防火墙的发展史
防火墙的发展历史
防⽕墙的发展历史防⽕墙发展历史第⼀代:包过滤防⽕墙第⼆代:代理防⽕墙第三代:状态监测防⽕墙(发展史上的⾥程碑)第四代:统⼀威胁管理(简称UTM)第五代:下⼀代防⽕墙(简称NG)NOTE:1) 我们现在常见的防⽕墙都是第五代防⽕墙。
2) 第五代防⽕墙的名字就叫“下⼀代防⽕墙”,没有指代之意。
第⼀代和第⼆代防⽕墙第⼀代防⽕墙是1989年产⽣的,仅能实现简单的访问控制。
第⼆代防⽕墙是代理防⽕墙,在应⽤层代理内部⽹络和外部⽹络之间的通信。
代理防⽕墙的安全较⾼,但是处理速度较慢,⽽且对每⼀个应⽤都要开发⼀个代理服务很难做到,因此只能对少量的应⽤提供代理⽀持。
我们下⾯描述⼀下第⼀代防⽕墙和第⼆代防⽕墙的⼯作过程:如上图所⽰,PC和WEB服务器位于不同的⽹络,分别与防⽕墙相连,PC与WEB服务器之间的通信受到防⽕墙的控制。
当PC需要访问WEB服务器⽹页时,在防⽕墙上必须配置下表当中列出的⼀条规则:允许PC访问访问WEB服务器的报⽂通过。
这⾥说的规则其实就是指防⽕墙上的安全策略。
只不过本节重点讲解状态检测和会话机制,安全策略不是重点,所以通过规则来简化描述。
关于安全策略的内容我们将在后⾯的⽂章当中讲解。
在这条规则当中,源端⼝处的ANY表⽰任意端⼝,这是因为PC在访问WEB的时候端⼝是操作系统随机指定的,并不是确定的,所以这⾥设定为任意端⼝。
配置了这条规则之后,PC发出的报⽂就可以顺利的通过防⽕墙,到达WEB服务器,然后WEB服务器会向PC发送回应报⽂,这个报⽂也要穿过防⽕墙,在第三代防⽕墙(状态监测防⽕墙)出现之前,第⼀代和第⼆代防⽕墙还必须配置下表当中的规则,允许反⽅向的报⽂通过防⽕墙。
在规则2当中,⽬的端⼝也没有设定为任意端⼝,因为我们⽆法确定PC访问WEB到底⽤的哪个端⼝,要想使得WEB服务器的回应报⽂顺利通过防⽕墙到达PC,只能将规则2当中的⽬的端⼝设定为任意端⼝。
任意端⼝其实也就是所有端⼝,这样会有很⼤的安全隐患,外部的恶意报⽂者伪装成WEB服务器,就可以畅通⽆阻的穿过防⽕墙,PC 将会⾯临严重的安全风险。
网络安全发展历程2023简版
网络安全发展历程网络安全发展历程1. 网络安全的定义和意义网络安全是指保护计算机网络及其相关设备、数据和程序免受未经授权的访问、破坏、窃取、篡改、滥用和破坏的一系列技术和管理措施。
网络安全的重要性在于保护个人隐私、企业机密和国家安全。
2. 网络安全的起源网络安全问题的根源可以追溯到上世纪60年代末。
当时,互联网刚开始发展,计算机网络系统非常脆弱,缺乏有效的安全防护措施。
因此,黑客活动和网络攻击频繁发生。
3. 阶段一:密码学时代(1960年 - 1990年)在网络安全发展的早期阶段,主要采用密码学来保护网络通信和数据的安全。
密码学是一门研究加密算法和解密算法的学科,通过使用加密算法对数据进行加密,以确保只有授权的用户能够解密和访问数据。
在这个时期,加密算法逐渐发展成为网络安全的核心技术。
4. 阶段二:防火墙时代(1990年 - 2000年)随着互联网的普及和网络技术的发展,网络攻击的方式和手段也日益复杂。
为了应对这种情况,防火墙成为了一种重要的网络安全技术。
防火墙用于监控并控制网络流量,以阻止未经授权的访问和恶意攻击。
防火墙通过规则和策略来过滤和阻挡网络流量,从而提高网络的安全性。
5. 阶段三:入侵检测系统时代(2000年 - 2010年)随着互联网的进一步发展和网络攻击技术的不断演进,防火墙等传统安全技术逐渐显得力不从心。
为了能够及时发现并应对网络攻击,入侵检测系统(IDS)开始发挥重要作用。
入侵检测系统是一种用于检测和识别网络中的异常行为和攻击的安全工具。
它通过分析网络流量和系统日志,来判断是否存在恶意行为,并及时发出警报。
6. 阶段四:综合安全解决方案时代(2010年至今)随着云计算、物联网等新兴技术的快速发展,网络安全面临着新的挑战和威胁。
传统的安全技术和解决方案已经无法满足当前复杂多变的安全需求。
因此,综合安全解决方案成为了当前的主流趋势。
综合安全解决方案将多种安全技术和方法相结合,包括加密技术、网络监控、入侵检测、访问控制等,以提供更全面和有效的安全防护。
防火墙技术的发展演变及其特点
防火墙技术的发展演变及其特点防火墙技术是网络安全中最基本和最重要的组成部分之一,它不仅能够保护网络免受恶意攻击和入侵,还能够加强网络的安全性和可靠性。
随着网络攻击和威胁的不断增加和演变,防火墙技术也在不断发展和演变,不断提供更多更高级的功能和特点。
本文将介绍防火墙技术的发展演变及其特点。
防火墙技术的发展可以分为三个阶段:第一阶段是基于包过滤的防火墙技术;第二阶段是基于状态的防火墙技术;第三阶段是基于应用层的防火墙技术。
第一阶段是基于包过滤的防火墙技术。
在早期的网络中,在防火墙出现之前,网络管理员主要依靠网络设备如路由器和交换机来限制和过滤网络通信。
包过滤技术就是根据网络中数据包的源IP地址、目的IP地址、源端口号、目的端口号等信息来控制哪些数据包可以通过防火墙,哪些数据包应该被拦截和阻止。
包过滤技术简单、高效,但它只能对数据包的基本头部信息进行判断,无法检测和控制数据包的内容和应用层协议。
第二阶段是基于状态的防火墙技术。
在网络攻击和威胁不断增加的背景下,单纯的包过滤技术已经不能满足网络安全的需求。
基于状态的防火墙技术通过维护网络数据包的连接状态和流量的状态来进行安全策略的制定和执行,能够更全面和精确地判断和检测网络中的连接和流量。
基于状态的防火墙技术能够识别并过滤网络中的恶意流量和攻击,提高网络的抵御能力和安全性。
第三阶段是基于应用层的防火墙技术。
随着互联网的普及和应用的飞速发展,网络攻击和威胁也变得越来越复杂和隐蔽。
基于应用层的防火墙技术能够深入到网络数据包的应用层,对数据包的内容和应用层协议进行分析和判断。
基于应用层的防火墙技术能够防止应用层协议的漏洞攻击和应用层协议的滥用,提高网络的安全性和可靠性。
同时,基于应用层的防火墙技术还能够进行内容过滤和访问控制,阻止不安全和有害内容的传输和访问。
以上三种防火墙技术的发展演变反映了网络安全的需求和技术发展的趋势。
作为网络安全的第一道防线,防火墙技术需要不断提升和改进,以应对不断变化和发展的网络攻击和威胁。
不可不知的基础知识:防火墙的发展史
此 当数据库个头太大 时就需要给他 减减肥 .在该软件主界面 中单击
“ 压缩 A c s c e s数据库 ” 如图 4所示 , 择数据库文 件后单击压 缩数 . 选 据库即可。
图 4压 缩 A c s c e s数 据库
不 可不 Leabharlann 的基础 知识 : 防火墙 的发展史
文 : z0 y
I or at on nT m l 5ecur t , y
图 2破 解 Ac e s数 据 库 密 码 cs
图 3删 除 Ac e s密 码 cs
( ) 除数据库密码 三 删 在软件窗 口单 击“ 删除 A c s c e s密码” 如果前 面选择过数 据库 。 .
则在数据库路径 中会显示上次所操作的数据库 . 同时显示数据库的密
术, 并在其产品 G u t t i w l o N a nl r al r T中得 以实现 , 代理类型 的 eFe f 给
防火墙赋予了全新的意义 。 可以称之 为第五代防火墙。
第二 、 三代防火墙
18 9 9年 ,贝尔实验 室的 D v rs  ̄ a ePe o o和 H wadTik y推 出 o r r e c 了第二代防火墙 。 电路层防火墙 , 即 同时提出 了第三代 防火 墙——应 用层防火墙( 代理 防火墙 ) 的初步结构。
第五代防火墙
19 9 8年 , I NA 公司推出 了一种 自适应代理 ( d piepo y) A a t rx 技 v
码. 单击“ 除密码” 删 按钮将加密的数据库的密码给删 除掉。如图 3所
o
除去破解 Ac e s密码 外, cs 该软件还 有一个 实用功能用来 压缩数 据库大小. c e s数据库持续运 行时间长 了以后 , A cs 文件本身会增加一 些无用的信息 , 导致 数据文件 非常大 , 而对 A c s c e s数据库来说 当数 据库大小超过 3 M 以后就会影响性能 ,0 以后会严重影响性能 . 0 5M 因
网络安全发展历程
网络安全发展历程1. 1960年代: 网络安全的起源可以追溯到20世纪60年代,这是第一个计算机网络的时期。
当时,网络安全主要关注于保护计算机系统免受未经授权的访问和恶意软件的侵害。
2. 1970年代: 随着计算机网络的扩大和普及,网络安全面临着更多的挑战。
在这个时期,人们开始意识到密码学的重要性,并且开始研究和开发加密算法,以保护数据的机密性。
3. 1980年代: 随着计算机技术的快速发展,网络安全攸关的领域也不断扩展。
在这个时期,网络安全不仅关注计算机系统的保护,还开始关注网络通信的安全性。
人们开始研究和开发防火墙技术,以过滤非法访问和恶意活动。
4. 1990年代: 互联网的普及给网络安全带来了全新的挑战。
随着互联网的快速发展,网络安全问题变得更加复杂和普遍。
人们开始意识到网络安全需要一个综合的解决方案,而不仅仅是依赖单一的安全措施。
5. 2000年代: 近年来,随着黑客攻击和网络犯罪活动的增加,网络安全变得越来越重要。
人们开始采用更加先进的技术措施,如入侵检测系统和网络流量分析,以及加强对网络通信和用户数据的保护。
6. 2010年代: 与云计算、移动互联网和物联网的兴起,网络安全面临着更多的挑战和机遇。
人们开始关注云安全和移动设备的安全性,以及物联网中的安全风险。
同时,人工智能和大数据等新兴技术也为网络安全提供了新的解决方案。
7. 2020年代: 当前,网络安全已经成为全球关注的焦点。
人们不仅要应对传统的网络安全威胁,还要应对越来越复杂和高级的攻击。
在未来,网络安全将继续发展和演变,以适应不断变化的威胁和技术环境。
防火墙硬件架构发展漫谈
程 能 力 ,对许 多安全 厂商来 说是 不错 的选择 。联 想 、网御 神州 、华为 、天 融信 、东软 的厂 商先 后在 国内推 出 了基 于
NP的 防火墙 ,得到 了市场 的广 泛认 可。
它 虽然 有着 技术 成熟 、成本 低廉 的优点 ,却 只能 达到 包过
滤 的效果 ,实用 性并不 能令 人满 意 。另一方 面 ,那个 时代
C在 这方 面劣势 明 显 ,难 以满足 用户需 求 ;以 都 有所提升 的时 候 ,独立形 态 的防火 墙走进 了历 史 的舞 台 , NP和 ASI Ch c Po n 与思科 成为 这个 时代 的佼佼者 。他 们最 大的 ek it
共 同点 ,莫 过 于采 用 了标 准 的 x 6平 台 ,第 一 次 在 实 现 8 复杂 功能的 同时提 供相 对优秀 的性能 。 上个 世纪末 的最 后 几年 ,互联 网开 始进入 高 速发展 的 时期 。很快 ,防火 墙 因为性 能跟不 上带 宽的 发展 ,逐渐 成
为网络 中新 的瓶颈 。在提 升性 能 的难题 面前 ,一些 企业做 出了思路 上 的创新 :为主 处理器 减 负。状 态检 测技 术的核
解 决方 案提 供 商约 定般 地 推 出 了多核 /多线程 处理 器 了 ,
在市 场取 得一 定的 成功 。这类 产 品既具 有与 NP类 似的快
速 转发 引擎 ,也 内置 了几个甚 至几 十个采 用通 用体 系架构 的处 理器 核 ,为实现 复杂 安全 功能提 供 了硬件基 础 。 目前 ,
的瓶 颈 。它针 对 I P网络 的特 点 ,创造 性 地将 访 问控 制 的
随 着 互联 网 的不 断 发展 ,基 于 P P技 术 的 各类 应 用 2
已经 成为现 阶段 炙手 可热 的 明星。它 们无 一例外 地有 着大 连接 数 的特 点 ,使 得 对 连 接 的 处理 能 力 也 逐 渐超 过 吞 吐
WAF技术的发展概述
WAF技术的发展概述当黑客攻击Web应用时,网络防火墙和入侵检测产品发挥的作用有限,而应用防火墙却让黑客无功而返。
在6月份的时候有这样一则新闻:美国科学家表示,许多网站目前都面临一种新形式网络攻击——“HTTP请求走私”的威胁,这种攻击将有害的数据包隐藏在看似合法的数据包中,通过HTTP请求破坏网站。
专家发现,“HTTP请求走私”最简单的一种攻击形式是添加多余的“内容长度的头信息标签”。
通常,当浏览器发出网页请求时,它会发送包含详细请求内容的数据包。
一般情况下,数据包中只包含一个“内容长度的头信息标签”,以保证需要处理的数据大小。
而在“HTTP请求走私”中,可能会出现两个以上“内容长度的头信息标签”。
科学家发现,不同的网站在遭到这种攻击时会作出不同的反应,很可能会造成处理错误。
另外,“HTTP请求走私”能够突破安全过滤器,可以将新网站非法上载到网站缓冲区中。
专家认为,黑客可能很快就会利用“HTTP请求走私”,对网站进行大规模攻击。
最好的防范措施,就是严格遵循超文本数据传输协议的各项要求。
同时,专家也认为,之所以出现“HTTP请求走私”,说明超文本传输协议存在漏洞,应对其进行修改。
这条新闻所提到的攻击只是网站所面对的众多攻击中的比较新的一个。
随着互联网的飞速发展,Web应用也日益增多。
今天,商业交易的各个部分都正在向Web上转移,但每增加一个新的基于Web的应用系统,都会导致之前处于保护状态下的后端系统直接连接到互联网上,最后的结果就是将公司的关键数据置于外界攻击之下。
据Gartner调查显示,现在有75%的攻击都是针对Web应用层发起的。
尤其是金融服务业成为了众矢之的,而攻击者的主要目的就是直接获取个人数据。
据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们中有98%的公司都装有防火墙。
网络安全发展历史回顾安全演变过程
网络安全发展历史回顾安全演变过程网络安全发展历史回顾: 安全演变过程随着互联网的迅猛发展,网络安全问题日益突显。
网络安全作为一门重要的学科,自20世纪70年代末至今,经历了多个阶段的演变。
本文将回顾网络安全发展的历史,探讨安全演变的过程。
第一阶段:网络的初创时期(1970年代末 - 1990年代)网络的初期阶段,主要关注的是网络的搭建与功能实现。
此时的网络规模相对较小,安全问题主要集中在网络访问控制方面。
最著名的早期安全措施是密码学的应用,例如1977年出现的RSA加密算法。
虽然有了加密算法提供的保护,但由于网络规模有限,安全问题相对简单,整个安全体系尚未形成。
第二阶段:黑客与病毒的兴起(1990年代 - 2000年代)进入1990年代,随着互联网的普及,黑客和病毒开始成为网络安全的主要威胁。
黑客通过攻击计算机和网络系统来获取非法利益或满足破坏欲望。
著名的黑客事件有1999年的“Melissa”病毒和2000年的“爱信”病毒。
为了应对黑客和病毒的威胁,安全专家们开始研究和开发防御系统。
防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等技术逐渐成熟。
同时,安全意识开始普及,人们开始关注密码强度、安全意识教育等问题。
第三阶段:网络攻击的进一步复杂化(2000年代 - 今)随着技术的进一步发展,网络攻击手段变得更加复杂和隐蔽。
网络犯罪行为不仅仅局限于黑客攻击,还包括网络诈骗、网络钓鱼和恶意软件等。
在这个阶段,网络安全已经成为政府和企业重要的战略问题。
为了应对这种形势,网络安全领域相继出现了新的技术和解决方案。
比如,加强了网络边界防护,包括防火墙、入侵检测和入侵防御、DDoS攻击防护等。
同时,也涌现出了新兴的安全技术,如云安全、人工智能和大数据分析等。
此外,随着移动互联网的飞速发展,移动设备的安全问题也引起了广泛的关注。
移动终端安全管理、移动应用程序的审计和评估等新兴技术逐渐成熟,以应对移动设备带来的安全风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的发展史第一代防火墙第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。
下图表示了防火墙技术的简单发展历史。
第二、三代防火墙1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。
1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
防火墙未来的技术发展趋势随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。
这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
1. 防火墙包过滤技术发展趋势(1). 一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。
该功能在无线网络应用中非常必要。
具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。
用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
(2). 多级过滤技术所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。
在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。
这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
(3). 使防火墙具有病毒防护功能。
现在通常被称之为"病毒防火墙",当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。
这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。
拥有病毒防护功能的防火墙可以大大减少公司的损失。
2. 防火墙的体系结构发展趋势随着网络应用的增加,对网络带宽提出了更高的要求。
这意味着防火墙要能够以非常高的速率处理数据。
另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。
为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。
从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。
基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。
但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。
理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。
这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
首信CF-2000 系列EP-600和CG-600高端千兆防火墙即采用了功能强大的可编程专有ASIC 芯片作为专门的安全引擎,很好地兼顾了灵活性和性能的需要。
它们可以以线速处理网络流量,而且其性能不受连接数目、包大小以及采用何种策略的影响。
该款防火墙支持QoS,所造成的延迟可以达到微秒量级,可以满足各种交互式多媒体应用的要求。
浙大网新也在杭州正式发布三款基于ASIC芯片的网新易尚千兆系列网关防火墙,据称,其ES4000防火墙速度达到4Gbps,3DES速度可达600Mbps。
易尚系列千兆防火墙还采用了最新的安全网关概念,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能。
3. 防火墙的系统管理发展趋势防火墙的系统管理也有一些发展趋势,主要体现在以下几个方面:(1). 首先是集中式管理,分布式和分层的安全结构是将来的趋势。
集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。
快速响应和快速防御也要求采用集中式管理系统。
目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。
关于这一新技术在本篇下面将详细介绍。
(2). 强大的审计功能和自动日志分析功能。
这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。
日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。
不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是不具有的。
(3). 网络安全产品的系统化随着网络安全技术的发展,现在有一种提法,叫做"建立以防火墙为核心的网络安全体系"。
因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。
通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
如现在的IDS设备就能很好地与防火墙一起联合。
一般情况下,为了确保系统的通信性能不受安全设备的影响太大,IDS设备不能像防火墙一样置于网络入口处,只能置于旁路位置。
而在实际使用中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止。
显然,要让处于旁路侦听的IDS完成这个任务又太难为,同时主链路又不能串接太多类似设备。
在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。
目前主要有两种解决办法:一种是直接把IDS、病毒检测部分直接"做"到防火墙中,使防火墙具有IDS和病毒检测设备的功能;另一种是各个产品分立,通过某种通讯方式形成一个整体,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。
目前更看重后一种方案,因为它实现方式较前一种容易许多。
一. 防火墙的基本配置原则默认情况下,所有的防火墙都是按以下两种情况配置的:●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。
一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。
其实这也是任何事物的基本原则。
越简单的实现方式,越容易理解和使用。
而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。
但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。
但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。
在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。
这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。
对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。
这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。
目前来说,要做到这一点比较困难。
二、防火墙的初始配置像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。
但因各种防火墙的初始配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍。
防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。
防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见图1所示。
图1防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。
防火墙与路由器一样也有四种用户配置模式,即:普通模式(Unprivileged mode)、特权模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),进入这四种用户模式的命令也与路由器一样:普通用户模式无需特别命令,启动后即进入;进入特权用户模式的命令为"enable";进入配置模式的命令为"config terminal";而进入端口模式的命令为"interface ethernet()"。