新型智能防火墙的关键技术及特殊应用.pdf
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 新型 智能 防火墙 关键技术 特殊 应用
- 资源描述:
-
维普资lup:w.cqvip.com
第10卷第3期
上海电机学院学报
ol 10 No. 3
2007年9月
JOURNAL OF SHANGHAI DIANJI UNIVERSITY
Sep.2007
文章编号1671-2730(2007)03-0194-03
新型智能防火墙的关键技术及特殊应用
贾铁军
(上海电机学院电子信息学院,上海200240)
摘要:通过对传统防火墙安全技术及产品的分析,论述了新型智能防火墙功能特点及其关键技
术,指出新型智能防火墙与传统防火墙采用的数据匹配检查技术不同,主要以人工智能识别技术进行访
问控制,不仅可以解决传统防火墙的三大安全问题,而且具有智能化特点更加安全高效,最后概述了新
型智能防火墙有关的特殊应用。
关键词:新型智能防火墙;关键技术;人工智能;网络安全
中图分类号:TP393.08
文献标识码:A
Crucial Techniques and Special Application of New Intelligent Firewall
JIA Tie-jun
School of Electronic Information, Shanghai Dianji University, Shanghai 200240, China)
Abstract: Through the analysis of the traditional firewall safety techniques and products, the pa-
per discusses the functions, characteristics and crucial techniques of the new intelligent firewall
shows the difference between the data matching detection techniques used by the new intelligent fire-
wall an
nd the traditional firewall use and points out that the new intelligent firewall mainly carries on
the access control by the artificial intelligence recongnition technology. The new intelligence firewa
not only can solve three big security problemas of the traditional firewall, but also has the intellectual
ized characteristics to be safer and highly effective. Finally the article outlines the corresponding spe
cial applications of the new intelligent firewall
Key words: new intelligence firewall; crucial techniques; artificial intelligence; network security
防火墙作为网络安全访问控制关键技术之
假设,如果防火墙拒绝某些数据包通过,则一定是安
主要以软件形式在普通计算机之上运行或以固件形全的。而实际上,防火墙根本无法区分、判别通过的
式设计在路由器之中,常见的主要有3种:包(分数据包是否正常服务与恶意,还要依赖管理员的经
组)过滤防火墙、应用代理服务器和状态监视器。防验与判断,因此,防火墙技术本身并不能切实解决其
火墙需要以安全策略设定保护范围,并以防火墙作网络的安全问题2。传统防火墙的关鍵问题在于黑
为唯一出口,由防火墙来过滤数据包。传统防火墙客已经研究出绕过防火墙策略的方法。利用端口扫
收稿日期:2007-07-03
作者简介:贾铁军(1957~),男,教授,专业方向:人工智能及计算机网络安全。
维普资hup:/www.CCIP.com
2007年第3期
贾铁军:新型智能防火墙的关鍵技术及特殊应用
195
描器的探测发现防火墙开放端口、利用攻击和探测匹配检査所需要的大量繁杂计算,高效发现网络行
程序通过防火墙开放端口穿越防火墙、利用木马程为的特征值,直接进行访间控制。
序可以从防火墙的可信任网络发起攻击。最近推出
2)智能防火墙成功地解决了普遍存在的拒绝
种新型智能防火墙,可以加强放行数据的安全性,服务攻击问题、病毒传播问题和高级应用入侵的
并在保证网络安全的同时保证业务系统正常运行。为,代表着防火墙的主流发展方向。新一代的智能
防火墙从技术及产品开发经历了5个阶防火墙自身的安全性较传统的防火墙有很大的提
段326。第一代防火墙技术与路由器相继问世,主高,在特权最小化、系统最小化、内核安全、系统加
要采用包过滤技术。1989年贝尔实验室推出了第固、系统优化和网络性能最大化等方面,与传统防火
代的电路层防火墙,同时提出了第三代应用(代墙相比都有质的创新和改变。
理)层防火墙的初步结构。1992年第四代防火墙是
3)智能防火墙执行全访问的访问控制,而不
基于动态包过滤技术的防火墙,后成为状态监视技是简单地进行过滤策略。基于对行为的识别,可以
术。1998年第五代防火墙是一种自适应代理技术,根据人、时间、地点(网络层)和行为OSI--Open
将代理类型的防火墙赋予了全新意义,其中高级应 Systems Interconnect7层(如图1所示)异动性来
用代理的研究,克服了速度和安全性之间的矛盾。识别执行访问控制,大大增强了防火墙的安全性,更
前五代防火墙技术共同的特点:采用逐一匹配方法,具有智能性。
计算量过大。包过滤是对网络协议包进行匹配检
防火墙
查,而状态检测包过滤除了对包进行匹配检査外,还
应用层网关级
表示层
要对状态信息进行匹配检査,应用代理对应用协议
会话层
和应用数据进行匹配检査。因此,它们都有一个共
内部
传输层电路级
外部
网络
网络层路由器级
网络
同的缺陷,安全性越高,需要检査的内容越多,其效
数据链路层网桥级
率越低,从而使防火墙的安全性与效率成反比32
物理层中继器级
传统的防火墙根本无法解决网络系统存在的3
安全区域一防火墙系统一十非保护区
大安全问题:网络攻击、病毒传播和垃圾电子邮件。
图1网络防火墙与OI模型
Fig. I Network firewall and OSI model
其主要原因:①传统防火墙计算能力的限制,传统
的防火墙依赖高强度的检査,检査强度越高计算量
(4)智能防火墙的高可用性也是一大特点。支
越大。②传统防火墙访问控制机制为一简单的过持最新型国际RFC( Request for Comments)双机热
滤机制,只是一个简单的条件过滤器,不具有智能功备标准,支持流量分担、并行防火墙、双机容错、负载
能,无法解决复杂的攻击。③传统的防火墙无法识均衡及多出口路由。流量分担和并行防火墙技术,
别善意与恶意的行为。这些特征决定了传统的防火对实现线速防火墙具有重大的现实意义
墙根本无法解决恶展开阅读全文
文档分享网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文