信息安全学习总结-信息安全产品系统化.docVIP

 PAGE 6 （九）信息安全产品系统化 作者：山石 智能防火墙 概述 智能防火墙是指于正常程序和准确判定病毒的程序，智能防火墙不会询问用户，只有不可确定的进程有网络访问行为时，才请求用户协助的防火墙。其不同于其它的传统防火墙，并不是每个进程访问网络都要询问用户是否放行。有效克服了传统防火墙技术频繁报警询问，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。 智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此被称为智能防火墙。 应用领域 智能防火墙成功地解决了普遍存在的拒绝服务攻击（DDOS）的问题、病毒传播问题和高级应用入侵问题，代表着防火墙的主流发展方向。新一代智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面，与传统防火墙相比有质的飞跃。其主要应用领域如下： 防范恶意数据攻击：智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击，解决SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻击，有效的切断恶意病毒或木马的流量攻击。 防范黑客攻击：智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具，可以防止被扫描。并可有效地解决恶意代码的恶意扫描攻击。 防范MAC欺骗和IP欺骗：智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。 入侵防御：智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护，这样就完成了深层数据包监控，并能阻断应用层攻击。 防范潜在风险：智能防火墙支持包擦洗技术，对IP、TCP、UDP、ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。 综上所述，与传统防火墙相比，智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面，都有广泛的应用价值。 分布式防火墙 概述 美国ATT实验室研究员Steven M.Bellovin在他的论文“分布式防火墙”中首次提出了分布式防火墙(Distributed Firewall，DFW)的概念，给出了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。 分布式防火墙是一种主机驻留式的安全系统，它是以主机为保护对象，它的设计理念是主机以外的任何用户访问都是不可信任的，都需要进行过滤。当然在实际应用中，也不是要求对网络中每对台主机都安装这样的系统，这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。 分布式防火墙基本思想是：安全策略被某种策略语言集中定义，系统管理工具将安全策略分布到每台主机。根据策略和IPSec中发送方的加密校验认证，由受保护的主机来决定接受或拒绝到来的包。如下图所示，在分布式防火墙体系结构中，同时存在着多个防火墙实体，但在逻辑上它们是一个防火墙。 体系结构 分布式防火墙是一种全新的防火墙体系结构，包括边界防火墙、主机防火墙和中心管理三部分。分布式防火墙由中心制定策略，并将策略分发到主机(边界)上执行，主机再上传审计事件到中心。 （1）边界防火墙 在分布式防火墙的体系结构中并没有废弃边界防火墙，因为物理上的边界依然存在，只是减轻了边界防火墙肩上的担子。边界防火墙仍然执行传统防火墙看守大门的任务，但由于它只处理与全网有关的安全问题，规则较少，因而效率较高。策略服务器是整个分布式防火墙的核心，主要包括中心管理接口、策略数据库、审计数据库和加密认证等模块。中心管理接口负责人机交互，包括制定规则。规则的制定是通过使用规则定义语言或图形用户接口完成。管理员可以针对每台机器制定规则，也可以将全网分成若干个域，然后针对每个域制定规则，各个域内使用相同的规则，域外使用不同的规则。 （2）主机防火墙 主机防火墙驻留在主机中，负责策略的实施。在主机防火墙中如果不允许用户干预，则只包含包过滤引擎、上载审计事件的模块、加密模块等，防火墙对用户透明，即用户感觉不到防火墙的存在，用户不能修改规则，也不