第五章防火墻技術(shù)基礎(chǔ)

第五章防火墻技術(shù)基礎(chǔ)由于系統(tǒng)的安全性是由它的最薄弱環(huán)節(jié)決定，因此，安全范圍必須是整個系統(tǒng)性的。例如，在某個大企業(yè)的內(nèi)部網(wǎng)絡(luò)中，含有許多不同品牌和型號的機器，而這些機器的操作系統(tǒng)和應(yīng)用程序又是千差萬別。它們再通過不同供應(yīng)商提供的不同性能和容量的網(wǎng)絡(luò)設(shè)備和路由器連接起來。在這樣不同種類、不斷變化的環(huán)境中，檢測整個系統(tǒng)和確保所有部件的安全是相當(dāng)費時和復(fù)雜的。

防火墻的基本知識 防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，目的是保護網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。防火墻的基本功能（1）防火墻能有效地記錄因特網(wǎng)上的活動（2）防火墻限制暴露用戶點（3）防火墻是一個安全策略的檢查站（4）建立一個節(jié)流點。防火墻作為中心控制點，易于實現(xiàn)和更新公司的安全策略。它能為網(wǎng)絡(luò)提供安全的單訪問點。所以用戶可以在一個地方改變設(shè)置而無需改動每臺機器。防火墻能在網(wǎng)絡(luò)范圍內(nèi)加強安全，比如防止網(wǎng)絡(luò)中的每個人都有權(quán)訪問某些Internet資源。

防火墻在因特網(wǎng)與內(nèi)部網(wǎng)中的位置

防火墻可以看成是安裝在兩個網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計劃和安全策略中的定義來保護其后面的網(wǎng)絡(luò)。它應(yīng)該滿足以下條件：（1）所有進出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻。（2）所有穿過防火墻的通信流都必須有安全策略和計劃的確認(rèn)和授權(quán)。（3）理論上說，防火墻是穿不透的。防火墻的不足之處（1）防火墻不能防范不通過它的連接

如果網(wǎng)絡(luò)具有其他聯(lián)接方式，比如一臺WindowsPC使用一臺調(diào)制解調(diào)器通過ISP聯(lián)到Internet上，因為連接不經(jīng)過防火墻，因此繞過了防火墻提供的安全控制。

（2）防火墻不能防備全部的威脅

防火墻不能防止許多常見的Internet問題，如病毒和特洛伊木馬。

從物理角度看，各站點防火墻物理實現(xiàn)的方式有所不同。許多人認(rèn)為防火墻是一臺機器，有一些網(wǎng)絡(luò)是這種情況。然而，防火墻這一術(shù)語和所執(zhí)行的功能關(guān)系更緊密一些，而不是指物理設(shè)備。防火墻可以是一組硬件設(shè)備，即路由器、主計算機或者是路由器、計算機和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。但是也有純軟件防火墻，如天網(wǎng)個人防火墻。防火墻相關(guān)術(shù)語防火墻通常由多個不同的部分組成,包括包過濾器(packetfilters)、代理(proxies)和主機(hosts)等。我們需要了解這些概念,以及網(wǎng)絡(luò)地址翻譯和操作系統(tǒng)硬化的含義。

包過濾器包過濾器在包對包的基礎(chǔ)上進行網(wǎng)絡(luò)流量的處理。它們只在OSI參考模型的網(wǎng)絡(luò)層工作,因此,它們能夠準(zhǔn)許或阻止IP地址和端口，并且能夠在標(biāo)準(zhǔn)的路由器上以及專門的防火墻設(shè)備上執(zhí)行。一個純包過濾器只關(guān)注下列信息:源IP地址

、目標(biāo)IP地址、源端口、目標(biāo)端口、包類型 包過濾器的一個基本例子就是位于Internet

和內(nèi)部網(wǎng)絡(luò)之間的路由器，它根據(jù)數(shù)據(jù)包的來源、目的地址和端口來過濾。這樣的路由器被稱為篩分路由器(screeningrouter)。

標(biāo)準(zhǔn)路由器和篩分路由器的不同之處在于二者檢查報文的方式。普通路由器只是查看IP地址并把報文發(fā)送到至目的地的正確路徑上。篩分路由器檢查報文頭，不僅要決定怎樣對其進行路由，還要基于一些規(guī)則決定是否應(yīng)對其進行路由。 包過濾系統(tǒng)只能讓我們進行類似以下情況的操作： （1）允許或不允許用戶從外部網(wǎng)用Telnet登錄； （2）允許或不允許用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件； （3）允許或不允許某個IP通過NNTP往內(nèi)部網(wǎng)發(fā)新聞。

包過濾不能允許我們進行如下的操作：（1）允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進行這種操作。（2）允許用戶傳送一些文件而不允許用戶傳送其它文件。

包過濾的優(yōu)點 包過濾方式有許多優(yōu)點，而其主要優(yōu)點之一是僅用一個放置在重要位置上的包過濾路由器就可保護整個網(wǎng)絡(luò)。如果我們的站點與因特網(wǎng)間只有一臺路由器，那么不管站點規(guī)模有多大，只要在這臺路由器上設(shè)置合適的包過濾，我們的站點就可獲得很好的網(wǎng)絡(luò)安全保護。

包過濾的缺點（1）在機器中配置包過濾規(guī)則比較困難；（2）對系統(tǒng)中的包過濾規(guī)則的配置進行測試也較麻煩；（3）許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要找一個比較完整的包過濾產(chǎn)品比較困難。

包過濾路由器的配置 在配置包過濾路由器時，我們首先要確定哪些服務(wù)允許通過而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過濾規(guī)則。 下面給出將有關(guān)服務(wù)翻譯成包過濾規(guī)則時非常重要的幾個概念。（1）協(xié)議的雙向性。

協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個請求而另一方返回一個應(yīng)答。在制定包過濾規(guī)則時，要注意包是從兩個方向來到路由器的。

（2）“往內(nèi)”與“往外”的服務(wù)的含義。在我們制定包過濾規(guī)則時，必須準(zhǔn)確理解“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個詞的語義。

（3）“默認(rèn)允許”與“默認(rèn)拒絕”。網(wǎng)絡(luò)的安全策略中的有兩種方法：默認(rèn)拒絕與默認(rèn)允許:

拒絕所有的信息傳輸在這種情況下,將指定準(zhǔn)許進出網(wǎng)絡(luò)的某些類型的信息傳輸。準(zhǔn)許所有的信息傳輸在這種情況下,將指定你要拒絕的某些類型的信息傳輸。從安全角度來看，用默認(rèn)拒絕應(yīng)該更合適。

包過濾器操作（l）由于包過濾器是一臺按照預(yù)先設(shè)定的內(nèi)容對每一個包進行檢查的設(shè)備，因此，必須告訴包過濾器阻塞什么,準(zhǔn)許什么。這些包過濾標(biāo)準(zhǔn)必須由包過濾設(shè)備端口存儲起來，叫做包過濾規(guī)則。（2）包過濾器規(guī)則以特定的方式存儲，比如包過濾器使用由安全管理員已經(jīng)建立好的文本文件。這個文本文件由逐行順序讀取的一些規(guī)則組成。每一個規(guī)則包含明確的條目來幫助決定流入的包將如何被處理。

（3）當(dāng)包到達端口時，對包的報頭進行語法分析，大多數(shù)包過濾設(shè)備只檢查IP、TCP或UDP報頭中的字段，不檢查包體的內(nèi)容。（4）如果一條規(guī)則阻止包傳輸或接收，此包便不被允許通過。（5）如果一條規(guī)則允許包傳輸或接收，該包允許通過。（6）如果一個包不滿足任何一條規(guī)則，該包被阻塞。因為一旦包在過濾器中的某個部分沒有通過,后續(xù)的規(guī)則將不再被讀取。因此,要記住考慮一下在一個過濾器中規(guī)則的順序。 包過濾操作流程圖代理服務(wù)器 一、何為proxy？

英文是ProxyServer，功能就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信息。代理服務(wù)器位于網(wǎng)絡(luò)和Internet之間，接收、分析服務(wù)請求，并在允許的情況下對其進行轉(zhuǎn)發(fā)。代理服務(wù)提供服務(wù)的替代連接，比如，網(wǎng)絡(luò)內(nèi)部的一個用戶想要遠(yuǎn)程登錄到Internet上的一臺主機，代理服務(wù)器會接收用戶請求，決定是否準(zhǔn)許其到遠(yuǎn)程的連接，之后建立自身與遠(yuǎn)程目標(biāo)主機之間及自身與用戶之間的Telnet會話。

代理的實現(xiàn)過程

代理服務(wù)器是在雙重宿主主機或堡壘主機上運行一個特殊程序。使一些僅能與內(nèi)部用戶交談的主機同樣也可以與外界交談，這些用戶的客戶程序通過與該代理服務(wù)器交談來代替直接與外部因特網(wǎng)中的服務(wù)器的“真正的”交談。代理服務(wù)器判斷從客戶端來的請求并決定哪些請求允許傳送而哪些應(yīng)被拒絕。當(dāng)某個請求被允許時，代理服務(wù)器就代表客戶與真正的服務(wù)器進行交談，并將從客戶端來的請求傳送給真實服務(wù)器，將真實服務(wù)器的回答傳送給客戶。代理服務(wù)器有兩種類型：

◆應(yīng)用層代理(Application-layerproxies）(也稱做應(yīng)用層網(wǎng)關(guān)）◆鏈路層代理(Circuit-levelproxies）(也稱做鏈路層網(wǎng)關(guān)）◆應(yīng)用層代理到目前為止,最流行的代理服務(wù)器類型是那些對應(yīng)用層流量的代理。代理服務(wù)器從內(nèi)部網(wǎng)絡(luò)客戶端接受請求。然后,如果客戶端被代理服務(wù)器授權(quán)了,代理服務(wù)器將代表客戶端與外部服務(wù)器進行通信?！翩溌穼哟礞溌穼哟砉ぷ髟贠SI參考模型的傳輸層。鏈路層代理的另一個名字是鏈路層網(wǎng)關(guān)(circuit-levelgateway）。

鏈路層代理服務(wù)器常常提供網(wǎng)絡(luò)地址翻譯。意思是一臺網(wǎng)絡(luò)主機將內(nèi)部網(wǎng)絡(luò)主機的包進行修改,這樣,它們就能夠通過Internet發(fā)出了。最流行的鏈路層代理是使用協(xié)議SOCKS(SOCKSprotocol）的一種代理。作為中介，代理服務(wù)器隱藏了關(guān)于用戶的一些信息。假設(shè)用戶正在從事一項高度保密的項目，那么用戶就想對外(Internet)隱藏關(guān)于其所在網(wǎng)絡(luò)的信息—IP地址等等。代理服務(wù)器會把用戶地址改成自己的地址，使用一個內(nèi)部表來解析到正確目的地的進出報文。對于外面的人而言，只有一個IP地址(代理服務(wù)器的IP地址)可見。 代理服務(wù)器適用于特定的Internet服務(wù)，如HTTP、FTP等。比如http代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的一臺服務(wù)器，有了它之后，瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁而是向代理服務(wù)器發(fā)出請求，Request信號會先送到代理服務(wù)器，由代理服務(wù)器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。

HTTP代理服務(wù)器通常都擁有一個高速緩存，這個緩存存儲用戶經(jīng)常訪問的站點內(nèi)容，在下一個用戶要訪問同一站點時，服務(wù)器就不用重復(fù)地獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出即可，既節(jié)約了時間也節(jié)約了網(wǎng)絡(luò)資源。代理服務(wù)器的主要功能：1連接Internet與Intranet充當(dāng)防火墻： 因為所有內(nèi)部網(wǎng)的用戶通過代理服務(wù)器訪問外界時，只映射為一個IP地址，所以外界不能直接訪問到內(nèi)部網(wǎng)；同時可以設(shè)置IP地址過濾，限制內(nèi)部網(wǎng)對外部的訪問權(quán)限；另外，兩個沒有互聯(lián)的內(nèi)部網(wǎng)，也可以通過第三方的代理服務(wù)器進行互聯(lián)來交換信息。2節(jié)省IP開銷： 如前面所講，所有用戶對外只占用一個IP，所以不必租用過多的IP地址，降低網(wǎng)絡(luò)的維護成本。這樣，局域網(wǎng)內(nèi)沒有與外網(wǎng)相連的眾多機器就可以通過內(nèi)網(wǎng)的一臺代理服務(wù)器連接到外網(wǎng)，大大減少費用。當(dāng)然也有它不利的一面，如許多網(wǎng)絡(luò)黑客通過這種方法隱藏自己的真實IP地址，而逃過監(jiān)視。3提高訪問速度： 本身帶寬較小，通過帶寬較大的proxy與目標(biāo)主機連接。而且通常代理服務(wù)器都設(shè)置一個較大的硬盤緩沖區(qū)（可能高達幾個GB或更大），當(dāng)有外界的信息通過時，同時也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問相同的信息時，則直接由緩沖區(qū)中取出信息，傳給用戶，從而達到提高訪問速度的目的。

決定proxy的速度的因素:

1.proxy所在的網(wǎng)絡(luò)。網(wǎng)絡(luò)的出口帶寬就直接決定著其中的proxy的速度。 2.proxyserver的性能。 3.proxyserver與你的機器之間的距離。4.你所訪問的站點情況。

代理服務(wù)器的優(yōu)點和特點代理服務(wù)器的主要優(yōu)點是能夠提供NAT。對公共網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)是極為重要的。除此以外,還有下列的好處:驗證、日志記錄和報警、緩存、較少的規(guī)則面向代理的防火墻對IP包的查尋是很深入的,它們并不停留于OSI參考模型的網(wǎng)絡(luò)層。它們可以在應(yīng)用層上讀取文本字符串,并且它們能夠驗證用戶。由于代理服務(wù)器提供更多的特點,它們通常需要額外的系統(tǒng)資源。這樣,在網(wǎng)絡(luò)上運行一個代理服務(wù)器可能需要更昂貴的硬件。使用代理的不足之處：首先它會使訪問速度變慢，因為不允許用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級網(wǎng)關(guān)需要對每一個特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)軟件，其次，用戶不能使用未被服務(wù)器支持的服務(wù)，對每一類服務(wù)要使用特殊的客戶端軟件，尤其是，并非所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。使用代理服務(wù)器與遠(yuǎn)端TCP/IP連接的客戶端,必須配置使用一個代理服務(wù)器并且具備所有指定參數(shù)的正確設(shè)置。同時代理服務(wù)不能保護我們不受協(xié)議本身缺點的限制。

防火墻體系結(jié)構(gòu)

有四種常用的防火墻設(shè)計,每一個都提供了一個確定的安全級別。這四個選擇是:

屏蔽路由器雙重宿主主機體系結(jié)構(gòu)主機過濾體系結(jié)構(gòu)子網(wǎng)過濾體系結(jié)構(gòu)

1，屏蔽路由器

屏蔽路由器(screeningrouter)被認(rèn)為是出色的首道防線屏蔽路由器的選擇是最簡單和最常用的。這個方法費用不高,但仍提供了顯著的保護。只使用一臺屏蔽路由器的解決方案可能會有一些缺點。主要的一個缺點是建立恰當(dāng)?shù)倪^濾器需要高水平的TCP/IP知識。另一個缺點是只有一臺單一的設(shè)備在保護網(wǎng)絡(luò)。屏蔽路由器還沒有高質(zhì)量的監(jiān)控或日志記錄功能。

2．雙重宿主主機體系結(jié)構(gòu) 雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計算機而構(gòu)筑的。該計算機至少有兩個網(wǎng)絡(luò)接口，這樣的主機可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。

雙重宿主主機的防火墻體系結(jié)構(gòu)是相當(dāng)簡單的，雙重宿主主機位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)。右圖顯示這種體系結(jié)構(gòu)。

防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的網(wǎng)絡(luò)系統(tǒng)（在因特網(wǎng)上）也能與雙重宿主主機通信。通過雙重宿主主機，防火墻內(nèi)外的計算機便可進行通信了，但是這些系統(tǒng)不能直接互相通信，它們之間的IP通信被完全阻止。 在主機過濾體系結(jié)構(gòu)中提供安全保護的壁壘主機僅僅與內(nèi)部網(wǎng)相連。另外，主機過濾結(jié)構(gòu)還有一臺單獨的路由器（過濾路由器）。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供，其結(jié)構(gòu)如右圖所示。3．主機過濾體系結(jié)構(gòu)堡壘主機既可以被配置成鏈路級也可以是應(yīng)用級網(wǎng)關(guān)。當(dāng)使用這兩種類型中的任意一種時,每一個都是代理服務(wù)器,堡壘主機可以用來隱藏內(nèi)部網(wǎng)絡(luò)的配置。

在某些方面,這種實施方式優(yōu)于包過濾防火墻。首先,它增加了一臺壁壘主機以及鏈路級和應(yīng)用級網(wǎng)關(guān),同樣,壁壘本身構(gòu)成又一個安全設(shè)備，因為這種防火墻在網(wǎng)絡(luò)和任意一個外部網(wǎng)絡(luò)(如Internet）之間建立了一個完全的物理間隔,所以它的實施是安全的。比起包過濾器來,這種方法的缺點在于成本的增加和性能上可能的下降。

最常用的、實現(xiàn)一個防火墻的方法是屏蔽子網(wǎng)(screenedsubnet）。它也被稱做是非軍事化區(qū),這是由于它在Internet和你的網(wǎng)絡(luò)之間,建立了一個相當(dāng)安全的空間,或子網(wǎng)。子網(wǎng)過濾體系結(jié)構(gòu)添加了額外的安全層到主機過濾體系結(jié)構(gòu)中，即通過添加屏蔽子網(wǎng)，更進一步地把內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)隔離開。 子網(wǎng)過濾體系結(jié)構(gòu)的最簡單的形式為兩個過濾路由器，每一個都連接到子網(wǎng)，一個位于子網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個位于子網(wǎng)與外部網(wǎng)絡(luò)之間。4．子網(wǎng)過濾體系結(jié)構(gòu)（1）屏蔽子網(wǎng)

屏蔽子網(wǎng)是在內(nèi)外部網(wǎng)之間另加的一層安全保護網(wǎng)絡(luò)層。如果入侵者成功地闖過外層保護網(wǎng)到達防火墻，屏蔽子網(wǎng)就能在入侵者與內(nèi)部網(wǎng)之間再提供一層保護。 如果入侵者僅僅侵入到屏蔽子網(wǎng)的堡壘主機，他只能偷看到這層網(wǎng)絡(luò)的信息流（看不到內(nèi)部網(wǎng)的信息），而這層網(wǎng)絡(luò)的信息流僅從屏蔽子網(wǎng)往來于外部網(wǎng)或者從屏蔽子網(wǎng)往來于堡壘主機。因為沒有純粹的內(nèi)部信息流在屏蔽子網(wǎng)中流動，所以即使堡壘主機受到損害也不會讓入侵者破壞內(nèi)部網(wǎng)的信息流。（2）堡壘主機 在子網(wǎng)過濾結(jié)構(gòu)中，我們將堡壘主機與屏蔽子網(wǎng)相連，而這臺主機是外部網(wǎng)服務(wù)于內(nèi)部網(wǎng)的主節(jié)點。它為內(nèi)部網(wǎng)服務(wù)的主要功能有：①它接收外來的電子郵件再分發(fā)給相應(yīng)的站點；②它接收外來的FTP，并連到內(nèi)部網(wǎng)的匿名FTP服務(wù)器；③它接收外來的有關(guān)內(nèi)部網(wǎng)站點的域名服務(wù)。

（3）內(nèi)部路由器

內(nèi)部路由器的主要功能是保護內(nèi)部網(wǎng)免受來自外部網(wǎng)與屏蔽子網(wǎng)的侵?jǐn)_。 內(nèi)部路由器完成防火墻的大部分包過濾工作，它允許某些站點的包過濾系統(tǒng)認(rèn)為符合安全規(guī)則的服務(wù)在內(nèi)外部網(wǎng)之間互傳。（4）外部路由器

外部路由器既可保護屏蔽子網(wǎng)又保護內(nèi)部網(wǎng)。實際上，在外部路由器上僅做一小部分包過濾，它幾乎讓所有外向請求通過。 外部路由器的包過濾主要是對屏蔽子網(wǎng)上的主機提供保護。然而，一般情況下，因為屏蔽子網(wǎng)上主機的安全主要通過主機安全機制加以保障，所以由外部路由器提供的很多保護并非必要。

外部路由器真正有效的任務(wù)就是阻斷來自外部網(wǎng)上偽造源地址進來的任何數(shù)據(jù)包。這些數(shù)據(jù)包自稱是來自內(nèi)部網(wǎng)，而其實它是來自外部網(wǎng)。入侵者總是把他們偽裝成來自于內(nèi)部網(wǎng)。要用包過濾路由器來實現(xiàn)我們設(shè)計的安全規(guī)則，唯一的方法是通過屏蔽子網(wǎng)上的包過濾路由器。只有處在這種位置上的包過濾路由器才能通過查看包的源地址和目的地址，從而辨認(rèn)出這個包到底是來自于內(nèi)部網(wǎng)還是來自于外部網(wǎng)。這種網(wǎng)絡(luò)體系結(jié)構(gòu)的主要好處在于,黑客要想接近網(wǎng)絡(luò),必須破壞三個分離的設(shè)備,而且不被發(fā)現(xiàn)。再一個好處是由于所有的出去和進來的信息包直接到達屏蔽子網(wǎng),而不是你的網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)有效地隱形于Internet。第三,由于這個路由信息包含在網(wǎng)絡(luò)中,內(nèi)部用戶不能不穿過壁壘主機而訪問Internet。

防火墻自身的安全性 大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)上，但往往忽略一點，防火墻也是網(wǎng)絡(luò)上的主機設(shè)備或軟件系統(tǒng)，也可能存在安全問題。防火墻如果不能確保自身安全，則防火墻的控制功能再強，也終究不能完全保護內(nèi)部網(wǎng)絡(luò)。

硬件問題當(dāng)選擇硬件時,只使用經(jīng)測試過的常用的硬件,而不是那些邊緣技術(shù)。這些新的技術(shù)可以在生產(chǎn)環(huán)境中測試之后,通常會發(fā)現(xiàn)一些安全漏洞。確定處理器運行多快和購買多少RAM將由壁壘主機的角色而定。

還必須備份壁壘主機,它應(yīng)該配置有它自己的磁帶備份設(shè)備。

操作系統(tǒng)

包過濾器常常運行在路由器上,它們具有包過濾器必須使用的專用的操作系統(tǒng)。但是很多防火墻安裝在一般的操作系統(tǒng)上，如unix、NT系統(tǒng)。在防火墻主機上的執(zhí)行的除了防火墻軟件外，還有其他程序、系統(tǒng)核心，當(dāng)防火墻上所執(zhí)行的軟件出現(xiàn)安全漏洞時，防火墻本身也將受到威脅。應(yīng)該單獨地并且在所有層次上保護每一臺壁壘主機。

還應(yīng)該盡可能多的刪除操作系統(tǒng)上的應(yīng)用程序。消除任何多余的服務(wù)、后臺運行程序或應(yīng)用程序是建立一個安全的壁壘主機中最基本的步驟。黑客提出的批評： 首先，對任何打成包的大型商用防火墻，如果沒有配置它的知識，那對你是毫無用處的。同時，一個商用防火墻軟件包又自己創(chuàng)建了風(fēng)險。就像一個黑客指出的：“兩千個人在他們的站點上安裝了“SuperFirewallX”，然后你和我坐了一兩個星期并闖進了“SuperFirewallX”—嘿，我們一下就可攻擊兩千個站點”。

防火墻的關(guān)鍵技術(shù)防火墻技術(shù)發(fā)展到現(xiàn)在，其技術(shù)競爭的焦點主要是在管理、功能、性能、抗攻擊能力這四個方面：管理是關(guān)鍵：用戶要使用一個安全的防火墻系統(tǒng)，就需要實行一套安全的防火墻策略，這就對防火墻的實際操作人員提出較高要求。由于不同防火墻在管理上存在差異。因此，管理的難易程度可能造成管理員的錯誤配置，使網(wǎng)絡(luò)產(chǎn)生安全隱患，因為無法要求每個網(wǎng)絡(luò)管理員都是網(wǎng)絡(luò)安全專家，所以管理是網(wǎng)絡(luò)安全的關(guān)鍵。功能是基礎(chǔ)：防火墻所具有的功能越來越多，但防火墻是否具有信息內(nèi)容過濾是選購防火墻時需要著重考察的功能點,內(nèi)容過濾能夠?qū)崿F(xiàn)對應(yīng)用層內(nèi)容的檢測，提高網(wǎng)絡(luò)的安全性,內(nèi)容過濾是在http,ftp和smtp等協(xié)議層根據(jù)過濾條件對信息流進行控制。JavaApplet,JavaScript,ActiveX,Servlet,CGI,PHP,電子郵件附加的DOC和ZIP文件；FTP下載和上載文件的內(nèi)容等都可能包含危險信息，如病毒,非法的關(guān)鍵字,非法操作命令等。因此對內(nèi)容進行過濾能有效地提高網(wǎng)絡(luò)的安全性。性能是中堅：防火墻是網(wǎng)絡(luò)的單一接入設(shè)備，吞吐量小，就會造成網(wǎng)絡(luò)出口的瓶頸，以至影響到整個網(wǎng)絡(luò)的傳輸效率。如果還需要對外提供如Web服務(wù)，DNS域名解析或郵件服務(wù)等，防火墻就得通過更大流量的信息，因此防火墻的吞吐能力對其性能表現(xiàn)有重要作用。并發(fā)連接數(shù)是指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)。它不僅能體現(xiàn)防火墻建立和維持TCP連接的性能，而且通過并發(fā)連接數(shù)的大小體現(xiàn)防火墻對來自于客戶端的TCP連接請求的響應(yīng)能力。如果支持的并發(fā)連接數(shù)有限，它就會成為網(wǎng)絡(luò)的瓶頸。為了提高防火墻的處理速度，使防火墻的實際吞吐率接近或達到線速。一些防火墻摒棄了通用的平臺而采用專門的設(shè)計，使用高速的RISC處理器和高效的實時操作系統(tǒng)并采用專用的ASIC芯片。這類防火墻雖然失去了硬件平臺的通用性，但是其專業(yè)的ASIC設(shè)計使防火墻處理速度有了本質(zhì)的提高。抗攻擊力是保證：目前，在“黑客”的攻擊行為中，使用最多、最有效的是DDoS攻擊，它造成的結(jié)果是服務(wù)器無法正常提供服務(wù)。防火墻作為網(wǎng)絡(luò)的單一通道，要保證受保護網(wǎng)絡(luò)的安全，它本身應(yīng)具有抗攻擊能力?？构裟芰Φ拇笮》从沉怂旧淼陌踩裕蔷W(wǎng)絡(luò)安全的保證，也是用戶購買防火墻的重要參考指標(biāo)。僅安裝一個防火墻，設(shè)置好它的規(guī)則，而后讓它選擇通過的數(shù)據(jù)包是遠(yuǎn)遠(yuǎn)不夠的。還需要經(jīng)常檢查防火墻的日志文件。通過檢查這些文件，確定是不是有新的IP地址在探測你的網(wǎng)絡(luò)，然后確定是不是需要采用更嚴(yán)格的防火墻規(guī)則來過濾它們，或是追蹤這些探測行為并采取相應(yīng)的行動。

防火墻的新發(fā)展：狀態(tài)檢測技術(shù)

這是防火墻近兩年才應(yīng)用的新技術(shù)。傳統(tǒng)“包過濾”技術(shù)只是通過檢測IP包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，由CheckPoint提出的狀態(tài)多層檢測準(zhǔn)許包過濾器克服包過濾中的缺點。由于防火墻可以維護一個過去連接的數(shù)據(jù)庫,因此,它允許包過濾器在OSI參考模型的所有層上對包進行檢測,并不只是在網(wǎng)絡(luò)層上進行檢測。

狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，因此，與傳統(tǒng)包過濾防火墻相比，它具有較好的系統(tǒng)性能和安全性。

選擇防火墻的原則

注意一：防火墻自身是否安全

1，防火墻是否基于安全（甚至是專用）的操作系統(tǒng)；2，防火墻是否采用專用的硬件平臺。只有基于安全（甚至是專用）的操作系統(tǒng)并采用專用硬件平臺的防火墻才能提供最大限度的安全。注意二：系統(tǒng)是否穩(wěn)定就一個成熟的產(chǎn)品來說,系統(tǒng)的穩(wěn)定性是最基本的要求。但是目前由于種種原因，有些防火墻尚未最后定型或經(jīng)過嚴(yán)格的大量測試就被推向了市場。 防火墻的穩(wěn)定性情況從廠家的宣傳材料中是看不出來的,但可以從以下幾個渠道獲得：1，國家權(quán)威的測評認(rèn)證機構(gòu),如公安部計算機安全產(chǎn)品檢測中心和中國國家信息安全測評認(rèn)證中心。2，實際調(diào)查，考察這種防火墻是否已經(jīng)有了使用單位，用戶們對于該防火墻的評價。如有可能,最好咨詢一下那些對穩(wěn)定性要求較高的重要單位的用戶,如政府機關(guān)、國家部委、證券或銀行系統(tǒng)、軍隊用戶等。3，自己試用，先在自己的網(wǎng)絡(luò)上進行一段時間的試用。注意三：是否高效高性能是防火墻的一個重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性，也體現(xiàn)了用戶使用防火墻所需付出的安全代價。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度地下降的話，就意味著安全代價過高，用戶是無法接受的。一般來說，防火墻加載上百條規(guī)則，其性能下降不應(yīng)超過5％（指包過濾防火墻）。注意四