物联网中的防火墙技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
物联网中的防火墙技术-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
物联网中的防火墙技术
摘要:随着物联网成为新兴事物,随之而来的安全问题也引人重视。通过对防火墙的研究及分类,阐释了防火墙的原理,从而对防火墙的发展和物联网的建设起积极的建言作用。
关键词:物联网,安全,防火墙
The Internet Connection Firewall of
The Web of things
Abstract:There are security issues with web of things becoming a newly sprouted thing.The article studied on firewall and made a classification,which also explained the principle of firewalls.This aricle aims at giving advices to the developments of firwalls and the construction of the web of things.
Keywords:web of things,seurity,firewall.
0引言
近年来,与物联网有关的相关概念大量在网络和人们对的视野中出现。早在1999年,物联网的概念就已经被提了出来——将生活中的所有物品通过射频识别等信息传感设备与互联网相连,从而实现智能化识别和管理。
物联网把新一代IT技术充分地运用在各行各业之中。具体地说,就是把感应器嵌入或装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中,形成物联网,然后将物联网与现有的互联网整合起来,实现人类社会与物理系统的整合。在这个整合的网络当中,存在能力超级强大的中心计算机群,能够对网络内的人员、机器、设备和基础设施实施实时的管理和控制。在此基础上,人类可以实现更加精细和动态的方式管理生产和生活,达到“智慧”状态,提高资源利用率和生产力水平,改善人与自然间的关系。①
1 物联网的安全问题
物联网的诞生及应用,使得人与物的交互更加方便,给人们带来了诸多便利。然而,在物联网的应用中,如果网络安全没有保障,那么个人隐私、物品信息等随时都可能被泄露。更严重的是,如果网络不安全,那么社会的正常运
行,公共设施的保障就成了空谈。②不可否认,目前的物联网在安全方面的确存在许多问题。花样繁多的病毒入侵、无孔不入的黑客侵袭,都在时时刻刻地威胁着物联网的安全,但也诞生了物联网的防范措施。防火墙便是其中之一。
2 防火墙
所谓“防火墙”指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,计算机流入流出的所有网络通信和数据包均要经过于此,是一种获取安全性方法的形象说法。它使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。③
3 防火墙技术的分类
防火墙使用的基本技术包括:包过滤、代理服务(应用代理、电路级代理、网络地址转换)和状态监视技术。④
(1)包过滤:
包过滤技术是根据流经防火墙的数据包的特征,依据事先定义好的规则,决定是否与许数据包通过的技术。它对数据包进行分析筛选的依据是系统内设置的访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息或它们的组合信息来确定是否允许该数据包通过。
包过滤技术分为静态包过滤和动态包过滤两种。近年来,研究人员在动态包过滤的基础上,又进一步提出了包状态检测技术和深度包检测技术。
A 静态包过滤:
又称简单包过滤,是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配,然后对所接收的每个数据包做允许或拒绝而决定。过滤规则基于数据包报头中的信息,例如源IP地址、目标IP地址、源端口和目的端口等等。
B动态包过滤:
采用动态设置包过滤规则的方法过滤数据包。采用这种技术的防火墙对每一个连接都进行跟踪,动态地决定哪些数据包可以通过,并且可以根据需要动态地在过滤规则中增加或更新条目。
C包状态检测:
继承了包过滤技术的优点,同时摒弃了包过滤技术仅考察数据包的IP地址、协议类型等几个参数,而不关心数据包连接状态的缺点,就是包状态检测。通过建立状态连接表,并将进出网络的数当成一个个的会话,利用状态表跟踪每一个会话状态。因而能提供更完整的对传输层的控制能力。
D深度包检测:
融合了入侵检换和攻击防范能力,通过指纹匹配、启发式技术、异常检测和统计分析等技术来决定如何处理数据包,并可以根据特征检测盒内容过滤来寻找已知的攻击,阻止分布式拒绝服务攻击、病毒传播和异常访问等威胁行为。
(2)代理服务:
在防火墙的设计中引入“代理”的概念是革命性的。“代理”完全阻隔了网络通信流,是的从内部网络发出的数据包经过代理技术处理后,就好像是源于防火墙的外部网卡一样,从而可以达到隐藏内部网络结构的作用。
A 应用层代理:
又称为应用层网关,工作在OSI的最高层——应用层。他通过代理技术参与到一个TCP连接的全过程,其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,在用户层和应用协议层间提供访问控制。
当客户端提出一个请求时,代理程序将核实请求,处理连接请求,并将处理后的请求传递出去,然后接受应答并作处理,最后将处理结果提交给发出请求的客户端。代理程序在外部网络和内部网络通信中起着中间转接的作用。
应用层代理服务器针对不同的网络应用提供不同的处理,例如HTTP代理、FTP 代理等。
B电路层代理:
又称电路级网关,用来在两个通信的终点之间实现数据包的转换。它监视两个主机建立连接时的握手信息,从而判断该会话请求是否合法。显然,电路层代理防火墙将所有跨越防火墙的网络通信链路分成了两段。
(3)状态监视技术:
这是第三代防火墙技术,继承了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口,这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。
4 防火墙的未来:
未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,其中以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPV6,而采用其它方法就不那么灵活。实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。目