防火墻,防火墻的作用有哪些?

　　防火墻技術(shù)簡(jiǎn)介

　　——Internet的發(fā)展給政府結(jié)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革和開(kāi)放。他們正努力通過(guò)利用Internet來(lái)提高辦事效率和市場(chǎng)反應(yīng)速度，以便更具競(jìng)爭(zhēng)力。通過(guò)Internet，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì)Internet開(kāi)放帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即客戶(hù)、銷(xiāo)售商、移動(dòng)用戶(hù)、異地員工和內(nèi)部員工的安全訪(fǎng)問(wèn);以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的戰(zhàn)壕，而這個(gè)戰(zhàn)壕就是防火墻。

　　——防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為最甚。

　　1.防火墻的概念

　　——防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

　　——在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

　　2.防火墻的功能

　　防火墻是網(wǎng)絡(luò)安全的屏障：

　　——一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類(lèi)型攻擊的報(bào)文并通知防火墻管理員。

　　防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：

　　——通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪(fǎng)問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

　　對(duì)網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控審計(jì)：

　　——如果所有的訪(fǎng)問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪(fǎng)問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

　　防止內(nèi)部信息的外泄：

　　——通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線(xiàn)索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶(hù)的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類(lèi)型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶(hù)正在連線(xiàn)上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

　　——除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過(guò)VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專(zhuān)用通信線(xiàn)路，而且為信息共享提供了技術(shù)保障。

　　3.防火墻的種類(lèi)

　　——防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類(lèi)型，但總體來(lái)講可分為二大類(lèi)：分組過(guò)濾、應(yīng)用代理。

　　——分組過(guò)濾(Packet filtering)：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類(lèi)型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿(mǎn)足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

　　——應(yīng)用代理(Application Proxy)：也叫應(yīng)用網(wǎng)關(guān)(Application Gateway),它作用在應(yīng)用層，其特點(diǎn)是完全阻隔了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專(zhuān)用工作站實(shí)現(xiàn)。

　　4.分組過(guò)濾型防火墻

　　——分組過(guò)濾或包過(guò)濾，是一種通用、廉價(jià)、有效的安全手段。之所以通用，因?yàn)樗会槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式;之所以廉價(jià)，因?yàn)榇蠖鄶?shù)路由器都提供分組過(guò)濾功能;之所以有效，因?yàn)樗芎艽蟪潭鹊貪M(mǎn)足企業(yè)的安全要求。

　　——包過(guò)濾在網(wǎng)絡(luò)層和傳輸層起作用。它根據(jù)分組包的源、宿地址，端口號(hào)及協(xié)議類(lèi)型、標(biāo)志確定是否允許分組包通過(guò)。所根據(jù)的信息來(lái)源于IP、TCP或UDP包頭。

　　——包過(guò)濾的優(yōu)點(diǎn)是不用改動(dòng)客戶(hù)機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。但其弱點(diǎn)也是明顯的：據(jù)以過(guò)濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿(mǎn)足;在許多過(guò)濾器中，過(guò)濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息，不能有效地過(guò)濾如UDP、RPC一類(lèi)的協(xié)議;另外，大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，且管理方式和用戶(hù)界面較差;對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

　　5.應(yīng)用代理型防火墻

　　——應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作 用。同時(shí)也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。

　　6.復(fù)合型防火墻

　　——由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。

　　——屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶(hù)的攻擊。

　　——屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。

　　7.防火墻操作系統(tǒng)

　　——防火墻應(yīng)該建立在安全的操作系統(tǒng)之上，而安全的操作系統(tǒng)來(lái)自于對(duì)專(zhuān)用操作系統(tǒng)的安全加固和改造，從現(xiàn)有的諸多產(chǎn)品看，對(duì)安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進(jìn)行：取消危險(xiǎn)的系統(tǒng)調(diào)用;限制命令的執(zhí)行權(quán)限;取消IP的轉(zhuǎn)發(fā)功能;檢查每個(gè)分組的接口;采用隨機(jī)連接序號(hào);駐留分組過(guò)濾模塊;取消動(dòng)態(tài)路由功能;采用多個(gè)安全內(nèi)核，等等。

　　8.NAT技術(shù)

　　——NAT技術(shù)能透明地對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。

　　——NAT的另一個(gè)顯而易見(jiàn)的用途是解決IP地址匱乏問(wèn)題。

　　9.防火墻的抗攻擊能力

　　——作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。

　　10.防火墻的局限性

　　——存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過(guò)防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶(hù)就可能形成與Internet的直接連接。另外，防火墻很難防范來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。