硬件防火墙的技术演变及发展趋势

   防火墙是网络安全的第一道屏障,所占市场最大,安全技术也比较成熟。为了更好的让用户了解硬件防火将的演变过程及发展趋势,特别总结了一些这方面的知识,希望可以对您有所帮助!硬件防火墙产品的架构主要分为三类:以X86 为代表的通用处理器架构、 AISC (专用集成电路)架构以及新近的 NP ( Net Processor )架构。

防火墙的功能

从防火墙的功能来说,主要包含以下几个方面:访问控制,如应用 ACL 进行访问控制、 NAT; VPN ;路由、认证和加密、日志记录、管理、攻击防范等。

为了满足多样化的组网需求,降低用户对其它专用设备的需求,减少用户建网成本,防火墙上也常常把其它网络技术结合进来,例如支持 DHCP server 、 DHCP replay 、动态路由,支持拨号、 PPPOE 等特性;支持广域网口;支持透明模式 ( 桥模式 ) ;支持内容过滤 ( 如 URL 过滤 ) 、防病毒和 IDS 等功能。

状态检测技术

状态检测技术要监视每个连接发起到结束的全过程,对于部分协议,如 FTP 、 H.323 等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。

状态防火墙可以对特定的协议进行解码,因此安全性也比较好。有的防火墙可以对 FTP 、 SMTP 等有害命令进行检测和过滤,但因为在应用层解码分析,处理速度比较慢,为此,有的防火墙采用自适应方式,因此处理速度很快。

状态防火墙还有一个特色是,当检测到 SYN FLOOD 攻击时,会启动代理。此时,如果是伪造源 IP 的会话,因为不能完成三层握手,攻击报文就无法到达服务器,但正常访问的报文仍然可达。

技术发展趋势

未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。应用 ASIC 、 FPGA 和网络处理器是实现高速防火墙的主要方法,其中以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持 IPV6 ,而采用其它方法就不那么灵活。

实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。

对于采用纯 CPU 的防火墙,就必须有算法支撑,例如 ACL 算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。

受现有技术的限制,目前还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,防火墙不适宜于集成内容过滤、防病毒和 IDS 功能 ( 传输层以下的 IDS 除外,这些检测对 CPU 消耗小 ) 。对于IDS ,目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。

多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持 IPSEC VPN ,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。

(0)

相关推荐

  • 防火墙产品的技术现状及发展趋势

    防火墙是网络安全的第一道屏障,所占市场最大,安全技术也比较成熟.硬件防火墙产品的架构主要分为三类:以X86 为代表的通用处理器架构. AISC (专用集成电路)架构以及新近的 NP ( Net Pro ...

  • 关于软件.硬件.及芯片级防火墙

    如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。   第一种:软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说 ...

  • 保证内网通信安全的九项技术措施

    千里之堤溃于蚁穴,企业内网是网络攻击的最终目的和核心目标,再强大的边界防护和保障手段,在日益繁杂庞大的企业内网面前,均不能百分百的保证万无一失。只要内网存在安全隐患或漏洞,黑客或别有用心的组织团体就可 ...

  • 巧用阿尔法路由器防火墙防攻击的办法

    一、低端路由器提供了用于阻止和允许特定IP 地址和端口号的基本防火墙功能,并使用NAT 来隐藏内部IP 地址,它们通常将防火墙功能提供为标准的、为阻止来自Internet 的入侵进行了优化的功能,虽然 ...

  • 局域网的限制技术和反限制技巧

    一.单纯的限制某些网站,不能访问,网络游戏(比如联众)不能玩,这类限制一般是限制了欲访问的IP地址. 对于这类限制很容易突破,用普通的HTTP代理就可以了,或者SOCKS代理也是可以的.现在网上找HT ...

  • 服务器防火墙的选择

    关于服务器安全,新手最常遇到的一个问题就是:该选择哪种防火墙?面对种类如此繁多的服务器防火墙,在选择的时候,是考虑厂商的知名度还是防火墙本身的性能?是选择国内防火墙好还是国外防火墙?该使用收费的企业级 ...

  • 电脑防火墙一般安装在哪里?

    电脑防火墙一般安装在哪里? 防火墙安装后的位置:双击打开"我的电脑"→控制面板→安全中心--Windows 防火墙(如下图1.2.3) (图1) (图2) (图3) 一般情况下从防 ...

  • 什么是防火墙?防火墙的工作技术分类与基础原理

    什么是防火墙?防火墙的工作技术分类与基础原理 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合.它是不同网络或网络安全域之间信息的唯一出入口,通过监测 ...

  • winxp/win7系统自带的防火墙关闭方法让你畅通网络

    当大家安装完windows xp/win7后,系统自带的防火墙就处于启动状态。这样当你使用网络软件的时候,系统防火墙就会询问你允许还是阻止软件对网络的访问,特别是在联网局域网游戏的时候(比如WAR3) ...