河南省電子產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)所 趙志強(qiáng) 謝利濤 馬桂云

計(jì)算機(jī)防火墻分類與應(yīng)用

河南省電子產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)所 趙志強(qiáng) 謝利濤 馬桂云

一、防火墻的概念

防火墻是一種位于2個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的組件集合。對(duì)于普通用戶來說，防火墻指的就是一種被放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過它的判斷處理后，才會(huì)決定能不能把這些數(shù)據(jù)傳輸給計(jì)算機(jī)，一旦發(fā)現(xiàn)非法數(shù)據(jù)的傳輸，防火墻就會(huì)攔截下來，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。

二、防火墻分類

基于具體實(shí)現(xiàn)方法可以分為以下3種類型：

1.軟件防火墻。防火墻運(yùn)行于特定的計(jì)算機(jī)上，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻與其他的軟件產(chǎn)品一樣，需要先在計(jì)算機(jī)上安裝并做好配置后方可使用。使用這類防火墻，需要網(wǎng)絡(luò)管理人員對(duì)所使用的操作系統(tǒng)平臺(tái)比較熟悉。

2.硬件防火墻。由計(jì)算機(jī)硬件、通用操作系統(tǒng)和防火墻軟件組成。在定制的計(jì)算機(jī)硬件上，采用通用計(jì)算機(jī)系統(tǒng)、U盤、網(wǎng)卡組成的硬件平臺(tái)上運(yùn)行Linux、FreeBSD和Solaris等經(jīng)過最小化安全處理后的操作系統(tǒng)及集成的防火墻軟件。其特點(diǎn)是開發(fā)成本低、性能實(shí)用，且穩(wěn)定性和擴(kuò)展性較好。但是由于此類防火墻依賴操作系統(tǒng)內(nèi)核，因此受到操作系統(tǒng)本身安全性的影響，處理速度較慢。

3.專用防火墻。采用通過特別優(yōu)化設(shè)計(jì)的硬件體系結(jié)構(gòu)，使用專用的操作系統(tǒng)。此類防火墻在穩(wěn)定性和傳輸性方面有著得天獨(dú)厚的優(yōu)勢(shì)，其速度快、處理能力強(qiáng)、性能高。由于采用專用操作系統(tǒng)，因而容易配置和管理，本身漏洞也比較少，但是擴(kuò)展能力有限，價(jià)格也較高。由于專用防火墻系列化程度好，用戶可以根據(jù)應(yīng)用環(huán)境選擇合適的產(chǎn)品。

三、防火墻的功能

1.允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入到內(nèi)部網(wǎng)絡(luò)。

2.可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并實(shí)時(shí)報(bào)警。

3.可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的基礎(chǔ)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺的問題。

4.是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳方法。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門級(jí)的計(jì)費(fèi)結(jié)果。

四、防火墻的作用

早期的防火墻一般就是利用設(shè)置的條件，監(jiān)測(cè)通過包的特征來決定放行或者阻止，因此包過濾是很重要的一種特性。雖然防火墻技術(shù)發(fā)展到現(xiàn)在有了很多新的理念提出，但是包過濾依然是非常重要的一環(huán)，如同4層交換機(jī)仍要具備包的快速轉(zhuǎn)發(fā)功能一樣。通過包過濾，防火墻可以實(shí)現(xiàn)阻擋攻擊，禁止外部和內(nèi)部訪問某些站點(diǎn)，限制每個(gè)IP的流量和連接數(shù)。

2.包的透明轉(zhuǎn)發(fā)。事實(shí)上，由于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前端。用戶對(duì)服務(wù)器訪問的請(qǐng)求與服務(wù)器反饋給用戶的信息，都需要經(jīng)過防火墻來轉(zhuǎn)發(fā)，因此，很多防火墻具備網(wǎng)關(guān)的能力。

3.阻擋外部攻擊。如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會(huì)立即將其阻斷，避免其進(jìn)入防火墻之后的服務(wù)器中。

4.記錄攻擊。如果有必要，其實(shí)防火墻是完全可以將攻擊行為都記錄下來的，但是出于效率方面的考慮，目前一般記錄攻擊的功能都交給IDS（入侵檢測(cè)系統(tǒng)）來完成。

五、防火墻的選擇和實(shí)施

1.選擇。防火墻是一類防范措施的總稱，簡(jiǎn)單的防火墻可以只用路由器來實(shí)現(xiàn)，復(fù)雜的防火墻要用1臺(tái)主機(jī)甚至1個(gè)子網(wǎng)來實(shí)現(xiàn)，它可以在IP層設(shè)置屏障，也可以用應(yīng)用層軟件來阻止外來攻擊，所以我們要根據(jù)實(shí)際需要，對(duì)防火墻進(jìn)行選擇應(yīng)用，技術(shù)人員的任務(wù)是權(quán)衡利弊，在網(wǎng)絡(luò)服務(wù)高效靈活、安全保障和應(yīng)用成本之間找到一個(gè)“最佳平衡點(diǎn)”。

（1）對(duì)防火墻的主要類型和各種類型的優(yōu)缺點(diǎn)要有所了解。

（2）防火墻的穩(wěn)定性和它所支持的平臺(tái)種類。

（3）使用單位愿意為防火墻投資多少經(jīng)費(fèi)。

（4）使用單位的技術(shù)力量如何，能否維護(hù)復(fù)雜的防火墻。

2.管理和維護(hù)。選擇、安裝適合的防火墻后，我們還要對(duì)防火墻進(jìn)行管理和維護(hù)。

（1）管理維護(hù)人員必須經(jīng)過一定的專業(yè)培訓(xùn)，對(duì)單位自身的網(wǎng)絡(luò)必須有一個(gè)清楚的了解和認(rèn)識(shí)。

（2）定期進(jìn)行掃描和檢測(cè)，以便及時(shí)發(fā)現(xiàn)問題和堵住漏洞。

（3）保證系統(tǒng)監(jiān)控和防火墻通信線路的暢通，發(fā)生安全問題時(shí)及時(shí)報(bào)警，并及時(shí)處理有關(guān)安全問題。

（4）分清工作重點(diǎn)，根據(jù)不同時(shí)期進(jìn)行網(wǎng)絡(luò)安全的監(jiān)控。

（5）要與廠家保持聯(lián)系，以便及時(shí)獲得有關(guān)升級(jí)和維護(hù)的信息。

防火墻作為維護(hù)網(wǎng)絡(luò)安全的關(guān)鍵設(shè)備，在目前采用的網(wǎng)絡(luò)安全的防范體系中，占有著舉足輕重的位置。隨著計(jì)算機(jī)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，越來越多的企業(yè)與個(gè)人都遭遇到不同程度的安全難題，因此市場(chǎng)對(duì)防火墻的設(shè)備需求和技術(shù)要求都在不斷地提高。