淺談防火墻基本功能與網絡安全問題

張文麗

我們可以通過很多網絡工具、設備和策略來保護網絡，其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為隔絕在外，從而降低網絡的整體風險。

一、防火墻的基本功能及特點

防火墻的基本功能是對網絡通信進行篩選屏蔽以防止未授權的訪問進出計算機網絡，簡單的概括就是，對網絡進行訪問控制。絕大部分的防火墻都是放置在可信任網絡（Intemal）和不可信任網絡（Intemet）之間。

1、防火墻一般有三個特性：A.所有的通信都經過防火墻；B.防火墻只放行經過授權的網絡流量；C.防火墻能經受的住對其本身的攻擊；

2、防火墻的主要優點如下：A.防火墻可以通過執行訪問控制策略而保護整個網絡的安全，并且可以將通信約束在一個可管理和可靠性高的范圍之內； B.防火墻可以用于限制對某些特殊服務的訪問；C.防火墻功能單一，不需要在安全性，可用性和功能上做取舍；D.防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應的周期。

3、同樣的，防火墻也有許多弱點：A.不能防御已經授權的訪問，以及存在于網絡內部系統聞的攻擊；B.不能防御合法用戶惡意的攻擊.以及社交攻擊等非預期的威脅；C.不能修復脆弱的管理措施和存在問題的安全策略；D.不能防御不經過防火墻的攻擊和威脅。

二、網絡安全與防火墻技術

網絡用戶（組織）對網絡依賴主要來自予運行在網絡上的各種應用，同樣的，網絡的范圍也覆蓋到整個組織的運營區域。我們將分析一個典型的企業網絡，從結構，應用，管理，以及安全這幾個層次來探討一下對企業來說，如何去實現真正的網絡安全。

首先是網絡內部，即面向企業內部員工的工作站。我們不能保證用戶每一次操作都是正確與安全的，絕大多數情況下，他們僅知道如何去使用面前的計算機來完成屬于自己的本職工作。但可能由于訪問非法網站，下載或運行不可信程序，使用移動設備復制帶有病毒的文件等看似平常的操作而導致比如病毒，木馬，間諜程序，惡意腳本通過內部網絡中某一臺工作站而進入到網絡并且迅速的蔓延。由于如今流行的操作系統存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，網絡的迅速發展，也給這類威脅提供高速繁殖的媒介。特別是企業內部擁有高速的網絡環境，給各種威脅的擴散與轉移提供了可能。現在人們都通過安裝防病毒軟件來防御病毒的威脅，但是面對蠕蟲和木馬程序，后門程序等，防病毒軟件并不能起到很顯著的效果，不能從根本上消除安全威脅。所以我們說，保護好工作站的安全，是企業網絡安全的一個重要部分。

通過上面簡單的分析和舉例，工作站的安全工作主要包含如下幾個方面：桌面防病毒，桌面防火墻，系統補丁管理，系統授權與審核，軟件使用許可監控和網絡訪問控制。從保護用戶系統的穩定性與可用性以及綜合安全的角度，我們可選擇市場上流行的解決桌面安全的產品作為桌面防病毒和防火墻的集成安全解決方案。該類產品最大的優勢是不存在互操作性問題，防火墻與桌面入侵檢測完美結合，提供如今防御混合性威脅最佳組合。

其次是網絡結構的安全性。管理人員都知道，通過部署多層交換機，實現多個VLAN和快速收斂的路由，是保證網絡結構的可靠性與強壯性的最佳方法。在劃分了多個邏輯網絡和建立符合應用的ACL的同時，我們更希望能收集和歸納出整個網絡的更多安全信息，包括流量的管理，QOS，入侵行為和用戶訪問信息。僅通過網絡設備提供的日志，SNMP管理是遠遠不夠的，現今的方法是通過部署IDS/IPS來實現。在核心的節點部署IDS/IPS探點，采集和匯總數據包的完整信息，提供給管理人員分析是正確的方法。當然了，這也要求管理人員的技術水平達到一定的高度，并且會耗費一部分時間用于分析日志。入侵檢測系統能與其他的網絡設備聯動，減少誤報，共同響應與阻斷威脅，將是未來的發展趨勢和重點。

網絡的核心區域包括核心交換機，、核心路由器等重要設備，它們負擔整個網絡的核心數據的轉發，并且連接著DMZ區的各個關鍵應用，如OA系統，ERP系統，CRM系統，對內或對外的Web服務器，數據庫服務器等。從安全的角度來說，這個區域是最關鍵的，也是風險最集中的區域。我們不但要在網絡的邊界部署防火墻，也要在這個區域部署為保護DMZ等類似的關鍵區域的防火墻。但是如果部署安全策略，在提高安全性的同時，勢必會影響其可用性。這個矛盾是不可調和的。與邊界防火墻不同的是，關鍵區域的防火墻主要是面對內部用戶，保護重要服務和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，比如掃描，滲透，入侵，拒絕服務攻擊等攻擊，也要提供諸如NAT服務，出站控制，遠程VPN用戶和移動用戶訪問的授權等。我們可以將各種防御的職能根據網絡的結構和提供的應用來分派到兩類防火墻上來。即內部防火墻重點保護DMZ區域，提供深層次的檢測與告警。因為一旦涉及到數據包深入檢測，將會大大影響設備的性能。而這是對邊界防火墻要求高性能數據過濾和轉發，不成為出口瓶頸所不能容忍的。管理人員應該先充分了解網絡的特點與用途，結合設備與現有的網絡環境靈活部署，才能達到較高可用性與安全性的平衡。

如今的防火墻的功能越來越強大，這里我們選擇業界一流的防火墻CheckPoint的Stateful Inspection（狀態檢測技術）和Web Intelligence來簡單介紹防火墻的智能防御與Web安全保護。

防火墻的狀態檢測技術工作在OSI參考模型的數據鏈路層與網絡層之間，數據包在操作系統內核中，在數據鏈路層和網絡層時間被檢查。防火墻會生成一個會話的狀態表，其檢測引擎依照RFC標準維護和檢查數據包的上下文關系。對狀態和上下文信息的收集，使得防火墻不僅能跟蹤TCP會話，也能智能處理無連接協議，如UDP或RPC。這樣就保證了在任何來自服務器的數據被接受前，必須有內部網絡的某一臺客戶端發出了請求，而且如果沒有受到響應，端口也不會處于開放的狀態。狀態檢測對流量的控制效率是很高的，同時對于防火墻的負載和網絡數據流增加的延遲也是非常小。可以保證整個防火墻快速，有效的控制數據的進出和做出控制決策。

在Web環境中，威脅來自于多個方面，從端點到傳輸到邊界，最后到達Web服務器和后臺數據庫。這一系列的數據交換將會引發大量的安全問題。業界一流的防火墻CheckPoint的Web Intelligence（Web智能技術），有一種名為Malicious Code ProtectoI（可疑代碼防護器淶提供對應用層的保護。比如，Web會話是否符合RFC的標準不能包含二進制數據，協議使用是否為預期或典型的，應用是否引入了有害的數據或命令，應用是否執行了未授權的操作或引入了有害的可執行代碼等。如何去判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網絡傳輸中的可執行代碼，模擬行來判斷攻擊，將可執行代碼放置到一個虛擬的仿真服務器中運行，檢測是否對虛擬系統造成威脅，最終來決定是否定義為攻擊行為。該技術最大的優勢是可以非常精確的阻止已知和未知攻擊，并且誤報率相當低。

在日益復雜的網絡環境中，我們可以采用防火墻技術和其它多種技術進行協同防護，保證在網絡邊界對訪問進行控制，以“御敵于門外”。當然，我們還需要綜合的部署和完善的策略來降低網絡的整體風險，保證網絡的可靠，以期實現信息時代的網絡安全。