1.高级防火墙产品将网关与安全系统结合起来,具有以下技术和功能。
2.双口或三口结构。新一代防火墙产品有两到三个独立的网卡。内外网卡无需IP转换即可串联在内网和外网之间,另一块网卡可以专用于服务器的安全保护。
3.透明访问方法。过去,防火墙要么要求用户登录系统,要么通过SOCKS等库修改客户端的应用程序。新一代防火墙利用了透明代理系统技术,从而降低了固有的安全风险和系统登录的错误概率。
4.灵活的代理系统。代理系统是一个软件模块,它将信息从防火墙的一端传输到另一端。新一代防火墙采用两种代理机制,一种是内网到外网的代理连接,另一种是外网到内网的代理连接。前者通过网络地址转换(NAT)技术解决,后者通过非机密用户自定义代理或机密代理系统技术解决。
5.多级过滤技术。为了保证系统的安全和防护水平,新一代防火墙采用三级过滤措施,并辅以识别手段。在包过滤层面,可以过滤掉所有源路由包和假冒IP源地址;在应用网关级别,它可以通过使用各种网关(如FTP和SMTP)来控制和监控互联网提供的所有通用服务。在电路网关层面,实现内部主机与外部站点的透明连接,严格控制业务的流量。
6.网络地址转换技术(NAT)。新一代防火墙可以利用NAT技术透明地转换所有内部地址,使外网无法了解内网的内部结构。同时,它允许内部网络使用自己定制的IP地址和私有网络。防火墙可以详细记录每台主机的通信,确保每个数据包都发送到正确的地址。
7.对于同时使用NAT的网络,与外网的连接只能由内网发起,大大提高了内网的安全性。NAT的另一个明显用途是解决缺少IP地址的问题。
8.互联网网关技术。由于是在网络中直连,新一代防火墙必须支持用户在互联网上互联的所有业务,同时必须防范互联网业务相关的安全漏洞。因此,它应该能够实现与各种安全应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)的网关功能。).为了确保服务器的安全性,应该通过改变根系统调用(chroot)来物理隔离所有文件和命令。
9.在域名服务方面,新一代防火墙采用两个独立的域名服务器,一个是内部DNS服务器,主要处理内网的DNS信息,另一个是外部DNS服务器,专门用来处理组织提供给互联网的一些DNS信息。
10.在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态网页,但不允许图形或CGI代码在防火墙内部运行。在Finger server中,对于外部访问,防火墙只提供内部用户可以配置的基本文本信息,不提供任何与攻击相关的系统信息。SMTP POP邮件服务器应该处理来自防火墙的所有传入和传出邮件,并使用邮件映射和标头剥离的方法来隐藏内部邮件环境。Ident服务器专门处理用户连接的识别,而网络新闻服务则专门开辟一个磁盘空间用于接收ISP的新闻。