防火墙概念

防火墙概念：

( 防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。)

防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感

网络安全问题对全局网络造成的影响。

防火墙的作用：

在互联网上，每个UNIX高手都有办法让网络管理员的日子过得很忙碌，黑客们只需有个人电脑、调制解调器和足够的时间就可以兴风作浪。黑客族、小偷和破坏者都以入他人电脑为乐。

想隔离互联网上的破坏者，就必须使用防火墙，防火墙是联接区域网络和Internet供应商路由器的“桥梁”电脑。这些硬件专门设计用来拦截并过滤信息，只让符合严格安全标准的信息通过。防火墙一般分为两大类：网络层级和应用程式层级。

网络层级的防火墙会拦截所有尝试进出网络的封包，扫描它的位址标题以确认出发处，检查规则会决定要接受或拒绝这个封包。

应用层级的防火墙利用一个和网络隔离的机器担任，由它执行新闻组、http、ftp、telnet和其他服务的代理程序。当防火墙内的电脑提出要求Internet连线服务时，代理服务器（Proxyserver）会主动过滤这项要求。对于这项要求联接另一端的电脑而言，联墙讯息仿佛是绝对无法和防火墙内的电脑直接联接。由于防火墙像是进出网络的交通枢纽，所以可以由它们增加企业对网络使用的限制。

防火墙是网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

安全评估：

由于各种平台、应用、连接与变更的速度和有限的资源组合在一起，因此采取所有必要措施保护组织的资产比以往任何时候都困难。环境越复杂，就越需要这种措施和控制来保证组织业务流程的连续性。

4.2.1.5选购和使用防火墙的误区

就本人几年来系统管理员的经验看来，防火墙在选购和使用时经常会有一些误区，如下：

1. 最全的就是最好的，最贵的就是最好的这个问题常常出现在决策层，相信"全能"防火墙，认为防火墙要包括所有的模块，求大而全，不求专而精，不清楚自己的企业需要保护什么，常常是白花了大量的经费却无法取得应有的效果。

2. 一次配置，永远运行这个问题往往都在经验不足的系统管理员手上出现，在初次配置成功的情况下，就将防火墙永远的丢在了一边，不再根据业务情况动态的更改访问控制策略-请注意本文一开始讲到的，缺乏好的允许或者拒绝的控制策略，防火墙将起不到任何作用。

3. 审计是可有可无的这个问题也出现在系统管理员手上出现，表现为对防火墙的工作状态，日志等无暇审计，或即使审计也不明白防火墙的纪录代表着什么，这同样是危险的。

4. 厂家的配置无需改动目前国内比较现实的情况是很多公司没有专业的技术人员来进行网络安全方面的管理，当公司购置防火墙等产品时，只能依靠厂家的技术人员来进行配置，但应当警惕的是，厂家的技术人员即使技术精湛，往往不会仔细的了解公司方面的业务，无法精心定制及审核安全策略，那么在配置过程中很可能会留下一些安全隐患。作为防火墙的试用方不能迷信厂家的技术，即使对技术不是非常清楚，也非常有必要对安全策略和厂家进行讨论。

3.1网络安全现状分析

互联网和网络应用以飞快的速度不断发展，网络应用日益普及并更加复杂，网络安全问题是互联网和网络应用发展中面临的重要问题。网络攻击行为日趋复杂，各种方法相互融合，使网络安全防御更加困难。黑客攻击行为组织性更强，攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移，网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥；手机、掌上电脑等无线终端的处理能力和功能通用性提高，使其日趋接近个人计算机，针对这些无线终端的网络攻击已经开始出现，并将进一步发展。总之，网络安全问题变得更加错综复杂，影响将不断扩大，很难在短期内得到全面解决。总之，安全问题已经摆在了非常重要的位置上，网络安全如果不加以防范，会严重地影响到网络的应用。

网络安全的威胁：

一般认为，计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前，人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现，随着Internet的发展，现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括：通过网络监听获取网上用户的帐号和密码；监听密钥分配过程，攻击密钥管理服务器，得到密钥或认证码，从而取得合法资格；利用UNIX操作系统提供的守护进程的缺省帐户进行攻击，如Telnet Daemon、FTP Daemon和RPC Daemon等；利用Finger等命令收集信息，提高自己的攻击能力；利用SendMail，采用debug、wizard和pipe等进行攻击；利用FTP，采用匿名用户访问进行攻击；利用NFS进行攻击；通过隐藏通道进行非法活动；突破防火墙等等。目前，已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击，最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行，严重时会使系统关机、网络瘫痪。

总而言之，对Internet/Intranet安全构成的威胁可以分为以下若干类型：黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等，这些都可以造成Internet瘫痪或引起Internet商业的经济损失等等。

人们面临的计算机网络系统的安全威胁日益严重。