防火墻能防病毒嗎

摘要:網(wǎng)絡(luò)安全，已經(jīng)是大家網(wǎng)絡(luò)生活中不再陌生的一個名詞。作為維護(hù)網(wǎng)絡(luò)安全的設(shè)備——防火墻也是大家再熟悉不過的一種設(shè)備了。防火墻是網(wǎng)絡(luò)安全的第一道防線，也是網(wǎng)絡(luò)安全中最重要的一部分。可是，很多人都對一個問題不是太確定，防火墻能防病毒嗎?

關(guān)鍵詞:防火墻;包過濾技術(shù);多級包過濾技術(shù);DOS

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)27-7643-02

The Firewall can Anti-virus

ZHU Jing

(Fujian Communications Technology College， Fuzhou 350001， China)

Abstract: The network security， already was in everybody network life no longer a strange noun.As the maintenance network security equipment:firewall also was everybody again familiar one kind of equipment.The firewall is the network security first defense line， also is in the network security a most important part.But， very many people all are not too determined to a question， the firewall can anti-virus?

Key words: firewall; package of filtration technology; multistage package filtration technology; DOS

隨著大家對網(wǎng)絡(luò)安全的觀注，對網(wǎng)絡(luò)安全方面的設(shè)備大家也越來越熟悉。作為網(wǎng)絡(luò)安全的第一道防線——防火墻也許是大家日常接觸最多的。但是對于防火墻功能大家也未必真正的很了解。今天我們在這里想和大家一起來討論的一個關(guān)于防火墻的問題就是:防火墻能防病毒嗎?有人說可以，當(dāng)然也有人持相反的意見，那么答案究竟是什么呢?

1 防火墻概念

在回答這個問題之前，我們首先來看看，什么是防火墻呢?

在早期，防火墻的本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物就被稱之為“防火墻”。其實與防火墻一起起作用的就是“門”。在現(xiàn)在，防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時還能讓司機(jī)繼續(xù)控制引擎。在計算機(jī)網(wǎng)絡(luò)世界里，防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

從概念上我們可以得知，防火墻工作是在一定的規(guī)則下進(jìn)行的。防火墻其實就是一種過濾網(wǎng)，你可以讓你喜歡的東西通過這個網(wǎng)留下，不喜歡的都統(tǒng)統(tǒng)過濾掉。所有的防火墻都只會說兩個詞:Yes或者No。直接說就是接受或者拒絕。所以，防火墻可以防住一些由網(wǎng)絡(luò)傳播的病毒，通過光盤等介質(zhì)傳播的病毒她就無能為力了。

傳統(tǒng)的防火墻是基于訪問控制列表進(jìn)行包過濾的，位于在內(nèi)部專用網(wǎng)的入口處，或者是內(nèi)網(wǎng)與外網(wǎng)的交接處，所以也俗稱\"邊界防火墻\"。這種工作原理的防火墻最大的不足就是，不能檢測出基于用戶身份的地址欺騙型數(shù)據(jù)包，并且很容易受到諸如DoS(拒絕服務(wù))、IP地址欺詐等黑客攻擊。面對現(xiàn)代的網(wǎng)絡(luò)安全，傳統(tǒng)的防火墻已經(jīng)不能成功的抵制各種各樣的攻擊，所以現(xiàn)在已基本上沒有防火墻廠商單獨使用這種技術(shù)。

2 防火墻技術(shù)的發(fā)展

隨著防火墻技術(shù)的發(fā)展，防火墻技術(shù)也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術(shù)，如電路級網(wǎng)關(guān)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和動態(tài)包過濾技術(shù)等。應(yīng)用層網(wǎng)關(guān)和電路級網(wǎng)關(guān)是比較好的安全解決方案，它們會在應(yīng)用層檢查數(shù)據(jù)包。但是，我們不可能對每一個應(yīng)用都運(yùn)行這樣一個代理服務(wù)器。這兩種方案在性能上也有很大的不足之處。動態(tài)包過濾是基于連接狀態(tài)對數(shù)據(jù)包進(jìn)行檢查，由于動態(tài)包過濾解決了靜態(tài)包過濾的安全限制，并且比代理技術(shù)在性能上有了很大的改善，因而目前大多數(shù)防火墻廠商都采用這種技術(shù)。但是隨著主動攻擊的增多，狀態(tài)包過濾技術(shù)也面臨著巨大的挑戰(zhàn)，一些黑客也正是利用這種技術(shù)的漏洞傳播病毒，所以，這就是我們經(jīng)常會聽見有些人說防火墻不能防病毒這個觀點。

隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢。 一些防火墻廠商把在系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗證功能越強(qiáng)，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。 這點有效的阻止了一些越權(quán)用戶的訪問，降低了傳播病毒的危險。

同時，更多的廠商也在不斷的發(fā)展自己的技術(shù)，尤其是包過濾技術(shù)。因此出現(xiàn)了一種基于包過濾技術(shù)之上的一種技術(shù)多級過濾技術(shù)。 所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

隨著防火墻技術(shù)的不斷發(fā)展，防火墻的作用也不斷得到完美，甚至出現(xiàn)了一種叫做\"病毒防火墻\"，它能使防火墻具有病毒防護(hù)功能。當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。 所以這也是另一部分人的觀點，防火墻能夠防病毒。

其實防火墻技術(shù)是不斷發(fā)展的。對于個人的計算機(jī)來說，防火墻主要是防止黑客的入侵，通過網(wǎng)絡(luò)端口控制你的電腦或者竊取你電腦上的資料。其它的一些安全的軟件也是必不可少的。殺毒軟件是查殺電腦中隱藏的未發(fā)作的病毒。開著實施監(jiān)控可以在病毒發(fā)作時及時阻止并查殺病毒。前提條件是所用殺毒軟件或防火墻的病毒庫中有這個病毒。現(xiàn)在的網(wǎng)絡(luò)速度飛快，病毒的更新和變種也非常快，要想有效防止病毒，或是黑客入侵，就要及時更新自己的病毒庫，不給病毒機(jī)會。當(dāng)然病毒庫的更新速度要滯后于病毒的演變速度，要相不中招，就不要到那些亂七八糟的網(wǎng)站上去，更不要打開來歷不明的文件，防止中上木馬。

而對于企業(yè)來說，網(wǎng)絡(luò)安全性就顯得更為的重要。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做\"建立以防火墻為核心的網(wǎng)絡(luò)安全體系\"。因為我們在現(xiàn)實中發(fā)現(xiàn)，僅用單一的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。我們可以考慮通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。目前主要有兩種解決辦法:一種是直接把IDS、病毒檢測部分直接“做”到防火墻中，使防火墻具有IDS和病毒檢測設(shè)備的功能;另一種是各個產(chǎn)品分立，通過某種通訊方式形成一個整體，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成過濾和報告。目前更看重后一種方案，因為它實現(xiàn)方式較前一種容易許多。

3 結(jié)束語

今天的網(wǎng)絡(luò)，單一的某一種的網(wǎng)絡(luò)安全的設(shè)備已經(jīng)不能有效的阻止黑客、病毒等等網(wǎng)絡(luò)中的不安全的因素，我們應(yīng)該將各種安全設(shè)備或軟件更好的結(jié)合一起搭配使用，才能更好的實現(xiàn)我們網(wǎng)絡(luò)的安全性。

參考文獻(xiàn):

[1] Noonan W，Dubrawsky I.防火墻基礎(chǔ)[M].北京:人民郵電出版社，2007.

[2] Ford J L.個人防火墻[M].北京:人民郵電出版社，2002.

[3] 曾湘黔.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].重慶:重慶大學(xué)出版社，2005.

[4] 黎連業(yè)，張維，向東明.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社，2004.

[5] 朱雁輝.windows 防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京:電子工業(yè)出版社，2003.

[6] 張琳.防火墻策略與VPN配置[M].南京:東南大學(xué)出版社，2008.