分享到:

东软NetEye:各层面兼顾

防火墙发展到今天,很多产品已经越来越像是一个网络安全的工具箱,工具的多少固然很重要,而系统的结构则是一个起决定性作用的前提,因为防火墙的结构则决定了这些工具的组合能力。$$防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。$$包过滤可以分为简单包过滤和状态检测的包过滤两种。简单包过滤是对单个包的检查,由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的。状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。$$包过滤结构的最大优点是部署容易,对应用透明;另一个优点是性能,状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。$$但包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息,对于应用层则缺少足够的保护,而大...  (本文共2页) 阅读全文>>

《网络安全技术与应用》2015年01期
网络安全技术与应用

包过滤防火墙管理技术要点分析

0引言随着网络信息技术的不断发展,网络信息共享已经变得越来越重要,是人们生活和工作当中都无法缺少的。但在网络信息共享的过程中,也会出现很多安全问题,很多商业网站都会遭受到黑客侵袭,给企业造成很大的经济损失。为了解决网络安全问题、避免经济损失,相关技术人员创新了各种各样的网络安全保护技术,而应用最广泛的技术就是防火墙技术。防火墙是一种安全机制,可以实现网络系统之间的正常访问。但随着网络流量指数的不断增长,传统意义上的网络防火墙技术已经无法保证网络安全,另外,防火墙技术的安全保护效果也关系到国家相关机构的设施安全,必须对防火墙技术进行不断创新,提高各种网络保护设备的质量,保障网络信息安全。而包过滤防火墙管理技术就是一种新型防火墙管理技术,其安全防护效果是非常好的。1包过滤防火墙技术概括1.1防火墙的主要结构在防火墙当中,主要包括四大组成部分,第一部分是屏蔽路由器,它是可以代替主机使用的,有着内外连接的功能,一切网络包都要在屏蔽路由器...  (本文共2页) 阅读全文>>

《安阳师范学院学报》2003年05期
安阳师范学院学报

包过滤防火墙的设计与实现

随着Internet的不断发展,其应用范围越来越广,且由于TCP/IP协议本身及网络服务和主机安全管理方面的漏洞,使Internet的安全性问题日益突出,网络安全技术已成为网络的关键技术之一。防火墙技术以其对内部网络卓有成效的安全防护而成为网络安全的流行解决方案。1防火墙的概念和作用防火墙是通过执行访问控制策略来达到网络安全的一个或一组软、硬件系统,它隔离了内部和外部网络,是内外网络通讯的唯一途径。它能根据制定的访问控制规则对经过它的信息流进行监控和审查,过滤掉任何不符合控制规则的信息,以保护内部网络不受外界的非法访问和攻击。由此看出防火墙的作用有:(1)执行访问控制规则,防止不希望的、未授权的通信进出被保护的网络,强化内部网络安全。如:屏蔽部分主机或它们的部分服务、阻塞IP源、路由选项或ICMP复位向报文等。(2)集中网络安全管理,根据安全策略统一为整个内部网络提供安全保护和服务;另外还可在它上面融入加密传输和认证,以及安全协...  (本文共2页) 阅读全文>>

《郑州航空工业管理学院学报》2003年04期
郑州航空工业管理学院学报

包过滤防火墙和代理防火墙的比较

防火墙技术目前已经广泛应用于专用网络与公用网络的互联环境中。防火墙大致可以分为两大类 :包过滤防火墙和代理防火墙。它们代表了当今防火墙产品中的两种主流类型 ,它们各自有着不同的优缺点和适用范围 ,选择哪一种防火墙作为组建网络的防范措施对用户来说是很重要的。下面针对这两种防火墙作一比较。一、包过滤防火墙和代理防火墙的工作机制包过滤防火墙是最普通的防火墙 ,适用于简单网络。这种方法只需简单地在Internet网关处安装一个数据包过滤路由器 ,并设置过滤规则阻挡协议或地址。包过滤防火墙在网络层和传输层起作用。数据包过滤器在发送前先检查每一个数据包 ,根据数据包的IP源地址、IP目的地址、所用的TCP源端口号和目的端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过 ,只有满足过滤逻辑的数据包才能被转发至相应的目的地的输出端口 ,其余数据包则从数据流中被删除。代理防火墙又称应用层网关级防火墙 ,是一种较新型的防火墙技术 ,它...  (本文共3页) 阅读全文>>

《计算机科学》1999年08期
计算机科学

包过滤防火墙的安全研究

一、引言 包过滤和代理系统是目前互联网络防火墙中较为普遍使用的二种技术。其中包过滤防火墙由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,十分灵活方便,所以应用最为广泛。但如果产品选择和使用不当,出现的问题也是最多的. 包过滤技术的主要依据是包含在IP包头中的各种信息,一般不涉及包体中的数据(当然根据包体中的关键词也可以过滤,本文不作讨论)。所以,包过滤技术可以过滤IP地址,而难以过滤具体用户;可以过滤服务,而一般难以过滤包含在服务中的具体操作。它是一种有效地保护内部网络的基本手段,但往往显得不够“精细”。 包过滤防火墙的安全性与厂商提供给用户的过滤功能及用户配置的过滤规则有密切关系.本文先简要介绍IP包过滤技术原理,然后重点分析包过滤防火墙的十类不安全因素及其解决方法。二、包过滤技术原理 本文主要讨论IP包过滤,这是指对TCP八P网络中的网络层和运输层的信息进行包过滤,因为在现实生活中提供非TCP/lP网络进行包过滤的...  (本文共4页) 阅读全文>>

国防科学技术大学
国防科学技术大学

包过滤防火墙规则管理实现技术的研究

因特网的迅猛发展,使得网络的安全问题日益严重。防火墙作为最成熟的网络安全设备在短短的几年内异军突起,特别是加入了状态检测、网络地址转换、虚拟局域网、MPLS等功能的硬件包过滤防火墙,由于它的简洁、速度快、费用低、对用户透明、对网络的保护全面和强大等优点,被广泛的应用于各级网络中。规则是包过滤防火墙的核心工作基础,规则的管理和维护非常复杂,要是管理不当,会大大降低防火墙的性能,甚至产生安全漏洞。因此,规则管理技术对于包过滤防火墙非常重要,在提高防火墙性能的前提下,它使网络管理员不但能够更加容易和迅速地管理和维护防火墙的规则,而且能够很方便地扩展防火墙的功能。本文在深入分析LINUX防火墙代码,特别是规则管理部分IPTABLES代码的基础上,从分组分类技术的角度,对各种软硬件算法进行了分析,结合包过滤防火墙的规则特点和工程实践的技术积累,提出采用基于Parricia树的快速多维分组分类算法和基于按内容寻址存储器(Content Ad...  (本文共72页) 本文目录 | 阅读全文>>