实用标准文案
西安电子科技大学长安学院 课程设计论文报告(大作业)
精彩文档===================================
<<防火墙技术发展与探讨>>
课程名称:《信息安全技术》
代课教师: 李杰高级工程师
班级:09421 专业:软件工程 学号:006 姓名:郭浪平 电话:15332329013
电邮:1072460916@qq.com
实用标准文案
提交日期: 2012年 11 月 4 日
1、 引言
网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。
2、 防火墙发展方向概述
目前在防火墙业界对防火墙的发展普遍存在着两种观点,即所谓的胖瘦防
火墙之争。一种观点认为,要采取分工协作,防火墙应该做得精瘦,只做防火墙的专职工作,可采取多家安全厂商联盟的方式来解决;另一种观点认为,把防火墙做得尽量的胖,把所有安全功能尽可能多地附加在防火墙上,成为一个集成化的网络安全平台。
从概念上讲,所谓“胖”防火墙是指功能大而全的防火墙,它力图将安
精彩文档
实用标准文案
全功能尽可能多地包含在内,从而成为用户网络的一个安全平台;而所谓“瘦”防火墙是指功能少而精的防火墙,它只作访问控制的专职工作,对于综合安全解决方案,则采用多家安全厂商联盟的方式来实现。
2.1“胖”的技术路线
“胖”防火墙在保证基本功能的前提下,不断扩展增值功能——NAT、VPN、QoS以及入侵检测、防病毒等。“胖”防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系,力图将防火墙系统开发成为一个安全域的整体解决方案,它的优点在于可以满足用户绝大部分的网络安全需求。 防火墙最开始也是一个单独的设备与概念,它和VPN、IDS、防病毒等都是同时并立的,但随着客户需求的不断变化,在大而全的思想引导下,防火墙慢慢集成了VPN,集成了IDS,甚至集成了防病毒网关。理论上,防火墙+IDS+防病毒+VPN部署已经可以提供较全面的保护,但由于大多数中小企业的用户并非安全专家,更不可能7×24 小时监视安全报告并作出响应,因此组合多种产品功能形成智能化的防御体系、发现并及时中止入侵的发生也就成为安全技术的一种发展方向。
另外,对于一般的客户来说,分别购买多个IDS、防火墙、VPN及防病毒网关产品是一个不小的财政负担,而高度集成的IDP系统令用户大大减少了同类支出并大大增加了效能,因此,市场上出现了“二合一”、“三合一”甚至是“四合一”的产品。它欲解决的问题在于降低采购和管理成本。
但是,这种“胖”防火墙目前更多地存在于理论上,实际进行产品化并已成功应用的并不多。“胖”防火墙追求的是一站式服务,目前它只适应中小型企业,
精彩文档
实用标准文案
尤其是低端用户。他们出于经济上的考虑以及管理上的成本,更主要的是出于安全的实际需求,希望一个设备可以为这种小型网络实现整体安全防护,所以对这种大而全的“胖”东西非常感兴趣。
“胖”防火墙的缺点也是很明显的,最突出的就是性能问题,只能着眼于小规模的网络,因为它强制将边界安全集中在单一控制点,本有性能瓶颈之忧;在性能瓶颈点增加IDS、AV等模块,又会加剧瓶颈效应;同时,附加模块将增加安全策略规则数目,也将加剧防火墙性能指标恶化(随规则增加,防火墙性能指标将成倍数下降);另外,附加模块不专业,功能不全面。很多厂家在初步定义产品时,都想做成“胖”防火墙,既有包过滤、又有代理,同时包含了入侵检测和防病毒,但是做着做着,就慢慢瘦下来了。况且单一产品功能多,也导致可靠性和安全性的降低;
集成化不应仅仅是产品的简单叠加,“胖”防火墙从概念上讲是可以的,但从技术实现上讲,有许多实际问题,可能造成的结果就是多而不精。
2.2“瘦”的技术路线
一般来说,大型用户安全需求广泛,专业性要求强,安全投入较大,自身安全管理能力也较高,因此,这种客户均倾向于使用独立的安全设备,并渴望发挥每种产品的最大效果。而安全厂商也竭力挖掘每种安全产品的最大功能,“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的发展阶段。
针对这类用户,为了要满足多种安全需求,安全厂商在设计安全解决方案时,通常会考虑以安全管理为核心,以多种安全产品的联动为基础,如防火墙与IDS
精彩文档
实用标准文案
和防病毒全面互动形成动态防御体系。以安全管理为核心使得安全网关不需要专人时时注视,不需要人工判断入侵事件,不需要预先设置大量的阻断规则,只需要在管理系统中根据安全需求设定互动规则。防病毒系统会在发现病毒后立即通知IDS添加到规则库中,而IDS 系统会在发现入侵行为后立即使防火墙产生阻断入侵的规则,从而自动为用户带来安全的信息环境。
许多有实力的厂商在不断推出“瘦”防火墙等专业安全产品的同时,开发并推出整体安全管理解决方案——信息安全管理平台,如Check Point公司的OPSEC Manager、联想集团的LeadSec Manager等。
安全管理平台能够为用户的网络应用建立方便完善的集中管理机制、统一协调机制、综合分析机制、关联响应机制,能在诸多方面为安全管理工作带来显著的效益。例如通过管理平台,能够配置IDS与防火墙、防病毒系统之间联动策略;当IDS检测到蠕虫病毒事件时,网络中的防火墙和防毒系统马上即可收到事件通报;于是防火墙采取行动,封堵病毒传播通道,防毒系统进入查杀过程。蠕虫病毒就被以最快的速度遏止,并被消灭在一个有限的网络范围内。 应用安全管理平台,可以使“瘦”防火墙等专业安全产品协同工作、关联响应,从而全面提高企业整体安全风险防范能力,这也是“瘦”防火墙得到越来越多客户青睐的重要原因。
当然,接口、联动、管理需要灵活的开放性和可扩展性。如果配合不当,出现红鞋与绿裤的组合,那呈现给用户的恐怕就不仅是俗气了。 2.3“胖、瘦”相辅相成
精彩文档
信息的安全系统大作业
