防火墙作为一种有效的网络安全防御手段

1.防火墙的概念

防火墙是一种网络安全设施，是执行访问控制策略的一个或一组软、硬件系统。其主要手段是通过放置于网络拓扑结构的合适节点上，使其成为内外通讯的唯一途径，从而隔离内部和外部网络。并按照根据安全策略制定的过滤规则（访问控制规则）对经过它的信息流进行监控和审查，过滤掉任何不符合安全规则的信息，以保护内部网络不受外界的非法访问和攻击。防火墙是一种建立在被认为是安全可信的内部网络和被认为是不太安全可信的外部网络（Internet）之间的访问控制机制，是安全策略的具体体现。

2.防火墙的作用

在使用防火墙的决定背后，潜藏着这样的推理：假如没有防火墙，一个内部网络中的所有主机就都暴露在不那么安全的Internet诸协议和设施面前，有面临来自Internet其它主机的探测和攻击的危险；在一个没有防火墙的环境里，网络的安全性只能体现为其中每一台主机的安全性，在某种意义上，只有所有主机共同努力，才能达到较高程度的安全性，并且对网络的入侵不仅来自各种攻击手段，也有可能来自配置上的低级错误或选择不合适的口令，网络越大，其安全性就越难管理。

简单而言，防火墙的主要作用有：

●执行安全策略，提供访问控制，防止不希望的、未授权的通信进出被保护的网

络，强化内部网络安全，例如：可屏蔽部分主机或它们的部分服务，可阻塞IP 源路由选项或ICMP复位向报文等；同时，利用访问控制，可保护脆弱或有缺陷的内部网络服务（如NFS、NIS等），并加强隐私，防止某些服务暴露内部细节（如FINGER、DNS等）。

●防火墙可集中网络安全，由它根据安全策略统一为整个内部网络提供安全保护

和服务；另外可在它上面融入加密传输和认证，以及安全协议等其它安全技术，这样比将安全分散到各主机更经济，更易于管理。

●对网络的使用和误用提供记录和统计，并在探测到试探或攻击等可疑行为时，

提供报警。这些信息对控制和管理防火墙是很重要的，通过它们可了解防火墙是否能抵挡攻击者的攻击、其访问控制是否充足等，并且它们为以后的需求和安全分析提供了实际的基础数据。

3.防火墙的分类和特点

按照防火墙工作方式的不同，可以将它们划分为下面三大类:

3.1包过滤防火墙

检查每一个流入的数据包，丢弃或者通过，取决于防火墙的规则，这种防火墙称为包过滤防火墙。本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有两块网卡，一块连到内部网络，一块连到公共的Internet。

防火墙对每一个数据包检查，查看包中的基本信息(源地址和目的地址、端口号、协议等)，并将这些信息与设定的规则相比较，也可以使用多个复杂规则的组合对数据

包进行检测。

因此，简单的包过滤防火墙具有如下优点：

●速度快，性能高。由于只对数据包的IP地址、TCP/UDP协议和端口

进行分析，不检测应用层信息，因而包过滤防火墙的处理速度较快，并且易于

配置。

●对应用程序透明。

其缺点有：

●安全性低。不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管

知道哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源IP包改成合法IP即可轻松通过包过滤防火墙进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。

●不能根据状态信息进行控制。简单包过滤防火墙不建立连接状态表，前后报文

无关，所以不能处理新的安全威胁。它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。

●不能处理网络层以上的信息。如不支持应用层协议。假如内网用户提出这样一

个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用FTP协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。

●伸缩性差。

●维护不直观。

3.2状态/动态检测防火墙

状态/动态检测防火墙是在包过滤防火墙的基础上通过改进实现对连接状态的跟踪，通过对网络连接的跟踪分析，可以在更高的层次来制定规则以确定是否允许通信。状态检测防火墙摒弃了简单包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点。即从应用层发出一个信息加TCP报头传给IP层，加IP报头传给网络接口层，加上正报头传给网络防火墙，此时它根据数据包的状态信息动态建立和维持一个连接状态表，并且把这个连接状态表用到后续包的访问控制中去，因此状态检测包过滤防火墙的安全性比简单包过滤防火墙大得多，因为它可以跟踪连接状态信息来建立和维持一个连接状态表。相对比较而言，效率也大为增加，因为连接状态表建立以后，对连接后的后续报文不用再进行检查，直接转发，大大提高了效率。

因此，状态检测防火墙具有如下特点：

●不检查数据区。

●建立连接状态表。

●前后报文相关。

●应用层控制很弱。

3.3应用代理防火墙

应用代理防火墙工作在应用层，是特殊的应用服务程序。应用代理防火墙彻底隔断

内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。

应用代理防火墙对应用代理协议的会话有更好的理解；对报文的重组，对应用层高层有更细的访问控制，可以对高层协议进行分析（拆包或匹配），因此它的控制粒度更细，它的安全性大大增加，但由于它需要对高层进行拆包，所以它的效率大大降低。对应用层的保护能力加强了，对网络层和传输层的保护减弱了，即效率降低了，性能提高了。

因此，应用代理防火墙具有如下特点：

●不检查IP、TCP报头。

●不建立连接状态表。

●网络层保护比较弱。

4.网络安全策略

网络安全策略是防火墙系统的重要组成部分和灵魂，而防火墙设备是它的忠实执行者和体现者，二者缺一不可。网络安全策略决定了受保护网络的安全性和易用性，一个成功的防火墙系统首先应有一个合理可行的安全策略，这样的安全策略就必须在安全需求和用户需求、安全和方便之间获得良好的平衡，稍有不慎，不是拒绝了用户的正常需求和合法服务，就是给攻击者制造了可乘之机。对防火

墙而言有两种层次的安全策略：服务访问策略和防火墙设计策略。

4.1服务访问策略

服务访问策略是高层的策略，明确定义了受保护网络应允许和拒绝的网络服务及其使用范围，以及安全措施（如认证等）。作为设计者，应首先进行需求分析，了解本系统打算使用和提供的Internet服务，然后再对网络服务进行安全分析、风险估计和可用性分析，最后经综合平衡后，得到合理可行的服务访问策略。有两种典型的服务访问策略，它们是：

●不允许外部网络访问内部网络，但允许内部网络访问外部网络。

●允许外部网络访问部分内部网络服务。

4.2防火墙设计策略

防火墙设计策略是低层的策略，描述了防火墙如何根据高层定义的服务访问策略来具体地限制访问和过滤服务等，即它必须针对具体的防火墙，考虑其本身的性能和限制来定义过滤规则等，以实现服务访问策略。在设计该策略前，设计者应先从两个防火墙设计的基本策略中选择其一，并根据它和服务访问策略以及经费来选择合适的防火墙系统结构和组件。这两个基本防火墙设计策略是：

●允许所有的通讯或服务进行（除明确拒绝之外的）。

●拒绝所有的通讯或服务进行（除明确允许之外的）。

前者假设防火墙一般应转发所有的通讯，但个别的潜在有害的服务应予以关

闭。它偏重于易用性，带给用户一个更方便和宽松的使用环境，但它同时带来许

多风险，难于保证系统安全，需要管理员及时对防火墙进行监控和管理。随着受

保护网络的增长，安全性问题将更加严重；后者则假设防火墙一般应阻塞所有的

通讯，但个别的期望的服务和通讯应予以转发。它偏重于安全性，建立了一个很

安全的环境，因为只有经过仔细选择的服务才被支持，但同时它对用户的使用带

来了许多不便和严格的限制。