防火墻:一道安全的大門

　　摘 要： 本文主要介紹了防火墻的作用、特性，以及弱點，并提出了解決策略。
　　關鍵詞： 防火墻 作用 特性 弱點 解決策略
　　
　　一、防火墻的作用
　　網絡這個虛擬世界已經變得越來越精彩龐大，網絡的迅速發展，使我們的學習，工作和生活產生了巨大的改變。我們通過網絡獲得需要的信息，共享發布各類資源。如今，Internet遍布世界的每一寸土地和天空，并且迎接任何一個感興趣的人加入其中，相互溝通，相互交流。隨著網絡的擴展，安全問題也越來越受到人們的關注。在網絡日益多樣化、復雜化的今天，如何保護不同的網絡和網絡應用的安全，如何使信息更加安全，成為了各國政府、公司，以及個人用戶探討的重點。
　　接觸過網絡的人都聽說或接觸過網絡中全力闖入他人計算機系統的人即黑客，黑客們利用各種系統和網絡的漏洞，非法獲得未授權的訪問信息。如今攻擊網絡系統和竊取信息已經不需要像過去掌握什么高深的技巧或低級匯編語言，網絡中有大量現成的攻擊文章和攻擊工具等資源，可以隨意地下載使用和共享。不需要清楚那些攻擊程序是如何在計算機中運行的，只需要簡單地下載運行就可以給網絡造成極大的威脅。甚至有些程序不需要經人為的參與，就可以智能化掃描和破壞目標網絡。這種情況使得近幾年網上的攻擊密度和攻擊強度顯著增長，給網絡安全帶來越來越多的隱患。
　　我們可以通過具體的網絡策略，設備和工具來保護我們認為不太安全的網絡。其中防火墻是運用最為廣泛和迄今效果最好的選擇。它可以防御網絡中大多數威脅，并且作出及時的響應，將那些危險的攻擊和連接行為隔絕在系統之外，從而降低網絡的整體風險。
　　二、防火墻的特性
　　防火墻就像一道安全門一樣，其基本功能是對網絡通信進行必要的篩選屏蔽以防未授權的或不安全的訪問進出計算機網絡，簡單地概括就是，對網絡進行訪問控制。絕大部分的防火墻都是放置在可信任網絡（Internal）和不可信任網絡（Internet）之間。
　　防火墻一般有以下三個特性：
　　1.所有的通信都必須經過防火墻；
　　2.防火墻只放行通過經授權的網絡流量；
　　3.防火墻能經受得住對防火墻本體的攻擊。
　　我們可以看成防火墻是在可信任網絡和不可信任網絡之間的一個隔絕緩沖，防火墻可以是一臺有訪問控制策略的路由器（Route+ACL），及一臺多個網絡接口的計算機，服務器等，被配置成保護特定網絡，使其免受來自于非受信網絡區域的某些協議與服務的影響。所以一般情況下防火墻都位于網絡邊界，例如保護企業網絡的防火墻，一般部署在內網到外網的核心區域上。
　　如果沒有防火墻，好多人得出經驗結論：系統安全性的平均值將是網絡被攻破的那個安全基準。可是經驗并不一定是對的，真實的情況更是糟糕：整個網絡的安全性將被網絡中最脆弱的短板所制約，即著名的木桶理論。沒有人可以保證網絡中每個節點每個服務都永遠保持在最佳狀態。網絡越復雜，把網絡中所有主機維護至同等高的安全水平就越困難，將會耗費大量的時間和精力。整個的安全響應速度變得不可忍受，最終可能導致整個安全框架的崩潰。
　　廣大用戶要求，防火墻必須負責保護以下三個方面的風險：
　　1.機密性；
　　2.數據完整性；
　　3.可用性。
　　三、防火墻的弱點
　　在防火墻的應用中我們發現了它還有如下弱點。
　　1.防御不了已經授權的訪問和網絡內部系統間的攻擊；
　　2.防御不了合法用戶惡意的攻擊，以及非程序預期的威脅；
　　3.修復不了本身不安全的管理措施和已存有問題的安全策略；
　　4.防御不了繞過防火墻的攻擊和威脅。
　　綜上所述，我們首先必須面對一個事實，絕對的安全是沒有的。我們所能做的是提高用戶系統的安全系數，延長安全的穩定周期，縮短消除威脅的反應時間。
　　四、解決策略
　　在多種強大的防火墻里，我們選擇業界內口碑一流的防火墻CheckPoint的WebIntelligence（Web智能技術）和StatefulInspection（狀態檢測技術）來簡單介紹一下對于防火墻的Web安全保護和智能防御。
　　簡單來說，狀態檢測技術工作在OSI參考模型的DataLink與Network層之間，數據包在操作系統內核中，在數據鏈路層和網絡層時間被檢查。防火墻會生成一個會話的狀態表，InspectEngine檢測引擎依照RFC標準維護和檢查數據包的上下文關系。該技術是CheckPoint發明的專利技術。對狀態和上下文信息的收集使得CheckPoint防火墻不僅能跟蹤TCP會話，而且能智能處理無連接協議，如UDP或RPC。這樣就保證了在任何來自服務器的數據被接受前，必須有內部網絡的某一臺客戶端發出了請求，而且如果沒有受到響應，端口也不會處于開放的狀態。狀態檢測對流量的控制效率是很高的，同時對于防火墻的負載和網絡數據流增加的延遲也是非常小，可以保證整個防火墻快速，有效地控制數據的進出和作出控制決策。
　　在Web環境中，威脅來自于多個方面，從端點到傳輸到邊界，最后到達Web服務器和后臺數據庫。這一系列的數據交換將會引發大量的安全問題。傳統的防火墻的功能對于Web的保護相當有限。比如，無法深入檢測HTTP的內容，不能理解Web應用的上下文，性能低下，無法提前部署與防御，等等。CheckPoint的WebIntelligence，有一種名為MaliciousCodeProtector（可疑代碼防護器）來提供對應用層的保護。比如，Web會話是否符合RFC的標準不能包含二進制數據，協議使用是否為預期或典型的，應用是否引入了有害的數據或命令，應用是否執行了未授權的操作或引入了有害的可執行代碼，等等。如何判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網絡傳輸中的可執行代碼，模擬行來判斷攻擊，將可執行代碼放置到一個虛擬的仿真服務器中運行，檢測是否對虛擬系統造成威脅，最終來決定是否定義為攻擊行為。該技術最大的優勢是可以非常精確地阻止已知和未知攻擊，并且誤報率相當低。
　　通過多種技術的協同防護，可以保證在網絡邊界對訪問進行控制。但是，隨著VPN網絡和遠程移動辦公用戶的接入增多，網絡邊界的概念在如今已經非常模糊了。顯然，網絡的邊界已經拓展到觀點廣大用戶的桌面端。所以從文章一開始我們就說到的，網絡安全是需要具體的策略和綜合的部署來做保證的。結論就是：真正的安全=整體集成安全解決方案+及時更新。