Internet防火墙技术综述

加密算法和数字签名技术，除PEM、PGP和Kerberos外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家信息安全和主权，各国有不同的要求。?
　　
　　6．第四代防火墙的抗攻击能力?
　　
　　作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。?
　　
　　6.1抗IP假冒攻击?
　　
　　IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。?
　　
　　6.2抗特洛伊木马攻击?
　　
　　特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。
　　
　　?
　　
　　6.3抗口令字探寻攻击?
　　
　　在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。
　　
　　?第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字的攻击。?
　　
　　6.4抗网络安全性分析?
　　
　　网络安全性分析工具是提供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，SATA软件可以从网上免费获得，InternetScanner可以从市面上购买，这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网络做分析。?
　　
　　6.5抗邮件诈骗攻击?
　　
　　邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。?
　　
　　7．防火墙技术展望?
　　
　　伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：?
　　
　　1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。?
　　
　　2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。?
　　
　　3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开

《Internet防火墙技术综述(第6页)》