【文章內(nèi)容簡(jiǎn)介】 過(guò)的，防火墻 一般被放 置于公共網(wǎng)絡(luò) (如 Inter)入 口處 ， 它 的功能 又 相當(dāng)于 交通警察。 防火墻 的作用是確保一個(gè) 系統(tǒng)的內(nèi)部 網(wǎng)絡(luò)與Inter 之間 所有的通信均符合該 內(nèi)部網(wǎng)絡(luò)的安全方針， 它能實(shí)施安全路障并為管理員提供下列問(wèn)題的答案： (1) 當(dāng)前 的 網(wǎng)絡(luò) 被 誰(shuí)在使用 ； (2) 使用者 在網(wǎng)上做 了些 什么 ； 計(jì)算機(jī) 計(jì)算機(jī) 應(yīng)用網(wǎng)關(guān) Packet Filter Router Inter 5 (3) 使用者 什么時(shí)間使用過(guò)網(wǎng)絡(luò) ； (4) 使用者 上網(wǎng)時(shí)去了 那些地方 (網(wǎng)站 )； (5) 有 誰(shuí) 想 要上網(wǎng)但沒(méi)有成功 上網(wǎng)的 ； (6) 保存相關(guān)的日志記錄。 在 本質(zhì)上， 防火墻 被認(rèn)為是兩個(gè)網(wǎng)絡(luò) 之 間的隔斷，只允許 防火墻過(guò)濾 選定的 某 些形 式的通信 或信息 通過(guò)。 防火墻 另外一個(gè)重要 特性 是它 具有 自身抵抗攻擊的能力： 防火墻 系統(tǒng)本身應(yīng) 不易被 入侵攻擊 ，因?yàn)楣ト?防火墻 就給攻擊者 提供了 進(jìn)入內(nèi)部 網(wǎng)絡(luò) 一個(gè)立足點(diǎn)。所以 從安全需求來(lái)看，理想的 防火墻 應(yīng)具備以下功能： (1) 能夠分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù) ，管理和控制網(wǎng)絡(luò)流量； (2) 能夠通過(guò)識(shí)別、認(rèn)證和授權(quán)對(duì)進(jìn)出網(wǎng)絡(luò)的行為進(jìn)行訪問(wèn)控制 ； (3) 能夠封堵安全策略禁止的業(yè)務(wù) ； (4) 能夠?qū)徲?jì)跟蹤通過(guò)的信息內(nèi)容和活動(dòng) ； (5) 能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)和報(bào)警 ； (6) 能夠?qū)π枰Ｃ艿男畔⑦M(jìn)行授權(quán)的加密和解密 ； (7) 能 夠?qū)邮盏降臄?shù)據(jù)進(jìn)行完整性校驗(yàn) ； (8) 能夠記錄和報(bào)告事件。 下面是一個(gè)防火墻在網(wǎng)絡(luò)中的幾個(gè)具體作用 。 防火墻是網(wǎng)絡(luò)安全的屏障 防火墻 作為阻塞點(diǎn) 和 控制點(diǎn) ，首先應(yīng) 能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù) 來(lái) 降低 各種 風(fēng)險(xiǎn)。 因?yàn)?只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí) 還能夠 保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文 ， 并 及時(shí) 將相關(guān)的情況報(bào)告防火墻管理員。 防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件 和安全認(rèn)證等 配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更 加方便和經(jīng)濟(jì) 。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)6 主機(jī)上，而集中在防火墻一身上 ，從而提高了便利性 。 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記 錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 防止內(nèi)部信息的外泄 通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。 另外 ，隱私是內(nèi)部 網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以 有效 隱蔽那些透漏內(nèi)部細(xì)節(jié)如 Finger， DNS 等服務(wù)。 Finger 顯示了主機(jī)的所有用戶的注冊(cè)名 和真實(shí)的姓名 ， 用戶的 最后登錄時(shí)間和使用 shell 類型等。 而 Finger 顯示的信息非常容易被攻擊者所獲悉。攻擊 者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線 互聯(lián)網(wǎng) ，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻同樣 可通過(guò) 阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS 信息，這樣 一臺(tái)主機(jī)的域名和 IP 地址就不會(huì)被外界所 輕易獲取了 。 防火墻除了具有 安全作用 之外， 還具有其他方面的作用。例如 防火墻還支持具有Inter 服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN（虛擬專用網(wǎng)絡(luò)） 。 可以 通過(guò) VPN，將企事業(yè)單位在地域上分布在全世界各地的 LAN 或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。 這樣 不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。 通過(guò)選擇優(yōu)秀的 防火墻 產(chǎn)品，制定合理 恰當(dāng) 的安全策略，內(nèi)部網(wǎng)絡(luò)可以在很大程度上避免受到 入侵和 攻擊。但是需要指出的是，當(dāng)前流行的許多錯(cuò)誤概念和觀點(diǎn)經(jīng)常誤導(dǎo) 計(jì)算機(jī) 用戶。那就是 過(guò)分夸大某些 防火墻 產(chǎn)品的功能，認(rèn)為所有的網(wǎng)絡(luò)安全問(wèn)題 都 可以通過(guò)簡(jiǎn)單地配置 防火墻 來(lái) 解決 ，而事實(shí)上網(wǎng)絡(luò)安全問(wèn)題是層出不窮的，網(wǎng)絡(luò)黑客的操作不具有 任何 特征，攻擊入侵手段無(wú)可預(yù)測(cè) 。 所以 當(dāng)單位 或者個(gè)人用戶 將其 與 網(wǎng)絡(luò)互聯(lián)時(shí)，防火墻 是網(wǎng)絡(luò)安全的重要一環(huán)，但并非全部 ， 許多危險(xiǎn)是在 防火墻 能力范圍之外的。 通過(guò)學(xué)習(xí)，筆者在 以 下的內(nèi)容也將會(huì)介紹如何選擇一款 適合用戶使用 的防火墻，并且在選7 擇防火墻時(shí)應(yīng)該注意的事項(xiàng)。 防火墻技術(shù)發(fā)展 的 簡(jiǎn)介 防火墻的技術(shù)的演變和發(fā)展，到目前為止， 主要有 包過(guò)濾防火墻、狀態(tài)檢測(cè)防護(hù)墻和深度檢測(cè)防火墻三 種類型 ，如圖 23 所示。 圖 23 防火墻技術(shù)發(fā)展 包過(guò)濾防火墻 （ Packet Filter Firewall） 包過(guò)濾防火墻的安全方式是 IP 地址檢驗(yàn)。在互聯(lián)網(wǎng)上 ,所有的信息都是以包的形式傳輸 ,包括發(fā)送者的 IP 地址和接收者的 IP 地址。網(wǎng)絡(luò)上的路由器會(huì)讀取每一個(gè)信息包中接收方的 IP 地址 ， 然后選擇不同的通信線路將這些信息包發(fā)送到目的地。所有的信息包抵達(dá)目的地后再 被 重新組裝還原。這時(shí)位于接收方網(wǎng)絡(luò)出口的包過(guò)濾式防火墻會(huì)檢查所有信息包中發(fā)送方的 IP 地址、接收方的 IP 地址、 TCP 端口、 TCP 鏈路狀態(tài) ,并按照 管理員事先設(shè)定的過(guò)濾規(guī)則對(duì) 信息包 進(jìn)行過(guò)濾篩選 。那些不符合規(guī)定的 IP 地址會(huì)被防火墻過(guò)濾掉 ,由此 來(lái) 保證網(wǎng)絡(luò)系統(tǒng)的安全。這是一種基于網(wǎng)絡(luò)層的安全技術(shù) ,對(duì)于應(yīng)用層上的黑客行為則無(wú)能為力 ，需要運(yùn)用其他技術(shù)才能夠防御 。 狀態(tài)檢測(cè)防火墻（ Stateful Inspection Firewall） 狀態(tài)檢測(cè)防火墻出現(xiàn)，并 很快 成為市場(chǎng)上的絕對(duì)領(lǐng)導(dǎo)者，主要有以下原因，包括性能，部署能力和擴(kuò)展能力。 這些 在 90 年代中期得到了迅速發(fā)展。 1993 年， 由 Check Point公司成功推出了世界上第一臺(tái)商用的狀態(tài)檢測(cè)防 火墻產(chǎn)品。 8 狀態(tài)檢測(cè)防火墻工作于 OSI 模型的 傳輸 層，與包過(guò)濾防火墻相比，狀態(tài)檢測(cè)防火墻判斷允許還是禁止數(shù)據(jù)流的依據(jù)也是源 IP 地址 、 目的 IP 地址 、 源端口 、 目的端口和通訊協(xié)議等。 但 與包過(guò)濾防火墻不 同的是，狀態(tài)檢測(cè)防火墻是基于會(huì)話信息做出決策的，而不是 基于 包信息 。 狀態(tài)檢測(cè)防火墻驗(yàn)證 要通過(guò) 的數(shù)據(jù)包時(shí)，判斷當(dāng)前數(shù)據(jù)包是否符合先前允許的會(huì)話，并在狀態(tài)表中保存這些信息。狀態(tài)檢測(cè)防火墻還能阻止基于異常 TCP 的網(wǎng)絡(luò)層的攻擊行為。網(wǎng)絡(luò)設(shè)備比如路由器，會(huì)將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀，因此狀態(tài)檢測(cè)設(shè)備，通常需要進(jìn)行 IP 數(shù)據(jù)幀的重組 ，按其原來(lái)順序組裝成完整的數(shù)據(jù)包 ，然后再進(jìn)行其他操作 。 深度檢測(cè)防火墻（ Deep Inspection Firewall） 深度檢測(cè)防火墻， 是 將狀態(tài)檢測(cè)和應(yīng)用防火墻技術(shù)結(jié)合在一起，以處理應(yīng)用程序的流量， 并 防范目標(biāo)系統(tǒng)免受各種復(fù)雜的 網(wǎng)絡(luò) 攻擊 的一種防火墻技術(shù) 。 它 結(jié)合了狀態(tài)檢測(cè)的所有功能，深度檢測(cè)防火墻能夠?qū)?shù)據(jù)流量迅速完成網(wǎng)絡(luò)層級(jí)別的分析，并做出訪問(wèn)控制 決策 ；對(duì)于允許 通過(guò) 的數(shù)據(jù)流，根據(jù)應(yīng)用層級(jí)別的信息，對(duì)負(fù)載做出進(jìn)一步的 判斷和決策。深度檢測(cè)防火墻深入分析了 TCP 或 UDP 數(shù)據(jù)包的內(nèi)容，以便對(duì)負(fù)載有 總體 的認(rèn)識(shí)。 3 防火墻基礎(chǔ)和分類 防火墻分類 防火墻有不同的功能、特性和尺寸。通常認(rèn)為防火墻是專門安置在網(wǎng)絡(luò)中的一種系統(tǒng)或者應(yīng)用來(lái)分隔“內(nèi)部”網(wǎng)絡(luò)和“外部”的 Inter。很多家庭或個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)用一種基于應(yīng)用的設(shè)備來(lái)提供寬帶，而這些設(shè)備內(nèi)建立了防火墻。一般來(lái)說(shuō)，防火墻可以被劃分 為 以下兩種通用類型中的一種： (1) 桌面或者個(gè)人電腦防火墻； (2) 網(wǎng)絡(luò)防火墻。 這兩種類型的防火墻最主要的區(qū)別可以簡(jiǎn)單地認(rèn)為是防火墻所保 護(hù)的主機(jī) 數(shù)量不同。網(wǎng)絡(luò)防火墻還有一些主要的子類型，包括以下幾種： (1) 報(bào)文過(guò)濾防火墻（狀態(tài)化和非狀態(tài)化）； (2) 電路級(jí)別網(wǎng)關(guān)； (3) 應(yīng)用級(jí)別網(wǎng)關(guān)。 以上幾種防火墻描述了通常的防火墻歸類，然而很多網(wǎng)絡(luò)防火墻同時(shí)屬于上 述類型中的多種，或者具有以上幾種防火墻的功能，很多實(shí)施的防火墻的特征可能不僅9 僅屬于一種類型。 圖 31 防火墻分類 如圖 31 顯示了目前可用的各種防火墻比較詳細(xì)的分類。雖然本圖沒(méi)有提供每種類型防火墻不同功能的全部細(xì)節(jié)，但是列出 了兩種通常使用的主要的防火墻分類：桌面 /個(gè)人電腦防火墻和網(wǎng)絡(luò)防火墻。 借鑒于這些可用的防火墻分類，計(jì)算機(jī)用戶就可以有一個(gè)確定的時(shí)間去準(zhǔn)確認(rèn)定什么樣的防火墻符合他們的需求，從其中選擇一款。很多時(shí)候，價(jià)格是在用戶購(gòu)買防火墻需要考慮的一個(gè)重要因素，但是如果知道了哪種類型的防火墻適合自己使用，并且這些防火墻提供的哪些功能能幫助用戶，將會(huì)在最后確定購(gòu)買的時(shí)候讓計(jì)算機(jī)用戶更加心中有數(shù)，不用擔(dān)心選擇了錯(cuò)誤的防火墻。 個(gè)人防火墻 個(gè)人電腦防火墻被設(shè)計(jì)用來(lái)保護(hù)一個(gè)單一主機(jī)，避免接受未經(jīng)授權(quán)的接入訪問(wèn)。這種防火墻在 近年來(lái)發(fā)展迅速，使得現(xiàn)在的防火墻集成增加了一些格外的功能，例如反病毒的軟件監(jiān)控和一些情況下的分析行為和入侵檢測(cè)，用來(lái)保護(hù)設(shè)備和系統(tǒng)。一些比較流行的商業(yè)個(gè)人防火墻內(nèi)置了 BlackICE 和 Cisco 安全代理。在 SOHO 的市場(chǎng)中，趨勢(shì)科技PCcillin、 ZoneAlarm 和 Symantec 公司的防火墻被比較廣泛地使用。微軟的因特網(wǎng)連接防火墻也是屬于大量廣泛使用的個(gè)人防火墻，因?yàn)樗陌惭b是基于運(yùn)行打上了 SP2 補(bǔ)丁報(bào)文 過(guò)濾防火墻 報(bào)文過(guò) 濾防火墻 狀態(tài) 防火墻 個(gè)人防火墻 網(wǎng)絡(luò)防火墻 防火墻 電路級(jí) 別網(wǎng)關(guān) 應(yīng)用級(jí) 別網(wǎng)關(guān) NAT 防火墻 狀態(tài) 防火墻 10 包的 WindowsXP 設(shè)備。 盡管個(gè)人防火墻 由于 能給終端用戶提供保護(hù)的同時(shí)控制策略而在 SOHO 和家庭 用戶中的口碑非常好，但是對(duì)于企業(yè)公司來(lái)說(shuō)，遇到的問(wèn)題往往更加的復(fù)雜。也許企業(yè)用戶最需要關(guān)心的個(gè)人防火墻有提供集中式策略控制的機(jī)制。在企業(yè)級(jí)別的環(huán)境中，集中式策略控制對(duì)于最小化管理負(fù)擔(dān)是非常重要的。什么是管理負(fù)擔(dān)？當(dāng)在一個(gè)組織中的防火墻數(shù)量越來(lái)越多，網(wǎng)絡(luò)管理員必須對(duì)每一臺(tái)防火墻的配置和監(jiān)控都非常注意。因此，防火墻越來(lái)越多的話，不讓對(duì)這些防火墻的管理變得非常繁瑣是十分重要的。通過(guò)集中式策略控制和監(jiān)控，很多廠商可以非常簡(jiǎn)單地正確地來(lái)配置防火墻策略和實(shí)施事件監(jiān)控。 網(wǎng)絡(luò)防火墻 顧名思義，網(wǎng)絡(luò)防火墻被設(shè)計(jì) 來(lái)保護(hù)整個(gè)網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的攻擊。它 包羅 兩種主要的形式：一種專門的應(yīng)用或者是安裝在主機(jī)操作系統(tǒng)桌面的一套防火墻軟件工具?；趹?yīng)用的網(wǎng)絡(luò)防火墻包括目前比較流行的 Cisco PIX 防火墻、 Cisco ASA， Juniper 的NetScreen 防火墻、 Nokia 防火墻和 Symantec 的企業(yè)版防火墻等?；谲浖姆阑饓Πū容^流行的 Check Point 的 Firewall1 NG 和 NGX 防火墻、微軟的 ISA 服務(wù)器、 Linux的 IPTables 等。 很多網(wǎng)絡(luò)防火墻提供給企業(yè)用戶在防火墻系統(tǒng)中最大的伸縮性和保護(hù)性能 。這些防火墻在過(guò)去的幾年中增加了很多新的特性和功能，比如說(shuō)線路內(nèi)沖突檢測(cè)和避免機(jī)制，就像虛擬專用網(wǎng)（ VPN）在 LAN 到 LAN 的 VPN 和遠(yuǎn)程用戶接入 VPN 中提供的一樣。在網(wǎng)絡(luò)防火墻中需要介紹的另一種特性是深度報(bào)文檢查能力。防火墻可以不僅僅通過(guò)第三層或者第四層信息去標(biāo)識(shí)流量請(qǐng)求，還可以通過(guò)研究應(yīng)用數(shù)據(jù)去確定怎樣捆綁流量最好。這種在防火墻設(shè)計(jì)和功能上的改進(jìn)引導(dǎo)了新的防火墻產(chǎn)品的發(fā)展，那就是集成的防火墻，這將在以后的內(nèi)容中介紹到。 防火墻產(chǎn)品 從防火墻的軟、硬件形式來(lái)分的話，防火墻可以分為軟件 類 防火墻和 應(yīng)用 類 防火墻以及 綜合類防火墻。 現(xiàn)在市面上各種不同的防火墻產(chǎn)品是多不勝舉，本節(jié)中主要介紹比較三種基本的物理防火墻：基于軟件的防火墻、基于應(yīng)用的防火墻和基于集成的綜合防火墻?；谲浖姆阑饓Γ腿缜懊嫠峒暗降?，基本上是運(yùn)行在某商業(yè)化操作系統(tǒng)之上，如我們一般經(jīng)常用到的微軟的 Windows 系統(tǒng)。基于應(yīng)用的防火墻則是一種為實(shí)現(xiàn)某種目的而設(shè)計(jì)出來(lái)11 的硬件設(shè)備，將過(guò)濾和檢查程序內(nèi)嵌于其硬件中定制的或者穩(wěn)定的操作系統(tǒng)之中。這一類的防火墻包括 Cisco 公司的 PIX 防火墻產(chǎn)品和 Juniper 的 NetScreen 防火墻等等。最后要 介紹的是基于綜合