成到里面,直接在主干上直接监测并且阻断供给,更高效更安全。并且,如果单独放置IPS,那么这些DOS攻击以及防扫描的工作就被提到了应用空间去完成,显然没有集成之后的IPS直接在防火墙的内核处理的效率和稳定性高。
(3)预置防IP欺骗策略:智能型分布式防火墙的"防黒客"功能,能够对IP欺骗,碎片攻击,源路由攻击,DOS攻击等各种黑客攻击进行有效的抵抗和防御。
结语:纵观防火墙技术的发展历史,分布式防火墙无疑是一座里程碑。它不但弥补了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中各台主机,一方面有效 4
地保证了用户的投资不会很高,另一方面给网络带来全面的安全防护。分布式防火墙在整个企业的网络或服务器中,具有无限制的扩展能力,随着网络的增长,其处理负荷也在网络中进一步分布,进而持续保持高性能。然而当前黑客入侵系统技术的不断进步以及网络病毒朝向智能化和多样化的发展,对分布式防火墙技术提出了更高的要求。分布式防火墙技术只有不断向主动性和智能型等方向发展,才能满足人们对防火墙技术日益增长的需求。
参考文献: [1]《浅谈分布式防火墙的技术及其应用》 李咏霞2007
[2]《浅谈分布式防火墙的应用与发展趋势》 百度文库 2012.04
[3]《防火墙技术研究》李根 刘珊珊 2013
5