【文章內容簡介】 過的，防火墻 一般被放 置于公共網(wǎng)絡 (如 Inter)入 口處 ， 它 的功能 又 相當于 交通警察。 防火墻 的作用是確保一個 系統(tǒng)的內部 網(wǎng)絡與Inter 之間 所有的通信均符合該 內部網(wǎng)絡的安全方針， 它能實施安全路障并為管理員提供下列問題的答案： (1) 當前 的 網(wǎng)絡 被 誰在使用 ； (2) 使用者 在網(wǎng)上做 了些 什么 ； 計算機 計算機 應用網(wǎng)關 Packet Filter Router Inter 5 (3) 使用者 什么時間使用過網(wǎng)絡 ； (4) 使用者 上網(wǎng)時去了 那些地方 (網(wǎng)站 )； (5) 有 誰 想 要上網(wǎng)但沒有成功 上網(wǎng)的 ； (6) 保存相關的日志記錄。 在 本質上， 防火墻 被認為是兩個網(wǎng)絡 之 間的隔斷，只允許 防火墻過濾 選定的 某 些形 式的通信 或信息 通過。 防火墻 另外一個重要 特性 是它 具有 自身抵抗攻擊的能力： 防火墻 系統(tǒng)本身應 不易被 入侵攻擊 ，因為攻入 防火墻 就給攻擊者 提供了 進入內部 網(wǎng)絡 一個立足點。所以 從安全需求來看，理想的 防火墻 應具備以下功能： (1) 能夠分析進出網(wǎng)絡的數(shù)據(jù) ，管理和控制網(wǎng)絡流量； (2) 能夠通過識別、認證和授權對進出網(wǎng)絡的行為進行訪問控制 ； (3) 能夠封堵安全策略禁止的業(yè)務 ； (4) 能夠審計跟蹤通過的信息內容和活動 ； (5) 能夠對網(wǎng)絡入侵行為進行檢測和報警 ； (6) 能夠對需要保密的信息進行授權的加密和解密 ； (7) 能 夠對接收到的數(shù)據(jù)進行完整性校驗 ； (8) 能夠記錄和報告事件。 下面是一個防火墻在網(wǎng)絡中的幾個具體作用 。 防火墻是網(wǎng)絡安全的屏障 防火墻 作為阻塞點 和 控制點 ，首先應 能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務 來 降低 各種 風險。 因為 只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網(wǎng)絡。防火墻同時 還能夠 保護網(wǎng)絡免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文 ， 并 及時 將相關的情況報告防火墻管理員。 防火墻可以強化網(wǎng)絡安全策略 通過以防火墻為中心的安全方案配置，能將所有安全軟件 和安全認證等 配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更 加方便和經濟 。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個6 主機上，而集中在防火墻一身上 ，從而提高了便利性 。 對網(wǎng)絡存取和訪問進行監(jiān)控審計 如果所有的訪問都經過防火墻，那么，防火墻就能記 錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。 防止內部信息的外泄 通過利用防火墻對內部網(wǎng)絡的劃分，可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。 另外 ，隱私是內部 網(wǎng)絡非常關心的問題，一個內部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網(wǎng)絡的某些安全漏洞。使用防火墻就可以 有效 隱蔽那些透漏內部細節(jié)如 Finger， DNS 等服務。 Finger 顯示了主機的所有用戶的注冊名 和真實的姓名 ， 用戶的 最后登錄時間和使用 shell 類型等。 而 Finger 顯示的信息非常容易被攻擊者所獲悉。攻擊 者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線 互聯(lián)網(wǎng) ，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻同樣 可通過 阻塞有關內部網(wǎng)絡中的DNS 信息，這樣 一臺主機的域名和 IP 地址就不會被外界所 輕易獲取了 。 防火墻除了具有 安全作用 之外， 還具有其他方面的作用。例如 防火墻還支持具有Inter 服務特性的企業(yè)內部網(wǎng)絡技術體系 VPN（虛擬專用網(wǎng)絡） 。 可以 通過 VPN，將企事業(yè)單位在地域上分布在全世界各地的 LAN 或專用子網(wǎng)，有機地聯(lián)成一個整體。 這樣 不僅省去了專用通信線路，而且為信息共享提供了技術保障。 通過選擇優(yōu)秀的 防火墻 產品，制定合理 恰當 的安全策略，內部網(wǎng)絡可以在很大程度上避免受到 入侵和 攻擊。但是需要指出的是，當前流行的許多錯誤概念和觀點經常誤導 計算機 用戶。那就是 過分夸大某些 防火墻 產品的功能，認為所有的網(wǎng)絡安全問題 都 可以通過簡單地配置 防火墻 來 解決 ，而事實上網(wǎng)絡安全問題是層出不窮的，網(wǎng)絡黑客的操作不具有 任何 特征，攻擊入侵手段無可預測 。 所以 當單位 或者個人用戶 將其 與 網(wǎng)絡互聯(lián)時，防火墻 是網(wǎng)絡安全的重要一環(huán)，但并非全部 ， 許多危險是在 防火墻 能力范圍之外的。 通過學習，筆者在 以 下的內容也將會介紹如何選擇一款 適合用戶使用 的防火墻，并且在選7 擇防火墻時應該注意的事項。 防火墻技術發(fā)展 的 簡介 防火墻的技術的演變和發(fā)展，到目前為止， 主要有 包過濾防火墻、狀態(tài)檢測防護墻和深度檢測防火墻三 種類型 ，如圖 23 所示。 圖 23 防火墻技術發(fā)展 包過濾防火墻 （ Packet Filter Firewall） 包過濾防火墻的安全方式是 IP 地址檢驗。在互聯(lián)網(wǎng)上 ,所有的信息都是以包的形式傳輸 ,包括發(fā)送者的 IP 地址和接收者的 IP 地址。網(wǎng)絡上的路由器會讀取每一個信息包中接收方的 IP 地址 ， 然后選擇不同的通信線路將這些信息包發(fā)送到目的地。所有的信息包抵達目的地后再 被 重新組裝還原。這時位于接收方網(wǎng)絡出口的包過濾式防火墻會檢查所有信息包中發(fā)送方的 IP 地址、接收方的 IP 地址、 TCP 端口、 TCP 鏈路狀態(tài) ,并按照 管理員事先設定的過濾規(guī)則對 信息包 進行過濾篩選 。那些不符合規(guī)定的 IP 地址會被防火墻過濾掉 ,由此 來 保證網(wǎng)絡系統(tǒng)的安全。這是一種基于網(wǎng)絡層的安全技術 ,對于應用層上的黑客行為則無能為力 ，需要運用其他技術才能夠防御 。 狀態(tài)檢測防火墻（ Stateful Inspection Firewall） 狀態(tài)檢測防火墻出現(xiàn)，并 很快 成為市場上的絕對領導者，主要有以下原因，包括性能，部署能力和擴展能力。 這些 在 90 年代中期得到了迅速發(fā)展。 1993 年， 由 Check Point公司成功推出了世界上第一臺商用的狀態(tài)檢測防 火墻產品。 8 狀態(tài)檢測防火墻工作于 OSI 模型的 傳輸 層，與包過濾防火墻相比，狀態(tài)檢測防火墻判斷允許還是禁止數(shù)據(jù)流的依據(jù)也是源 IP 地址 、 目的 IP 地址 、 源端口 、 目的端口和通訊協(xié)議等。 但 與包過濾防火墻不 同的是，狀態(tài)檢測防火墻是基于會話信息做出決策的，而不是 基于 包信息 。 狀態(tài)檢測防火墻驗證 要通過 的數(shù)據(jù)包時，判斷當前數(shù)據(jù)包是否符合先前允許的會話，并在狀態(tài)表中保存這些信息。狀態(tài)檢測防火墻還能阻止基于異常 TCP 的網(wǎng)絡層的攻擊行為。網(wǎng)絡設備比如路由器，會將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀，因此狀態(tài)檢測設備，通常需要進行 IP 數(shù)據(jù)幀的重組 ，按其原來順序組裝成完整的數(shù)據(jù)包 ，然后再進行其他操作 。 深度檢測防火墻（ Deep Inspection Firewall） 深度檢測防火墻， 是 將狀態(tài)檢測和應用防火墻技術結合在一起，以處理應用程序的流量， 并 防范目標系統(tǒng)免受各種復雜的 網(wǎng)絡 攻擊 的一種防火墻技術 。 它 結合了狀態(tài)檢測的所有功能，深度檢測防火墻能夠對數(shù)據(jù)流量迅速完成網(wǎng)絡層級別的分析，并做出訪問控制 決策 ；對于允許 通過 的數(shù)據(jù)流，根據(jù)應用層級別的信息，對負載做出進一步的 判斷和決策。深度檢測防火墻深入分析了 TCP 或 UDP 數(shù)據(jù)包的內容，以便對負載有 總體 的認識。 3 防火墻基礎和分類 防火墻分類 防火墻有不同的功能、特性和尺寸。通常認為防火墻是專門安置在網(wǎng)絡中的一種系統(tǒng)或者應用來分隔“內部”網(wǎng)絡和“外部”的 Inter。很多家庭或個人計算機網(wǎng)絡用一種基于應用的設備來提供寬帶，而這些設備內建立了防火墻。一般來說，防火墻可以被劃分 為 以下兩種通用類型中的一種： (1) 桌面或者個人電腦防火墻； (2) 網(wǎng)絡防火墻。 這兩種類型的防火墻最主要的區(qū)別可以簡單地認為是防火墻所保 護的主機 數(shù)量不同。網(wǎng)絡防火墻還有一些主要的子類型，包括以下幾種： (1) 報文過濾防火墻（狀態(tài)化和非狀態(tài)化）； (2) 電路級別網(wǎng)關； (3) 應用級別網(wǎng)關。 以上幾種防火墻描述了通常的防火墻歸類，然而很多網(wǎng)絡防火墻同時屬于上 述類型中的多種，或者具有以上幾種防火墻的功能，很多實施的防火墻的特征可能不僅9 僅屬于一種類型。 圖 31 防火墻分類 如圖 31 顯示了目前可用的各種防火墻比較詳細的分類。雖然本圖沒有提供每種類型防火墻不同功能的全部細節(jié)，但是列出 了兩種通常使用的主要的防火墻分類：桌面 /個人電腦防火墻和網(wǎng)絡防火墻。 借鑒于這些可用的防火墻分類，計算機用戶就可以有一個確定的時間去準確認定什么樣的防火墻符合他們的需求，從其中選擇一款。很多時候，價格是在用戶購買防火墻需要考慮的一個重要因素，但是如果知道了哪種類型的防火墻適合自己使用，并且這些防火墻提供的哪些功能能幫助用戶，將會在最后確定購買的時候讓計算機用戶更加心中有數(shù)，不用擔心選擇了錯誤的防火墻。 個人防火墻 個人電腦防火墻被設計用來保護一個單一主機，避免接受未經授權的接入訪問。這種防火墻在 近年來發(fā)展迅速，使得現(xiàn)在的防火墻集成增加了一些格外的功能，例如反病毒的軟件監(jiān)控和一些情況下的分析行為和入侵檢測，用來保護設備和系統(tǒng)。一些比較流行的商業(yè)個人防火墻內置了 BlackICE 和 Cisco 安全代理。在 SOHO 的市場中，趨勢科技PCcillin、 ZoneAlarm 和 Symantec 公司的防火墻被比較廣泛地使用。微軟的因特網(wǎng)連接防火墻也是屬于大量廣泛使用的個人防火墻，因為它的安裝是基于運行打上了 SP2 補丁報文 過濾防火墻 報文過 濾防火墻 狀態(tài) 防火墻 個人防火墻 網(wǎng)絡防火墻 防火墻 電路級 別網(wǎng)關 應用級 別網(wǎng)關 NAT 防火墻 狀態(tài) 防火墻 10 包的 WindowsXP 設備。 盡管個人防火墻 由于 能給終端用戶提供保護的同時控制策略而在 SOHO 和家庭 用戶中的口碑非常好，但是對于企業(yè)公司來說，遇到的問題往往更加的復雜。也許企業(yè)用戶最需要關心的個人防火墻有提供集中式策略控制的機制。在企業(yè)級別的環(huán)境中，集中式策略控制對于最小化管理負擔是非常重要的。什么是管理負擔？當在一個組織中的防火墻數(shù)量越來越多，網(wǎng)絡管理員必須對每一臺防火墻的配置和監(jiān)控都非常注意。因此，防火墻越來越多的話，不讓對這些防火墻的管理變得非常繁瑣是十分重要的。通過集中式策略控制和監(jiān)控，很多廠商可以非常簡單地正確地來配置防火墻策略和實施事件監(jiān)控。 網(wǎng)絡防火墻 顧名思義，網(wǎng)絡防火墻被設計 來保護整個網(wǎng)絡免受外部網(wǎng)絡的攻擊。它 包羅 兩種主要的形式：一種專門的應用或者是安裝在主機操作系統(tǒng)桌面的一套防火墻軟件工具?；趹玫木W(wǎng)絡防火墻包括目前比較流行的 Cisco PIX 防火墻、 Cisco ASA， Juniper 的NetScreen 防火墻、 Nokia 防火墻和 Symantec 的企業(yè)版防火墻等?；谲浖姆阑饓Πū容^流行的 Check Point 的 Firewall1 NG 和 NGX 防火墻、微軟的 ISA 服務器、 Linux的 IPTables 等。 很多網(wǎng)絡防火墻提供給企業(yè)用戶在防火墻系統(tǒng)中最大的伸縮性和保護性能 。這些防火墻在過去的幾年中增加了很多新的特性和功能，比如說線路內沖突檢測和避免機制，就像虛擬專用網(wǎng)（ VPN）在 LAN 到 LAN 的 VPN 和遠程用戶接入 VPN 中提供的一樣。在網(wǎng)絡防火墻中需要介紹的另一種特性是深度報文檢查能力。防火墻可以不僅僅通過第三層或者第四層信息去標識流量請求，還可以通過研究應用數(shù)據(jù)去確定怎樣捆綁流量最好。這種在防火墻設計和功能上的改進引導了新的防火墻產品的發(fā)展，那就是集成的防火墻，這將在以后的內容中介紹到。 防火墻產品 從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件 類 防火墻和 應用 類 防火墻以及 綜合類防火墻。 現(xiàn)在市面上各種不同的防火墻產品是多不勝舉，本節(jié)中主要介紹比較三種基本的物理防火墻：基于軟件的防火墻、基于應用的防火墻和基于集成的綜合防火墻。基于軟件的防火墻，就如前面所提及到的，基本上是運行在某商業(yè)化操作系統(tǒng)之上，如我們一般經常用到的微軟的 Windows 系統(tǒng)?；趹玫姆阑饓t是一種為實現(xiàn)某種目的而設計出來11 的硬件設備，將過濾和檢查程序內嵌于其硬件中定制的或者穩(wěn)定的操作系統(tǒng)之中。這一類的防火墻包括 Cisco 公司的 PIX 防火墻產品和 Juniper 的 NetScreen 防火墻等等。最后要 介紹的是基于綜合