【正文】 比較三種基本的物理防火墻：基于軟件的防火墻、基于應(yīng)用的防火墻和基于集成的綜合防火墻。這種在防火墻設(shè)計(jì)和功能上的改進(jìn)引導(dǎo)了新的防火墻產(chǎn)品的發(fā)展，那就是集成的防火墻，這將在以后的內(nèi)容中介紹到。在網(wǎng)絡(luò)防火墻中需要介紹的另一種特性是深度報(bào)文檢查能力。 很多網(wǎng)絡(luò)防火墻提供給企業(yè)用戶在防火墻系統(tǒng)中最大的伸縮性和保護(hù)性能 ?；趹?yīng)用的網(wǎng)絡(luò)防火墻包括目前比較流行的 Cisco PIX 防火墻、 Cisco ASA， Juniper 的NetScreen 防火墻、 Nokia 防火墻和 Symantec 的企業(yè)版防火墻等。 網(wǎng)絡(luò)防火墻 顧名思義，網(wǎng)絡(luò)防火墻被設(shè)計(jì) 來保護(hù)整個(gè)網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的攻擊。因此，防火墻越來越多的話，不讓對這些防火墻的管理變得非常繁瑣是十分重要的。在企業(yè)級別的環(huán)境中，集中式策略控制對于最小化管理負(fù)擔(dān)是非常重要的。 盡管個(gè)人防火墻 由于 能給終端用戶提供保護(hù)的同時(shí)控制策略而在 SOHO 和家庭 用戶中的口碑非常好，但是對于企業(yè)公司來說，遇到的問題往往更加的復(fù)雜。在 SOHO 的市場中，趨勢科技PCcillin、 ZoneAlarm 和 Symantec 公司的防火墻被比較廣泛地使用。這種防火墻在 近年來發(fā)展迅速，使得現(xiàn)在的防火墻集成增加了一些格外的功能，例如反病毒的軟件監(jiān)控和一些情況下的分析行為和入侵檢測，用來保護(hù)設(shè)備和系統(tǒng)。很多時(shí)候，價(jià)格是在用戶購買防火墻需要考慮的一個(gè)重要因素，但是如果知道了哪種類型的防火墻適合自己使用，并且這些防火墻提供的哪些功能能幫助用戶，將會在最后確定購買的時(shí)候讓計(jì)算機(jī)用戶更加心中有數(shù)，不用擔(dān)心選擇了錯(cuò)誤的防火墻。雖然本圖沒有提供每種類型防火墻不同功能的全部細(xì)節(jié)，但是列出 了兩種通常使用的主要的防火墻分類：桌面 /個(gè)人電腦防火墻和網(wǎng)絡(luò)防火墻。 以上幾種防火墻描述了通常的防火墻歸類，然而很多網(wǎng)絡(luò)防火墻同時(shí)屬于上 述類型中的多種，或者具有以上幾種防火墻的功能，很多實(shí)施的防火墻的特征可能不僅9 僅屬于一種類型。 這兩種類型的防火墻最主要的區(qū)別可以簡單地認(rèn)為是防火墻所保 護(hù)的主機(jī) 數(shù)量不同。很多家庭或個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)用一種基于應(yīng)用的設(shè)備來提供寬帶，而這些設(shè)備內(nèi)建立了防火墻。 3 防火墻基礎(chǔ)和分類 防火墻分類 防火墻有不同的功能、特性和尺寸。 它 結(jié)合了狀態(tài)檢測的所有功能，深度檢測防火墻能夠?qū)?shù)據(jù)流量迅速完成網(wǎng)絡(luò)層級別的分析，并做出訪問控制 決策 ；對于允許 通過 的數(shù)據(jù)流，根據(jù)應(yīng)用層級別的信息，對負(fù)載做出進(jìn)一步的 判斷和決策。網(wǎng)絡(luò)設(shè)備比如路由器，會將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀，因此狀態(tài)檢測設(shè)備，通常需要進(jìn)行 IP 數(shù)據(jù)幀的重組 ，按其原來順序組裝成完整的數(shù)據(jù)包 ，然后再進(jìn)行其他操作 。 狀態(tài)檢測防火墻驗(yàn)證 要通過 的數(shù)據(jù)包時(shí)，判斷當(dāng)前數(shù)據(jù)包是否符合先前允許的會話，并在狀態(tài)表中保存這些信息。 8 狀態(tài)檢測防火墻工作于 OSI 模型的 傳輸 層，與包過濾防火墻相比，狀態(tài)檢測防火墻判斷允許還是禁止數(shù)據(jù)流的依據(jù)也是源 IP 地址 、 目的 IP 地址 、 源端口 、 目的端口和通訊協(xié)議等。 這些 在 90 年代中期得到了迅速發(fā)展。這是一種基于網(wǎng)絡(luò)層的安全技術(shù) ,對于應(yīng)用層上的黑客行為則無能為力 ，需要運(yùn)用其他技術(shù)才能夠防御 。這時(shí)位于接收方網(wǎng)絡(luò)出口的包過濾式防火墻會檢查所有信息包中發(fā)送方的 IP 地址、接收方的 IP 地址、 TCP 端口、 TCP 鏈路狀態(tài) ,并按照 管理員事先設(shè)定的過濾規(guī)則對 信息包 進(jìn)行過濾篩選 。網(wǎng)絡(luò)上的路由器會讀取每一個(gè)信息包中接收方的 IP 地址 ， 然后選擇不同的通信線路將這些信息包發(fā)送到目的地。 圖 23 防火墻技術(shù)發(fā)展 包過濾防火墻 （ Packet Filter Firewall） 包過濾防火墻的安全方式是 IP 地址檢驗(yàn)。 通過學(xué)習(xí)，筆者在 以 下的內(nèi)容也將會介紹如何選擇一款 適合用戶使用 的防火墻，并且在選7 擇防火墻時(shí)應(yīng)該注意的事項(xiàng)。那就是 過分夸大某些 防火墻 產(chǎn)品的功能，認(rèn)為所有的網(wǎng)絡(luò)安全問題 都 可以通過簡單地配置 防火墻 來 解決 ，而事實(shí)上網(wǎng)絡(luò)安全問題是層出不窮的，網(wǎng)絡(luò)黑客的操作不具有 任何 特征，攻擊入侵手段無可預(yù)測 。 通過選擇優(yōu)秀的 防火墻 產(chǎn)品，制定合理 恰當(dāng) 的安全策略，內(nèi)部網(wǎng)絡(luò)可以在很大程度上避免受到 入侵和 攻擊。 可以 通過 VPN，將企事業(yè)單位在地域上分布在全世界各地的 LAN 或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。 防火墻除了具有 安全作用 之外， 還具有其他方面的作用。攻擊 者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線 互聯(lián)網(wǎng) ，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。 Finger 顯示了主機(jī)的所有用戶的注冊名 和真實(shí)的姓名 ， 用戶的 最后登錄時(shí)間和使用 shell 類型等。 另外 ，隱私是內(nèi)部 網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記 錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更 加方便和經(jīng)濟(jì) 。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文 ， 并 及時(shí) 將相關(guān)的情況報(bào)告防火墻管理員。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。 防火墻是網(wǎng)絡(luò)安全的屏障 防火墻 作為阻塞點(diǎn) 和 控制點(diǎn) ，首先應(yīng) 能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù) 來 降低 各種 風(fēng)險(xiǎn)。所以 從安全需求來看，理想的 防火墻 應(yīng)具備以下功能： (1) 能夠分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù) ，管理和控制網(wǎng)絡(luò)流量； (2) 能夠通過識別、認(rèn)證和授權(quán)對進(jìn)出網(wǎng)絡(luò)的行為進(jìn)行訪問控制 ； (3) 能夠封堵安全策略禁止的業(yè)務(wù) ； (4) 能夠?qū)徲?jì)跟蹤通過的信息內(nèi)容和活動 ； (5) 能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行檢測和報(bào)警 ； (6) 能夠?qū)π枰Ｃ艿男畔⑦M(jìn)行授權(quán)的加密和解密 ； (7) 能 夠?qū)邮盏降臄?shù)據(jù)進(jìn)行完整性校驗(yàn) ； (8) 能夠記錄和報(bào)告事件。 在 本質(zhì)上， 防火墻 被認(rèn)為是兩個(gè)網(wǎng)絡(luò) 之 間的隔斷，只允許 防火墻過濾 選定的 某 些形 式的通信 或信息 通過。 上文已提到過的，防火墻 一般被放 置于公共網(wǎng)絡(luò) (如 Inter)入 口處 ， 它 的功能 又 相當(dāng)于 交通警察。 圖 22 路由器和應(yīng)用網(wǎng)關(guān)防火墻范例 防火墻 通常位于等級較高的網(wǎng)關(guān) ， 如網(wǎng)點(diǎn)與 Inter 的連接處，但是 防火墻 系統(tǒng) 還可以位于等級較低的網(wǎng)關(guān) ,以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。 防火墻 系統(tǒng)的主要用途就是 控制對受保護(hù)的網(wǎng)絡(luò) (即網(wǎng)點(diǎn) )的往返訪問 ,保障計(jì)算機(jī)的安全性 。 它有助于實(shí)施一個(gè)比較廣泛的安全性政策，用 以確定允許提供的服務(wù)和訪問。 防火墻的功能 和 作用 防火墻 不只 可以當(dāng)作 是一種路由器、主系統(tǒng)或一批向網(wǎng)絡(luò)提供安全性的系統(tǒng)。并且所有的通信流量都 需要 通過防火墻進(jìn)行審記和保存， 能夠記錄有關(guān)連接的信息、服務(wù)器或主機(jī)間的數(shù)據(jù)流量以及任何試圖通過防火墻的非法訪問記錄， 為 網(wǎng)絡(luò)安全 的各種 犯罪 行為 的調(diào)查取證提供了依據(jù)。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致 整個(gè) 網(wǎng)絡(luò)安全框架的崩潰。沒有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn) 和 每個(gè)服務(wù)都永遠(yuǎn) 保持運(yùn)行于 最佳狀態(tài)。 假設(shè) 沒有防火墻 的存在 ， 我們可以 大概 的下個(gè)結(jié)論：整個(gè) 計(jì)算機(jī) 網(wǎng)絡(luò)的安全將 依靠 該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。 但這樣存在 最大的 缺陷 是 ，該服務(wù)器系統(tǒng)無法在安全性，可用性和功能上 達(dá)到較好的 權(quán)衡和妥協(xié)。 如果管理員 能夠 通過安全部署，包括刪除多余的服務(wù)和組件，嚴(yán)格執(zhí)行 NTFS 權(quán)限分配，控制系統(tǒng)映射和共享資源的訪問，以及 對 帳戶 進(jìn)行 加固和審核， 對 補(bǔ)丁 及時(shí)更新 等。 圖 21 防火墻邏輯位置示意 那么 為什么要使用防火墻 呢？ 很多人都會 首先產(chǎn)生 這個(gè)問題，也有人提出，如果把 我們 每個(gè)單獨(dú)的系統(tǒng)配置好， 也就 能經(jīng)受住攻擊。 我們可以 把 防火墻看成是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺有訪問控制策略的路由器3 （ Route+ACL）， 也可以是 一臺多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使 計(jì)算機(jī)本地的網(wǎng)絡(luò) 免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議 和 服務(wù)的影響。 圖 11 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò) 根據(jù) 已經(jīng)設(shè)置好的安全規(guī)則，決定是允許（ Allow）或者拒絕（ Deny）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，如圖 12 所示。 防火墻系統(tǒng)解決方案 防火墻就如一道墻壁，把內(nèi)部網(wǎng)絡(luò)（也稱私人網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)（也稱公共網(wǎng)絡(luò)）隔2 離開。 同時(shí)，由于 防火墻 系統(tǒng)本身具備較高的系統(tǒng)安全級別，可以防止非法用戶通過控制 防火墻對內(nèi)網(wǎng)發(fā)動攻擊。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的任何數(shù)據(jù)傳遞都必須通過 防火墻這一關(guān) ，防火墻 對這些數(shù)據(jù)以及訪問需求進(jìn)行分析、處理，并根據(jù)已設(shè)置的安全規(guī)則 來 判定是否允許其通過。對于保護(hù)網(wǎng)絡(luò)安全， 防火墻 是最基礎(chǔ)的設(shè)備，它的主要功能在于把那些不受歡迎的訪問 、 信息 或者 數(shù)據(jù)包等 隔離在特定 的 網(wǎng)絡(luò)之外，是 一種經(jīng)濟(jì)實(shí)用的網(wǎng)絡(luò)邊界防護(hù)設(shè)備。保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全 現(xiàn)已成為計(jì)算機(jī)用戶必須去考慮并且解決的問題 。 網(wǎng)絡(luò)黑客攻擊的目標(biāo)不僅鎖定在個(gè)人計(jì)算機(jī)上，而且還有可能入侵公司企業(yè)的網(wǎng)絡(luò)，盜取商業(yè)機(jī)密等具有重大價(jià)值的信息，也是黑客們所感 興趣的。非法侵入他人 計(jì)算機(jī) 系統(tǒng)、 破壞計(jì)算機(jī)系統(tǒng)、 竊取 機(jī)密、非法盜取財(cái)物、侵犯用戶權(quán)利等現(xiàn)象越發(fā)頻繁。 1 1 緒論 概述 由 1946 年 2 月 14 日世界上第一臺電腦 ENIAC（ 埃尼阿克 ）的誕生，到現(xiàn)在計(jì)算機(jī)科學(xué)與技術(shù)日新月異迅猛發(fā)展的 21 世紀(jì)信息時(shí)代，計(jì)算機(jī)經(jīng)歷了無數(shù)次的改革換代。 關(guān)鍵詞 ： 防火墻 計(jì)算機(jī)技術(shù) 網(wǎng)絡(luò)病毒 安全 I 目 錄 1 緒論 .................................................................... 1 概述 ...................................................................................................................................... 1 防火墻的出現(xiàn) ...................................................................................................................... 1 防火墻系統(tǒng)解決方案 .......................................................................................................... 1 2 防火墻介紹 .............................................................. 2 什么是防火墻 ...................................................................................................................... 2 防火墻的功能和作用 .......................................................................................................... 4 防火墻是網(wǎng)絡(luò)安全的屏障 .............................................................................................. 5 防火墻可以強(qiáng)化網(wǎng)絡(luò)安 全策略 ...................................................................................... 5 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) .................................................................................. 6 防止內(nèi)部信息的外泄 ...............