1.1 防火墙概述_信息安全产品配置与应用-QQ阅读男生历史网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

相关知识

1.1 防火墙概述

1.1.1 什么是防火墙

防火墙原是建在大楼内用于防火的一道墙，就如森林里的隔离带或防止外敌入侵的护城河。在计算机网络中，防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在的破坏性入侵，保护网络内部的安全。

防火墙是不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间信息的唯一出入口，本身具有强大的抗攻击能力，可以根据企业的安全政策（允许、拒绝、监测）控制出入网络的信息流。

物理上，防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器。

1.1.2 防火墙的功能

1.防火墙是网络安全的屏障

防火墙通过过滤不安全的服务降低风险，能够极大地提高内部网络的安全性。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。比如，防火墙可以禁止众所周知的不安全的NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些协议的脆弱性来攻击内部网络。防火墙还可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

2.防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如，在网络访问时，一次口令系统和其他的身份认证系统完全不必分散在各个主机上，而是集中在防火墙上。

3.对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的，可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4.防止内部信息的外泄

利用防火墙对内部网络的划分，可实现内部网络中重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响。隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的（如Finger、DNS等）服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等，而且Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意，等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布于世界各地的LAN或专用子网有机地连成一个整体，不仅省去了专用通信线路，而且为信息共享提供了技术保障。

1.1.3 防火墙的局限性

1.限制有用的网络服务

防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络系统服务。由于绝大多数网络服务在设计之初根本没有考虑安全性，只考虑使用的方便和资源共享，所以难免存在安全问题。这样防火墙将限制这些服务，等于从一个极端走到了另一个极端。

2.无法防止内部网络用户的攻击

目前，防火墙只是提供对外部网络用户的防护，对来自内部网络用户的攻击只能依靠网络主机系统的安全性。也就是说，防火墙对内部网络用户来讲形同虚设，目前还没有更好的解决办法，只有采用多层防火墙系统。

3.无法防范不经过防火墙的攻击

假如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。用户可能会对需要附认证的代理服务器感到厌烦，因而向ISP（互联网服务提供商）或ISP连接，从而试图绕过由精心构造的防火墙提供的安全系统。这就为从后门攻击创造了极大的可能。网络用户必须了解这种类型的连接对于一个有安全保护系统来说是绝对不允许的。

4.不能完全防止传送已感染病毒的文件

因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望Internet防火墙对每一个文件进行扫描，查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其他来源进入网络系统。

5.无法防范数据驱动型的攻击

数据驱动型的攻击从表面上看是无害的数据被邮寄或复制到Internet主机上，但一旦执行就开始攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面章节中我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。

6.不能防备新的网络安全问题

防火墙是一种被动式的防护手段，只能对已知的网络威胁起作用。随着网络攻击手段的不断更新和一些新的网络应用的出现，不可能靠一次性的防火墙设置来解决永久的网络安全问题。