防火墻技術(shù)知識(shí)全解

　　歡迎大家來(lái)到學(xué)習(xí)啦。網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來(lái)了巨大的改變。我們通過(guò)網(wǎng)絡(luò)獲得信息，共享資源。如今， Internet遍布世界任何一個(gè)角落，并且歡迎任何一個(gè)人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問(wèn)題受到人們?cè)絹?lái)越多的關(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全，成為了本文探討的重點(diǎn)。

　　幾乎所有接觸網(wǎng)絡(luò)的人都知道網(wǎng)絡(luò)中有一些費(fèi)盡心機(jī)闖入他人計(jì)算機(jī)系統(tǒng)的人，他們利用各種網(wǎng)絡(luò)和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問(wèn)信息。不幸的是如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要什么高深的技巧。網(wǎng)絡(luò)中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運(yùn)行的，只需要簡(jiǎn)單的執(zhí)行就可以給網(wǎng)絡(luò)造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個(gè)網(wǎng)絡(luò)。這種情況使得近幾年的攻擊頻率和密度顯著增長(zhǎng)，給網(wǎng)絡(luò)安全帶來(lái)越來(lái)越多的安全隱患。

　　我們可以通過(guò)很多網(wǎng)絡(luò)工具，設(shè)備和策略來(lái)保護(hù)不可信任的網(wǎng)絡(luò)。其中防火墻是運(yùn)用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并且做出及時(shí)的響應(yīng)，將那些危險(xiǎn)的連接和攻擊行為隔絕在外。從而降低網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。

　　防火墻的基本功能是對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問(wèn)進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，簡(jiǎn)單的概括就是，對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)(Internal)和不可信任網(wǎng)絡(luò)(Internet)之間。

　　防火墻一般有三個(gè)特性：

　　A.所有的通信都經(jīng)過(guò)防火墻

　　B.防火墻只放行經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)流量

　　C.防火墻能經(jīng)受的住對(duì)其本身的攻擊

　　我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺(tái)有訪問(wèn)控制策略的路由器(Route+ACL)，一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來(lái)自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。

　　為什么要使用防火墻?很多人都會(huì)有這個(gè)問(wèn)題，也有人提出，如果把每個(gè)單獨(dú)的系統(tǒng)配置好，其實(shí)也能經(jīng)受住攻擊。遺憾的是很多系統(tǒng)在缺省情況下都是脆弱的。最顯著的例子就是Windows系統(tǒng)，我們不得不承認(rèn)在Windows 2003以前的時(shí)代， Windows默認(rèn)開(kāi)放了太多不必要的服務(wù)和端口，共享信息沒(méi)有合理配置與審核。如果管理員通過(guò)安全部署，包括刪除多余的服務(wù)和組件，嚴(yán)格執(zhí)行NTFS權(quán)限分配，控制系統(tǒng)映射和共享資源的訪問(wèn)，以及帳戶的加固和審核，補(bǔ)丁的修補(bǔ)等。做好了這些，我們也可以非常自信的說(shuō)，Windows足夠安全。也可以抵擋住網(wǎng)絡(luò)上肆無(wú)忌憚的攻擊。但是致命的一點(diǎn)是，該服務(wù)器系統(tǒng)無(wú)法在安全性，可用性和功能上進(jìn)行權(quán)衡和妥協(xié)。

　　對(duì)于此問(wèn)題我們的回答是：“防火墻只專注做一件事，在已授權(quán)和未授權(quán)通信之間做出決斷。”

　　如果沒(méi)有防火墻，粗略的下個(gè)結(jié)論，就是：整個(gè)網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。遺憾的是這并不是一個(gè)正確的結(jié)論，真實(shí)的情況比這更糟：整個(gè)網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的部分所嚴(yán)格制約。即非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來(lái)。沒(méi)有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)每個(gè)服務(wù)都永遠(yuǎn)運(yùn)行在最佳狀態(tài)。網(wǎng)絡(luò)越龐大，把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同樣高的安全水平就越復(fù)雜，將會(huì)耗費(fèi)大量的人力和時(shí)間。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰。

　　防火墻成為了與不可信任網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶，我們通過(guò)部署防火墻，就可以通過(guò)關(guān)注防火墻的安全來(lái)保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過(guò)防火墻進(jìn)行審記和保存，對(duì)于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)?？傊?，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn)。

　　對(duì)于企業(yè)來(lái)說(shuō)，防火墻將保護(hù)以下三個(gè)主要方面的風(fēng)險(xiǎn)：

　　A.機(jī)密性的風(fēng)險(xiǎn)

　　B.數(shù)據(jù)完整性的風(fēng)險(xiǎn)

　　C.用性的風(fēng)險(xiǎn)

　　我們討論的防火墻主要是部署在網(wǎng)絡(luò)的邊界(Network Perimeter)，這個(gè)概念主要是指一個(gè)本地網(wǎng)絡(luò)的整個(gè)邊界，表面看起來(lái)，似乎邊界的定義很簡(jiǎn)單，但是隨著虛擬專用網(wǎng)絡(luò)()的出現(xiàn)，邊界這個(gè)概念在通過(guò)拓展的網(wǎng)絡(luò)中變的非常模糊了。在這種情況下，我們需要考慮的不僅僅是來(lái)自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的威脅，也包含了遠(yuǎn)程客戶端的安全。因?yàn)檫h(yuǎn)程客戶端的安全將直接影響到整個(gè)防御體系的安全。

　　防火墻的主要優(yōu)點(diǎn)如下：

　　A.防火墻可以通過(guò)執(zhí)行訪問(wèn)控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安全，并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。

　　B.防火墻可以用于限制對(duì)某些特殊服務(wù)的訪問(wèn)。

　　C.防火墻功能單一，不需要在安全性，可用性和功能上做取舍。

　　D.防火墻有審記和報(bào)警功能，有足夠的日志空間和記錄功能，可以延長(zhǎng)安全響應(yīng)的周期。

　　同樣的，防火墻也有許多弱點(diǎn)：

　　A.不能防御已經(jīng)授權(quán)的訪問(wèn),以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊.

　　B.不能防御合法用戶惡意的攻擊.以及社交攻擊等非預(yù)期的威脅.

　　C.不能修復(fù)脆弱的管理措施和存在問(wèn)題的安全策略

　　D.不能防御不經(jīng)過(guò)防火墻的攻擊和威脅