淺談防火墻技術的合理使用

張　澄

摘要：防火墻是近幾年發展起來的一種保護計算機網絡安全的技術措施，也是目前使用最廣泛的一種網絡安全防護技術。本文提出了防火墻的配置在網絡安全中的重要性，闡釋了防火墻規則集是防火墻產品安全的重要措施。

關鍵詞：防火墻；配置；網絡；安全

如今，Internet遍布世界任何一個角落，并且歡迎任何一個人加入其中，相互溝通，相互交流。網絡已經成為了人類所構建的最豐富多彩的虛擬世界，網絡的迅速發展，給我們的工作和學習生活帶來了巨大的改變。我們可以通過網絡獲得信息，共享資源。但隨著網絡的延伸，安全問題受到人們越來越多的關注。在構建安全的網絡環境的過程中，防火墻作為第一道安全防線，人們總是把防火墻的使用放在網絡安全建設的首位。

1 防火墻配置及安全功能

目前，防火墻已經成為世界上用得最多的網絡安全產品之一。防火墻是網絡安全中非常重要的一環，大多數的單位不惜重金購買防火墻，但卻忽視了防火墻的配置。防火墻功能的強大與否，除了防火墻本身的性能外，主要是取決對防火墻的正確配置。在與許多使用防火墻的用戶接觸中，發現常常由于防火墻配置的錯誤，而留下一些系統安全漏洞，讓入侵者有機可趁。

當一個網絡接上Internet之后，系統的安全除了考慮計算機病毒、系統的健壯性之外，更主要的是防止非法用戶的入侵。通常被保護的網絡屬于我們自己或者是我們負責管理的，而所要防備的網絡則是一個外部的網絡，該網絡是不可信賴的，因為可能有人會從該網絡上對我們的網絡發起攻擊，破壞網絡安全。防火墻是位于兩個信任程度不同的網絡之間，如企業內部網絡和Internet之間的軟件或硬件設備的組合，對網絡之間的通信進行控制，通過強制實施統一的安全策略，防止對重要信息資源進行非法存取和訪問，達到保護系統安全的目的。防火墻處于企業或網絡群體計算機與外界通道之間，限制外界用戶對內部網絡進行訪問并具備管理內部用戶訪問外界網絡的權限。能有效地監控內部網和Internet之間的活動，保證內部網絡的安全，使企業的網絡規劃清晰明了，識別并屏蔽非法請求，有效防止跨越權限的數據訪問。它既可以是非常簡單的過濾器，也可能是精心配置的網關，監測并過濾所有內部網和外部網之間的信息交換，防火墻保護著內部網絡的敏感數據不被竊取和破壞，并記錄內外通信的有關狀態信息日志，如通信發生的時間和進行的操作等等。新一代的防火墻甚至可以阻止內部人員將敏感數據向外傳輸。

2 安全、可靠的防火墻的實現

實現防火墻產品安全的非常關鍵的一步是建立一個條理清楚的防火墻規則集。安全、可靠防火墻的實現取決于以下的過程：

2.1 制定安全策略，搭建安全體系結構

安全策略要靠防火墻的規則集來實現的，防火墻是安全策略得以實現的技術工具。所以，必須首先來制定安全策略，也就是說防火墻要保護的是什么，要防止的是什么，并將要求細節化，使之全部轉化成防火墻規則集。

2．2 制定規則的合理次序

一般防火墻產品在缺省狀態下有兩種默認規則：一種是沒有明確允許，一律禁止；另一種是沒有明確禁止，一律允許。因此用戶首先要理解自己所用產品的默認狀態，這樣才能開始配置其它的規則。

在防火墻產品規則列表中，最一般的規則被列在最后，而最具體的規則被列在最前面。在列表中每一個列在前面的規則都比列在后面的規則更加具體，而列表中列在后面的規則比列在前面的規則更加一般。

按以上規則要求，規則放置的次序是非常關鍵的。同樣的規則，以不同的次序放置，可能會完全改變防火墻產品的運行狀況。大部分防火墻產品以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規則相比較，然后才是第二條、第三條……，當它發現一條匹配規則時，就停止檢查并應用那條規則。如果信息包經過每一條規則而沒有發現匹配的規則，那么默認的規則將起作用，這個信息包便會被拒絕。另外有些防火墻產品專門將對防火墻本身的訪問列出規則，這要比一般的包過濾規則嚴格的多，通過這一規則的合理配置，阻塞對防火墻的任何惡意訪問，提高防火墻本身的安全性。

2．3 詳細的注釋，幫助理解

恰當地組織好規則之后，還建議寫上注釋并經常更新它們。注釋可以幫助明白哪條規則做什么，對規則理解的越好，錯誤配置的可能性就越小。同時建議當修改規則時，把規則更改者的名字、規則變更的日期、時間、規則變更的原因等信息加入注釋中，這可以幫助你跟蹤誰修改了哪條規則，以及修改的原因。

2．4 做好日志工作

日志的記錄內容由防火墻管理員制定，可記錄在防火墻制定，也可放置在其它的主機。建議防火墻管理員定期的查看日志的內容，歸檔，便于分析。同時要將被規則阻塞的包及時的通報管理員，以便及時了解網絡攻擊的狀況，采取應急措施，保護網絡的安全。

3 防火墻配置三大誤區

3.1 誤區一：使用通用的操作系統

購置了防火墻后，許多人犯的第一個錯誤是：安裝防火墻前沒有對通用操作系統加強保護。許多企業未認識到通用操作系統的不安全性，常使用供應商預先安裝的操作系統，或者在裝防火墻軟件之前，只按照默認方式安裝。通用操作系統通常是一個多用戶系統，方便員工訪問系統資源，但是，同時也是不安全的，強烈建議企業不要將防火墻安裝在通用操作系統上。

3．2 誤區二：采用默認防火墻配置

事實上，沒有一種商業防火墻在默認配置時是安全的，以下是默認配置不安全的三個因素：其一它允許所有DSN自由出人防火墻，其二允許路由信息協議(RIP)進出防火墻，其三，允許各種因特網控制消息協議(ICMP)進出防火墻。在部署防火墻之前，應該知道哪些特殊的默認設置需要變更。配置防火墻前需要確定，限制哪些IP地址，刪除任何默認用戶名和口令，禁止從外部(不可靠的)網絡實行管理，禁止利用不安全協議管理防火墻，鏟除不安全的策略配置。

3．3 誤區三：配置測試不夠全面

安全系統的測試與其他系統正好相反，判斷安全配置的標準是不允許哪些協議包能通過，而是能否準確無誤地丟棄包。測試防火墻配置的簡便方法就是運用端口掃描程序。端口掃描程序的目的在于迅速連接到系統所有可能的TCP或UDP端口，在進行簡單的端口掃描后，也可以嘗試一些較復雜的掃描方法。

4 結束語

由于防火墻產品的實施相對簡單，因此它是維護網絡安全普遍采用的安全產品之一。但是防火墻產品僅是給用戶提供了一套安全防范的技術手段，只有合理的使用和良好的配置，才能使用戶的安全策略很好的融入到防火墻產品之中，使其真正起到保護用戶網絡安全的作用。

參考文獻

[1]楊子江．合理實施防火墻配置[J]．軟件世界，2007，11．

[2]網絡安全與防火墻的合理使用[J]．計算機與信息技術，2007，10．