防火墙的主要技术及实现
防火墙分类1 如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 第一种:软件防火墙 软 件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就 像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙, 需要网管对所工作的操作系统平台比较熟悉。 第二种:硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二 字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是 说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和 FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 第三种:芯片级防火墙 芯 片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂 商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。 (1). 包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。 包 过滤、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理,适用于所有网络服务;之所以廉价,是因 为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。 ●第一代静态包过滤类型防火墙 这 类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行 制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 ●第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 包 过滤,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层 的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文 关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份 进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此, 过滤器通常是和应用网关配合使用,共同组成防火墙系统。 2007-7-13 19:32 回复 激情小呆 1位粉丝 2楼(2). 应用代理(Application Proxy)型 应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。 在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。 第一代应用网关(Application )型防火墙 这 类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样, 从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 第二代自适应代理(Adaptive proxy)型防火墙 它 是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙 的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。 在“自适应代理服务器”与 “动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以 了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规 则,满足用户对速度和安全性的双重要求。 代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。 另 外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过 后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击。 代理 防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的 网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。 防火墙分类3 从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。 这 种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算 机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过 滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要 具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
坚持科技创新的措施和途径是什么
为什么找我回答呢?找了点资料一是创新观念.首先,要充分重视基础研究.21世纪科学与技术的发展趋势是互相融合,呈现出“科学技术化,技术科学化”的明显特点,科学与技术、基础研究和应用开发之间的关联越来越紧密.基础研究作为自主创新的源头,决定着技术创新.谁会想到现在无处不在的计算机、互联网的技术基础是源于20世纪初发现的狭义相对论和量子力学,而且发展如此之快.正如李政道先生所说:“只有重视基础科学研究,才能永远保持自主创新的能力.谁重视了基础科学研究,谁就掌握了主动权,就能自主创新.”因此,研究型大学要发挥基础研究的优势,努力提高原始性创新与知识创新能力,为国家自主创新体系建设打下坚实的基础.其次,要重视结合国家目标导向的研究工作.研究型大学是一个国家增强核心竞争力的中坚力量,因此,它们在进行科学研究时,必须紧紧围绕国家创新体系建设的需要,把个人自由探索与国家目标导向研究结合起来,积极推动基础研究成果向应用性转化,不断提高国家的自主创新能力.在这个方面,南京大学一直是极为重视的.南京大学在巩固并加强基础研究的基础上,围绕“如何构建知识与技术创新体系”在全校范围展开了大讨论,明确了“基础研究与应用研究、个人自由探索与国家目标导向研究同等重要”的理念与目标,并把构建南京大学“知识创新体系”、“技术创新体系”和“人才培养创新体系”作为学校“十一五”规划三大战略目标来抓.二是创新机制.一方面是以“985二期”工程为契机,创新学科与科研组织管理模式,搭建研究型大学多学科交叉与科技创新平台.这些年来,南京大学在这方面进行了积极探索.“211工程”建设期间,根据现代学科发展趋势与本校学科发展特点,建设学科群,加强学科交叉与融合;“985工程”一期,又在国际科技前沿领域着力选择少数几个突破口,在全国高校率先设立“学科特区”,以形成局部优势,促进学科交叉和新兴学科成长. “学科特区”创立全新的管理机制,遵循国际惯例,采用所长全面负责制,在用人、分配等方面有充分的自.经过几年的发展,这几个“学科特区”都取得了不少成果,显示了旺盛的生命力和突出的创新能力.以分子医学研究所为例,成立六年以来,共获国家自然科学二等奖1项;发表SCI论文23篇,其中一篇发表在影响引子大于12的刊物《循环》上;承担国家自然科学基金等重要项目24项,经费达4877万元,申请专利18项;承担7个一类新药和3个二类新药的研发工作;3人获聘教育部“长江学者”特聘教授,2人获国家杰出青年基金.另一方面是在管理机制上,以人为本,建立和完善现代大学制度,以制度创新推动研究型大学的自主创新.比如改革学校管理体制,进一步厘清校院系三级的权力分配;转变学校行政职能,加强学术权力在学校管理中的作用;加快教师评聘制度改革,逐步建立与国际接轨的教师评聘与人才评价机制,并实行人才评聘多元化标准,等等.创新是研究型大学的精神内核,而制度建设则是保障研究型大学持续创新的前提.大师云集、英才辈出、硕果累累,不是急功近利的改革措施和行政命令能催化出来的,而是完善现代大学制度、以人为本的产物.三是创新队伍.人才是自主创新的主体,是自主创新的第一资源.建立一支高水平的教师队伍和若干高水平的学术创新团队,乃是决定研究型大学自主创新能力的关键.南京大学历年来一直坚持以“学科建设为龙头,队伍建设为核心”的办学思想.在队伍建设方面,主要采取了如下措施:改革教师评聘制度,短期考核与长期评定相结合,质量与数量相结合;引进优秀人才,特别重视从海外引进团队.到目前为止,从海外引进了近200名优秀人才;重视学校现有人才的培养,特别重视培养中青年学术骨干,学校建立了长期稳定的人才培养机制,并努力为他们提供一个适宜的成长环境;强调尊重人才,人才自重,提倡竞争、和谐、有序、协作的学术氛围.这些措施的实行不仅使南京大学建立了一支具有较高水平的教师队伍,而且还催生了若干创新团队,他们已经成为学校自主创新的骨干力量.在南京大学现有的 1700多名专任教师中,就有30名院士,42名“长江学者”特聘教授,75名国家杰出青年基金获得者,4名国家级教学名师,教师获得博士学位的比例达 51%.与此同时,南京大学特别重视学术团队建设,创立“大师+团队”模式,目前已经拥有5个国家自然科学基金委遴选的“优秀创新研究群体”.以凝聚态物理学术团队为例,该研究群体目前有5位院士,9位“长江学者”特聘教授,11位国家杰出青年基金获得者.优秀的学术团队催生了一系列创新成果,近几年来该团队有4篇论文发表在“Science”和“Nature”上;5项科研成果获国家自然科学二等奖;1项科研成果入选高校十大科技进展;3篇博士论文获全国优秀博士论文.四是创新环境.环境创新是维系和促进自主创新的有力保障,它包括创新政策、法律法规、文化等软环境;信息网络、科研设施等硬环境;以及积极参与国际竞争合作的外部环境.南京大学这几年为科技自主创新创建一个较为良好的内外部环境做了大量工作:根据国家自主创新体系总体布局和学校学科发展特点,制订了学校自主创新近期和远期规划:在政策制定上优先考虑促进自主创新的源头——基础科学研究、自主创新的核心——创新人才的选拔任用等方面;加强创新文化建设,努力营造和谐包容的文化氛围,鼓励勇于创新、大胆质疑、宽容失败、敢为人先的拼搏精神.在这些指导思想下,南京大学 SCI收录的论文数和被引用论文数一直名列全国高校前茅.2000年以来,共获得国家自然科学二等奖10项,这在全国高校中是独一无二的.
