網絡防火墻的合理應用之我見

網絡防火墻是指一個或一組實施訪問控制策略的系統，它可以是軟件、硬件或軟硬件的結合，其目的是提供對網絡的安全保護。它通常位于內部網絡和外部網絡之間，可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;控制外部計算機可以訪問內部受保護的環境，并確定訪問的時間、權限、服務類型和質量等，檢查內部流傳的信息，避免保密信息流出，達到抵擋外部入侵和防止內部信息泄密的目的。

一、安裝網絡防火墻的意義

隨著在家庭和工作環境中人們對Internet的依賴日益增長，針對計算機系統缺陷的潛在攻擊威脅也在增加，例如有組織或無組織的攻擊、病毒、蠕蟲、特洛伊木馬、惡意文本和惡意代碼、拒絕服務、肉雞系統、危及個人信息安全的間諜程序、新的潛在攻擊者、不可靠或易感染的應用等。要保護計算機和網絡免受已經存在或新的威脅攻擊，就需要采取措施保護自己的環境免受這些威脅，從而維護自己的信息安全性。防火墻是其中的一種最流行的安全設施。自從美國Digital公司1986年在Internet上安裝了全球第一個商用防火墻系統，提出防火墻的概念之后，該項技術便得到了飛速的發展。

二、網絡防火墻的配置與網絡的安全

防火墻是網絡安全中非常重要的一環，大多數的單位多半認為僅需要安裝一套防火墻設備，就應該可以解決他們的安全問題，因此不惜重金購買防火墻，但卻忽視了防火墻的配置。防火墻功能的強大與否，除了防火墻本身的性能外，主要是取決于對防火墻的正確配置。在與使用防火墻的用戶接觸中，筆者發現常常由于防火墻配置的錯誤，留下一些系統安全漏洞，讓入侵者有機可趁。

在裝有防火墻產品的網絡中，內部網絡的安全性將在一定程度上依賴于防火墻產品的規則配置。由于一些配置在本質上比其他的配置更安全，因而網絡安全系統的一個重要組件，在復雜的、沒有條理性的配置上，想要獲得安全性是很困難的，甚至可以說是不可能的。

對于使用防火墻的用戶來說，最合適的網絡配置依賴于對網絡安全性、靈活性及數據傳輸速度的要求。因為防火墻規則的增加會影響其速度，不過目前有些防火墻產品在加一千余條規則后，其傳輸速度也不會受到太大的影響。

三、安全、可靠的網絡防火墻的實現

建立一個條理清楚的防火墻規則集，是實現防火墻產品安全的關鍵一步。安全、可靠防火墻的實現，取決于以下的過程。

1.制定安全策略，搭建安全體系結構

安全策略要靠防火墻的規則集來實現，防火墻是安全策略得以實現的技術工具。所以，必須首先制定安全策略，也就是說防火墻保護的是什么，防止的是什么，并將要求細節化，使之全部轉化成防火墻規則集。

2.制定規則的合理次序

一般防火墻產品在缺省狀態下有兩種默認規則:一種是沒有明確允許，一律禁止;另一種是沒有明確禁止，一律允許。因此，用戶首先要理解自己所用產品的默認狀態，這樣才能開始配置其它的規則。

在防火墻產品的規則列表中，最一般的規則被列在最后的位置，而最具體的規則被列在最前面的位置。在列表中，每一個列在前面的規則都比列在后面的規則更加具體，而列表中列在后面的規則比列在前面規則更加一般。

按以上規則要求，規則放置的次序是非常關鍵的。同樣的規則，以不同的次序放置，可能會完全改變防火墻產品的運行狀況。大部分防火墻產品以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規則相比較，然后才是第二條、第三條……當它發現一條匹配規則時，就停止檢查并應用那條規則。如果信息包經過每一條規則而沒有發現匹配的規則，那么，默認的規則將起作用，這個信息包便會被拒絕。

另外，有些防火墻產品專門將對防火墻本身的訪問列出規則，這要比一般的包過濾規則嚴格得多。通過這一規則的合理配置，阻塞了對防火墻的任何惡意訪問，提高了防火墻本身的安全性。

3.詳細地注釋，幫助理解

恰當地組織好規則后，還應寫上注釋并經常更新它們。注釋可以幫助用戶明白哪條規則做什么。對規則理解得越透徹，錯誤配置的可能性就越小。同時，在修改規則時，應該把規則更改者的名字、規則變更的日期、時間、規則變更的原因等信息加入注釋中。

4.做好日志工作

日志的記錄內容由防火墻管理員制定，可記錄在防火墻制定，也可放置在其它的主機內。建議防火墻管理員定期查看日志的內容，歸檔，便于分析。同時，要將被規則阻塞的包及時通報管理員，以便及時了解網絡攻擊的狀況，采取應急措施，保護網絡的安全。

(作者單位:山東省鄒城市技工學校)