防火牆是一類防範措施的總稱,它使得內部網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪,用來保護內部網絡。設置防火牆目的都是爲了在內部網與外部網之間設立惟一的通道,允許網絡管理員定義一箇中心“扼制點”提供兩個網絡間的訪問控制,使得只有被安全策略明確授權的信息流才被允許通過,對兩個方向的信息流都能控制,它的主要作用是防止發生網絡安全事件引起的損害,使***更難實現,來防止非法用戶,比如防止***、網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡,並抗擊來自各種路線的***。Internet防火牆能夠簡化安全管理,網絡的安全性是在防火牆系統上得到加固,而不是分佈在內部網絡的所有主機上。
高級一些的防火牆提供信息流過濾功能到個人終端和端口,更高級的防火牆提供基於訊息內容的信息流過濾功能。一般來說,防火牆還包括稽覈和對網絡信息流進行監控,爲管理人員提供對下列問題的答案:誰在使用網絡,他們在網上做什麼,他們什麼時間使用過網絡,他們上網時去了何處,誰要上網但沒有成功。
圍繞着防火牆出現了一些常用的概念,它們是:
1)外網(非受信網絡):防火牆外的網絡,一般爲Internet。
2)內網(受信網絡):防火牆內的網絡。受信主機和非受信主機分別對照內網和外網的主機。3)非軍事化區(DMZ):爲了配置管理方便,內網中需要向外提供服務的服務器往往放在一個單獨的網段,這個網段便是非軍事化區(DMZ區)。非軍事化區把互聯網與公司的內部網隔離成兩個網絡。通常的做法是設置兩道防火牆,使互聯網與內部網“間隔”成一塊非管制區。一般在非管制區設置訪問控制,當然,對非管制區的訪問並不意味着對可信任的網絡的訪問。
在沒有防火牆的環境中,網絡安全性完全依賴主系統安全性。在一定意義上,所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大,把所有主系統保持在相同安全性水平上的可管理能力就越小。隨着安全性的失誤和失策越來越普遍,闖入時有發生,這不是因爲受到多方的***,而僅僅是因爲配置錯誤、口令不適當而造成的。因此,雖然防火牆的概念很簡單,卻是網絡安全措施中最基礎的也是非常重要的一個環節。
防火牆可以大大提高網絡安全性,並通過過濾不安全的服務來降低子網上主系統所冒的風險。因此,子網網絡環境可經受較少的風險,因爲只有經過選擇的協議才能通過防火牆。防火牆可以禁止某些易受***的服務(如NFS)進入或離開受保護的子網。這樣得到的好處是可防護這些服務不會被外部***者利用,而同時允許在大大降低被外部***者利用的風險情況下使用這些服務。防火牆還可以防護基於路由選擇的***,如源路由選擇和企圖通過ICMP改向把發送路徑轉向遭致損害的網點。防火牆可以排斥所有源點發送的包和ICMP改向,然後把偶發事件通知管理人員。
防火牆還有能力控制對網點系統的訪問。例如,某些主系統可以由外部網絡訪問,而其他主系統則能有效地封閉起來,從而防止有害的訪問。除了郵件服務器或信息服務器等特殊情況外,網點可以防止外部對其主系統的訪問。這就把防火牆特別擅長執行的訪問政策置於重要地位:不訪問不需要訪問的主系統或服務。
如果一個子網的所有或大部分需要改動的軟件以及附加的安全軟件能集中地放在防火牆系統中,而不是分散到每個主機中,防火牆的保護就相對集中一些,也相對便宜一點。尤其對於密碼口令系統或其他的身份認證軟件等等,放在防火牆系統中更是優於放在每個Internet能訪問的機器上。
如果通過互聯網的往返訪問都通過防火牆,那麼,防火牆可以記錄各次訪問,並提供有關網絡使用率的有價值的統計數字。如果一個防火牆能在可疑活動發生時發出報警,則還提供防火牆和網絡是否受到試探或***的細節。採集網絡使用率統計數字和試探的證據是很重要的,這有很多原因。最爲重要的是可知道防火牆能否抵禦試探和***,並確定防火牆上的控制措施是否得當。網絡使用率統計數字也是很重要的,因爲它可作爲網絡需求研究和風險分析活動的輸入。
綜上所述,防火牆之所以重要,是因爲它是提供實施和執行網絡訪問安全策略的工具。事實上,在一個與互聯網相連的網絡當中,都是由防火牆向用戶和服務提供訪問控制。然而企業網絡的整體安全涉及的層面相當廣,防火牆不僅無法解決所有的安全問題,防火牆所使用的控制技術、自身的安全保護能力、網絡結構、安全政策等因素也都會影響企業網絡的安全性。
雖然防火牆可以很方便的監視網絡的安全性,但是網絡管理員必須審查並記錄所有通過防火牆的重要信息。如果網絡管理員不能及時響應報警並審查常規記錄,防火牆就形同虛設。在這種情況下,網絡管理員永遠不會知道防火牆是否受到***。
防火牆無法防範通過防火牆以外的其他途徑的***。例如,在一個被保護的網絡上有一個沒有限制的撥出存在,內部網絡上的用戶就可以直接通過SLIP或PPP連接進入Internet,從而繞過精心構造的防火牆系統,這就爲從後門***創造了極大的可能。
防火牆不能防止來自內部變節者和不經心的用戶帶來的威脅。防火牆無法禁止心懷不滿的員工或公司內部的間諜將敏感數據拷貝到軟盤或PCMCIA卡上,並將其帶出公司。防火牆也不能防範這樣的***:僞裝成超級用戶或詐稱新僱員,從而勸說沒有防範心理的用戶公開口令或授予其臨時的網絡訪問權限。所以必須對僱員們進行教育,讓他們瞭解網絡***的各種類型,並懂得保護自己的用戶口令和週期性變換口令的必要性。
防火牆也不能防止傳送已感染病毒的軟件或文件。這是因爲病毒的類型太多,操作系統也有多種,編碼與壓縮二進制文件的方法也各不相同。所以不能期望防火牆去對每一個文件進行掃描,查出潛在的病毒。對病毒特別關心的機構應在每個桌面部署防病毒軟件,防止病毒從軟盤或其他來源進入網絡系統。
防火牆無法防範數據驅動型的***。數據驅動型的***從表面上看是無害的數據被郵寄或拷貝到Internet主機上,但一旦執行就開始***。一個數據型***可能導致主機修改與安全相關的文件,使得***者很容易獲得對系統的訪問權。
在衆多影響防火牆安全性的因素中,有些是管理人員可以控制的,但是有些卻是在選擇了防火牆之後便無法改變的特性,其中一個很重要的關鍵在於防火牆所使用的存取控制技術。目前防火牆的控制技術大概可分爲:包過濾型(PacketFilter)、包檢驗型(StatefulInspectionPacketFilter)以及應用層網關型(ApplicationGateway)三種。這三種技術分別在安全性或效率上有其特別的優點。不過一般人往往只注意防火牆的效率而忽略了安全性與效率之間的衝突。
包過濾型:包過濾型的控制方式會檢查所有進出防火牆的包標頭內容,如來源及目的地IP,使用協定,TCP或UDP的Port等信息。現在的路由器、交換式路由器以及某些操作系統已經具有用包過濾控制的能力。包過濾型的控制方式最大的好處是效率最高,但卻有幾個嚴重缺點:管理複雜、無法對連線作完全的控制、規則設置的先後順序會嚴重影響結果、不易維護以及記錄功能少。
包檢驗型:包檢驗型的控制機制是通過一個檢驗模組對包中的各個層次作檢驗。包檢驗型可謂是包過濾型的加強版,目的在增加包過濾型的安全性,增加控制“連線”的能力。但由於包檢驗的主要檢查對象仍是個別的包,不同的包檢驗方式可能會產生極大的差異。其檢查層面越廣越安全,但其相對效率也越低。包檢驗型防火牆在檢查不完全的情況下,可能會造成原來以爲只有特定的服務可以通過,通過精心設計的數據包,可在到達目的地時因重組而被轉變成原來並不允許通過的連線請求。2001年被公佈的有關防火牆的FastModeTCPFragment的安全弱點就是其中一例。這個爲了增加效率的設計反而成了安全弱點。
應用層網關型:應用層網關型的防火牆採用將連線動作攔截,由一個特殊的代理程序來處理兩端間的連線的方式,並分析其連線內容是否符合應用協定的標準。
這種方式的控制機制可以從頭到尾有效的控制整個連線的動作,而不會被客戶或服務器端欺騙,在管理上也不會像包過濾型那麼複雜,但可能必須針對每一種應用寫一個專屬的代理程序,或用一個一般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式,但也是效率最低的一種方式。
因此,作爲網絡安全的一個重要技術手段,防火牆是不可或缺的。但是,日常的管理、維護,比如根據網絡結構的變化而及時調整防火牆的安全策略等,卻是更加重要的。不能因爲有了防火牆而萬事大吉,否則反而會導致更嚴重的安全問題。