防火墻

　　1.什么是防火墻

　　防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。 它可通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況， 以此來實現網絡的安全保護。

　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動， 保證了內部網絡的安全。

　　2.使用Firewall的益處

　　保護脆弱的服務

　　通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

　　控制對系統的訪問

　　Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

　　集中的安全管理

　　Firewall對企業(yè)內部網實現集中的安全管理，在Firewall定義的安全規(guī)則可以運行于整個內部網絡系統， 而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。

　　增強的保密性

　　使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息，如Figer和DNS。

　　記錄和統計網絡利用數據以及非法使用數據

　　Firewall可以記錄和統計通過Firewall的網絡通訊，提供關于網絡使用的統計數據，并且，Firewall可以提供統計數據， 來判斷可能的攻擊和探測。

　　策略執(zhí)行

　　Firewall提供了制定和執(zhí)行網絡安全策略的手段。未設置Firewall時，網絡安全取決于每臺主機的用戶。

　　3.防火墻的種類

　　防火墻總體上分為包過濾、應用級網關和代理服務器等幾大類型。

　　數 據 包 過 濾

　　數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯， 被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、 協議狀態(tài)等因素，或它們的組合來確定是否允許該數據包通過。 數據包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用， 網絡性能和透明性好，它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備， 因此在原有網絡上增加這樣的防火墻幾乎不需要任何額外的費用。

　　數據包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部，很有可能被竊聽或假冒。

　　應 用 級 網 關

　　應用級網關(Application Level Gateways)是在網絡應用層上建立協議過濾和轉發(fā)功能。 它針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時，對數據包進行必要的分析、 登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。

　　數據包過濾和應用網關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯，則防火墻內外的計算機系統建立直接聯系， 防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態(tài)，這有利于實施非法訪問和攻擊。

　　代 理 服 務

　　代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸于應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術， 其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的" 鏈接"， 由兩個終止代理服務器上的" 鏈接"來實現，外部計算機的網絡鏈路只能到達代理服務器， 從而起到了隔離防火墻內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、注冊登記， 形成報告，同時當發(fā)現被攻擊跡象時會向網絡管理員發(fā)出警報，并保留攻擊痕跡。

　　4.設置防火墻的要素

　　網絡策略

　　影響Firewall系統設計、安裝和使用的網絡策略可分為兩級，高級的網絡策略定義允許和禁止的服務以及如何使用服務， 低級的網絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。

　　服務訪問策略

　　服務訪問策略集中在Internet訪問服務以及外部網絡訪問(如撥入策略、SLIP/PPP連接等)。 服務訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W絡風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務; 允許內部用戶訪問指定的Internet主機和服務。

　　防火墻設計策略

　　防火墻設計策略基于特定的Firewall，定義完成服務訪問策略的規(guī)則。通常有兩種基本的設計策略： 允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用， 第二種是好用但不安全，通常采用第二種類型的設計策略。 而多數防火墻都在兩種之間采取折衷。

　　增強的認證

　　許多在Internet上發(fā)生的入侵事件源于脆弱的傳統用戶/口令機制。多年來，用戶被告知使用難于猜測和破譯口令， 雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸的口令明文，使傳統的口令機制形同虛設。增強的認證機制包含智能卡， 認證令牌，生理特征(指紋)以及基于軟件(RSA)等技術，來克服傳統口令的弱點。雖然存在多種認證技術， 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。

　　5.防火墻在大型網絡系統中的部署

　　根據網絡系統的安全需要，可以在如下位置部署防火墻：

　　局域網內的VLAN之間控制信息流向時;

　　Intranet與Internet之間連接時(企業(yè)單位與外網連接時的應用網關);

　　在廣域網系統中，由于安全的需要，總部的局域網可以將各分支機構的局域網看成不安全的系統， (通過公網ChinaPac，ChinaDDN，Frame Relay等連接)在總部的局域網和各分支機構連接時采用防火墻隔離， 并利用構成虛擬專網;

　　總部的局域網和分支機構的局域網是通過Internet連接，需要各自安裝防火墻，并利用NetScreen的組成虛擬專網;

　　在遠程用戶撥號訪問時，加入虛擬專網;

　　ISP可利用NetScreen的負載平衡功能在公共訪問服務器和客戶端間加入防火墻進行負載分擔、 存取控制、用戶認證、流量控制、日志紀錄等功能;

　　兩網對接時，可利用NetScreen硬件防火墻作為網關設備實現地址轉換(NAT)，地址映射(MAP)， 網絡隔離(DMZ), 存取安全控制，消除傳統軟件防火墻的瓶頸問題。

　　6.防火墻在網絡系統中的作用

　　防火墻能有效地防止外來的入侵，它在網絡系統中的作用是：

　　控制進出網絡的信息流向和信息包;

　　提供使用和流量的日志和審計;

　　隱藏內部IP地址及網絡結構的細節(jié);

　　提供功能。

　　藍牙

　　藍牙是一種無線電技術規(guī)范，用來描述各種電子產品(諸如移動電話、計算機和個人數字助手PDA)相互之間是如何用短距離無線電系統進行連接的。電子設備間的這種無線電連接是用低功率無線電鏈路來實現的。藍牙技術的主要好處是消除了千頭萬緒、令人頭痛的電纜線，通常這些電纜是用于連接設備間信息傳遞和同步所必需的。

　　服務器

　　服務器是一種高性能計算機，作為網絡的節(jié)點，存儲、處理網絡上80%的數據、信息，因此也被稱為網絡的靈魂。做一個形象的比喻：服務器就像是郵局的交換機，而微機、筆記本、PDA、手機等固定或移動的網絡終端，就如散落在家庭、各種辦公場所、公共場所等處的電話機。我們與外界日常的生活、工作中的電話交流、溝通，必須經過交換機，才能到達目標電話;同樣如此，網絡終端設備如家庭、企業(yè)中的微機上網，獲取資訊，與外界溝通、娛樂等，也必須經過服務器，因此也可以說是服務器在"組織"和"領導"這些設備。

　　服務器的構成與微機基本相似，有處理器、硬盤、內存、系統總線等，它們是針對具體的網絡應用特別制定的，因而服務器與微機在處理能力、穩(wěn)定性、可靠性、安全性、可擴展性、可管理性等方面存在差異很大。尤其是隨著信息技術的進步，網絡的作用越來越明顯，對自己信息系統的數據處理能力、安全性等的要求也越來越高，如果您在進行電子商務的過程中被黑客竊走密碼、損失關鍵商業(yè)數據;如果您在自動取款機上不能正常的存取，您應該考慮在這些設備系統的幕后指揮者————服務器，而不是埋怨工作人員的素質和其他客觀條件的限制。