淺談防火墻技術(shù)

一、前盲

隨著計算機(jī)和網(wǎng)絡(luò)在社會中的應(yīng)用的不斷增多，計算機(jī)和網(wǎng)絡(luò)安壘技術(shù)正變得越來越重要，部門能夠使用的安全設(shè)備和軟件的不斷增多，大量數(shù)據(jù)紛紛涌人事件日志，致使網(wǎng)絡(luò)管理員的工作難度越來越高，負(fù)擔(dān)越來越重。

二、防火墻技術(shù)

防火墻是一個由軟件和硬件設(shè)備組合而成，在網(wǎng)絡(luò)之間實(shí)施訪問控制的一個系統(tǒng)，通過執(zhí)行訪問控制策略，限制兩個網(wǎng)絡(luò)之間數(shù)據(jù)的自由流動，通過控制和檢測網(wǎng)絡(luò)之間的信息交換和訪問行為實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。

網(wǎng)絡(luò)防火墻是加強(qiáng)網(wǎng)絡(luò)之間訪問控制的設(shè)備，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)人內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

1.防火墻一般有三個特性：

所有的通信都經(jīng)過防火墻

防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量

防火墻能經(jīng)受的住對其本身的攻擊

我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器(Route+ACL)，一臺多個網(wǎng)絡(luò)接口的計算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。

2.防火墻將保護(hù)以下三個主要方面的風(fēng)險：

機(jī)密性的風(fēng)險

數(shù)據(jù)完整性的風(fēng)險

用性的風(fēng)險

3.防火墻的主要優(yōu)點(diǎn)如下：

防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個網(wǎng)絡(luò)的安壘，并且可以將通信約束在一個可管理和可靠性高的范圍之內(nèi)。

防火墻可以限制某些特殊服務(wù)的訪問。

防火墻功能單一，不需要在安全性、可用性和功能上做取舍。

防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應(yīng)的周期。

4.防火墻也有許多弱點(diǎn)：

不能防御已經(jīng)授權(quán)的訪問，以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊。

不能防御合法用戶惡意的攻擊，以及社交攻擊等非預(yù)期的威脅。

不能修復(fù)脆弱的管理措施和存在問題的安全策略。

不能防御不經(jīng)過防火墻的攻擊和威脅。

5.根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、代理型和監(jiān)測型。

包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。包過濾技術(shù)的優(yōu)點(diǎn)是簡單、實(shí)用和成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

包過濾技術(shù)也有明顯的缺陷。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識別基于應(yīng)用層的惡意侵人，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過包過濾型防火墻。

網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。

代理型

代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。其優(yōu)點(diǎn)是安壘性較高，可以針對應(yīng)用層進(jìn)行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

監(jiān)測型

監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。

監(jiān)測型防火墻由于實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻：基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安壘性需求，同時也能有效地控制安全系統(tǒng)的總擁有成本。

6.防火墻的不足

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文伴，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

這樣各單位均通過其他手段進(jìn)行安全強(qiáng)化，如：入侵監(jiān)測、殺毒軟件、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)認(rèn)證等。

雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次。不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

三、結(jié)束語

隨著事業(yè)的發(fā)展，各單位均意識到網(wǎng)絡(luò)安全的重要，逐步加強(qiáng)了網(wǎng)絡(luò)的監(jiān)管與防護(hù)工作，在備自的網(wǎng)絡(luò)邊界架設(shè)防火墻，定制策略進(jìn)行邊界防護(hù)，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的攻擊，起到一定的隔離作用。但是網(wǎng)絡(luò)的安全、設(shè)備的安全不是單純的增加設(shè)備或是安裝軟件就能萬事無憂了，更重要的還是使用人員的意識和素質(zhì)，對于網(wǎng)絡(luò)安全來說，采取手段是必要的，但更重要的是人員的管理。