Internet的發(fā)展給政府結構、企事業(yè)單位帶來了革命性的改革和開放。他們正努力通過利用Internet來提高辦事效率和市場反應速度，以便更具競爭力。通過Internet，企業(yè)可以從異地取回重要數(shù)據(jù)，同時又要面對Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險：即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的"戰(zhàn)壕"，而這個"戰(zhàn)壕"就是防火墻。

防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡為最甚。

1.什么是防火墻?

防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的安全。

2.防火墻能做什么?

防火墻是網(wǎng)絡安全的屏障：

一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

防火墻可以強化網(wǎng)絡安全策略：

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

對網(wǎng)絡存取和訪問進行監(jiān)控審計：

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火墻對內部網(wǎng)絡的劃分，可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內部網(wǎng)絡非常關心的問題。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或專用子網(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

3.防火墻的種類

防火墻技術可根據(jù)防范的方式和側重點的不同而分為很多種類型，但總體來講可分為二大類：分組過濾、應用代理。

分組過濾(Packet filtering)：作用在網(wǎng)絡層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應用代理(Application Proxy)：也叫應用網(wǎng)關(Application Gateway),它作用在應用層，其特點是完全"阻隔"了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。實際中的應用網(wǎng)關通常由專用工作站實現(xiàn)。

4.分組過濾型防火墻

分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網(wǎng)絡服務采取特殊的處理方式;之所以廉價，因為大多數(shù)路由器都提供分組過濾功能;之所以有效，因為它能很大程度地滿足企業(yè)的安全要求。

包過濾在網(wǎng)絡層和傳輸層起作用。它根據(jù)分組包的源、宿地址，端口號及協(xié)議類型、標志確定是否允許分組包通過。所根據(jù)的信息來源于IP、TCP或UDP包頭。

包過濾的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡層和傳輸層，與應用層無關。但其弱點也是明顯的：據(jù)以過濾判別的只有網(wǎng)絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足;在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響;由于缺少上下文關聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議;另外，大多數(shù)過濾器中缺少審計和報警機制，且管理方式和用戶界面較差;對安全管理人員素質要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網(wǎng)關配合使用，共同組成防火墻系統(tǒng)。

5.應用代理型防火墻

應用代理型防火墻是內部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應用層通信流的作 用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統(tǒng)中可用作安全決策的全部信息。

6.復合型防火墻

由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產(chǎn)品。這種結合通常是以下兩種方案。

屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內部網(wǎng)絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內部網(wǎng)絡不受未授權外部用戶的攻擊。

屏蔽子網(wǎng)防火墻體系結構：堡壘機放在一個子網(wǎng)內，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。

7.防火墻操作系統(tǒng)

防火墻應該建立在安全的操作系統(tǒng)之上，而安全的操作系統(tǒng)來自于對專用操作系統(tǒng)的安全加固和改造，從現(xiàn)有的諸多產(chǎn)品看，對安全操作系統(tǒng)內核的固化與改造主?檢查每個分組的接口;采用隨機連接序號;駐留分組過濾模塊;取消動態(tài)路由功能;采用多個安全內核，等等。

8.NAT技術

NAT技術能透明地對所有內部地址作轉換，使外部網(wǎng)絡無法了解內部網(wǎng)絡的內部結構，同時使用NAT的網(wǎng)絡，與外部網(wǎng)絡的連接只能由內部網(wǎng)絡發(fā)起，極大地提高了內部網(wǎng)絡的安全性。

NAT的另一個顯而易見的用途是解決IP地址匱乏問題。

9.防火墻的抗攻擊能力

作為一種安全防護設備，防火墻在網(wǎng)絡中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。

10.防火墻的局限性

存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡內部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡內部的攻擊以及病毒的威脅。

【編輯推薦】

1. 選擇硬件防火墻時你應注意的十件事
2. 深入理解防火墻 有效屏蔽外界的攻擊
3. 下一代防火墻有效應對安全新變化