防火墻:一道安全的大門

　　摘 要： 本文主要介紹了防火墻的作用、特性，以及弱點，并提出了解決策略。
　　關(guān)鍵詞： 防火墻 作用 特性 弱點 解決策略
　　
　　一、防火墻的作用
　　網(wǎng)絡(luò)這個虛擬世界已經(jīng)變得越來越精彩龐大，網(wǎng)絡(luò)的迅速發(fā)展，使我們的學(xué)習(xí)，工作和生活產(chǎn)生了巨大的改變。我們通過網(wǎng)絡(luò)獲得需要的信息，共享發(fā)布各類資源。如今，Internet遍布世界的每一寸土地和天空，并且迎接任何一個感興趣的人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的擴展，安全問題也越來越受到人們的關(guān)注。在網(wǎng)絡(luò)日益多樣化、復(fù)雜化的今天，如何保護不同的網(wǎng)絡(luò)和網(wǎng)絡(luò)應(yīng)用的安全，如何使信息更加安全，成為了各國政府、公司，以及個人用戶探討的重點。
　　接觸過網(wǎng)絡(luò)的人都聽說或接觸過網(wǎng)絡(luò)中全力闖入他人計算機系統(tǒng)的人即黑客，黑客們利用各種系統(tǒng)和網(wǎng)絡(luò)的漏洞，非法獲得未授權(quán)的訪問信息。如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要像過去掌握什么高深的技巧或低級匯編語言，網(wǎng)絡(luò)中有大量現(xiàn)成的攻擊文章和攻擊工具等資源，可以隨意地下載使用和共享。不需要清楚那些攻擊程序是如何在計算機中運行的，只需要簡單地下載運行就可以給網(wǎng)絡(luò)造成極大的威脅。甚至有些程序不需要經(jīng)人為的參與，就可以智能化掃描和破壞目標網(wǎng)絡(luò)。這種情況使得近幾年網(wǎng)上的攻擊密度和攻擊強度顯著增長，給網(wǎng)絡(luò)安全帶來越來越多的隱患。
　　我們可以通過具體的網(wǎng)絡(luò)策略，設(shè)備和工具來保護我們認為不太安全的網(wǎng)絡(luò)。其中防火墻是運用最為廣泛和迄今效果最好的選擇。它可以防御網(wǎng)絡(luò)中大多數(shù)威脅，并且作出及時的響應(yīng)，將那些危險的攻擊和連接行為隔絕在系統(tǒng)之外，從而降低網(wǎng)絡(luò)的整體風險。
　　二、防火墻的特性
　　防火墻就像一道安全門一樣，其基本功能是對網(wǎng)絡(luò)通信進行必要的篩選屏蔽以防未授權(quán)的或不安全的訪問進出計算機網(wǎng)絡(luò)，簡單地概括就是，對網(wǎng)絡(luò)進行訪問控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)（Internal）和不可信任網(wǎng)絡(luò)（Internet）之間。
　　防火墻一般有以下三個特性：
　　1.所有的通信都必須經(jīng)過防火墻；
　　2.防火墻只放行通過經(jīng)授權(quán)的網(wǎng)絡(luò)流量；
　　3.防火墻能經(jīng)受得住對防火墻本體的攻擊。
　　我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個隔絕緩沖，防火墻可以是一臺有訪問控制策略的路由器（Route+ACL），及一臺多個網(wǎng)絡(luò)接口的計算機，服務(wù)器等，被配置成保護特定網(wǎng)絡(luò)，使其免受來自于非受信網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)邊界，例如保護企業(yè)網(wǎng)絡(luò)的防火墻，一般部署在內(nèi)網(wǎng)到外網(wǎng)的核心區(qū)域上。
　　如果沒有防火墻，好多人得出經(jīng)驗結(jié)論：系統(tǒng)安全性的平均值將是網(wǎng)絡(luò)被攻破的那個安全基準。可是經(jīng)驗并不一定是對的，真實的情況更是糟糕：整個網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的短板所制約，即著名的木桶理論。沒有人可以保證網(wǎng)絡(luò)中每個節(jié)點每個服務(wù)都永遠保持在最佳狀態(tài)。網(wǎng)絡(luò)越復(fù)雜，把網(wǎng)絡(luò)中所有主機維護至同等高的安全水平就越困難，將會耗費大量的時間和精力。整個的安全響應(yīng)速度變得不可忍受，最終可能導(dǎo)致整個安全框架的崩潰。
　　廣大用戶要求，防火墻必須負責保護以下三個方面的風險：
　　1.機密性；
　　2.數(shù)據(jù)完整性；
　　3.可用性。
　　三、防火墻的弱點
　　在防火墻的應(yīng)用中我們發(fā)現(xiàn)了它還有如下弱點。
　　1.防御不了已經(jīng)授權(quán)的訪問和網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊；
　　2.防御不了合法用戶惡意的攻擊，以及非程序預(yù)期的威脅；
　　3.修復(fù)不了本身不安全的管理措施和已存有問題的安全策略；
　　4.防御不了繞過防火墻的攻擊和威脅。
　　綜上所述，我們首先必須面對一個事實，絕對的安全是沒有的。我們所能做的是提高用戶系統(tǒng)的安全系數(shù)，延長安全的穩(wěn)定周期，縮短消除威脅的反應(yīng)時間。
　　四、解決策略
　　在多種強大的防火墻里，我們選擇業(yè)界內(nèi)口碑一流的防火墻CheckPoint的WebIntelligence（Web智能技術(shù)）和StatefulInspection（狀態(tài)檢測技術(shù)）來簡單介紹一下對于防火墻的Web安全保護和智能防御。
　　簡單來說，狀態(tài)檢測技術(shù)工作在OSI參考模型的DataLink與Network層之間，數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中，在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時間被檢查。防火墻會生成一個會話的狀態(tài)表，InspectEngine檢測引擎依照RFC標準維護和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專利技術(shù)。對狀態(tài)和上下文信息的收集使得CheckPoint防火墻不僅能跟蹤TCP會話，而且能智能處理無連接協(xié)議，如UDP或RPC。這樣就保證了在任何來自服務(wù)器的數(shù)據(jù)被接受前，必須有內(nèi)部網(wǎng)絡(luò)的某一臺客戶端發(fā)出了請求，而且如果沒有受到響應(yīng)，端口也不會處于開放的狀態(tài)。狀態(tài)檢測對流量的控制效率是很高的，同時對于防火墻的負載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小，可以保證整個防火墻快速，有效地控制數(shù)據(jù)的進出和作出控制決策。
　　在Web環(huán)境中，威脅來自于多個方面，從端點到傳輸?shù)竭吔纾詈蟮竭_Web服務(wù)器和后臺數(shù)據(jù)庫。這一系列的數(shù)據(jù)交換將會引發(fā)大量的安全問題。傳統(tǒng)的防火墻的功能對于Web的保護相當有限。比如，無法深入檢測HTTP的內(nèi)容，不能理解Web應(yīng)用的上下文，性能低下，無法提前部署與防御，等等。CheckPoint的WebIntelligence，有一種名為MaliciousCodeProtector（可疑代碼防護器）來提供對應(yīng)用層的保護。比如，Web會話是否符合RFC的標準不能包含二進制數(shù)據(jù)，協(xié)議使用是否為預(yù)期或典型的，應(yīng)用是否引入了有害的數(shù)據(jù)或命令，應(yīng)用是否執(zhí)行了未授權(quán)的操作或引入了有害的可執(zhí)行代碼，等等。如何判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼，模擬行來判斷攻擊，將可執(zhí)行代碼放置到一個虛擬的仿真服務(wù)器中運行，檢測是否對虛擬系統(tǒng)造成威脅，最終來決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢是可以非常精確地阻止已知和未知攻擊，并且誤報率相當?shù)汀?br/>　　通過多種技術(shù)的協(xié)同防護，可以保證在網(wǎng)絡(luò)邊界對訪問進行控制。但是，隨著VPN網(wǎng)絡(luò)和遠程移動辦公用戶的接入增多，網(wǎng)絡(luò)邊界的概念在如今已經(jīng)非常模糊了。顯然，網(wǎng)絡(luò)的邊界已經(jīng)拓展到觀點廣大用戶的桌面端。所以從文章一開始我們就說到的，網(wǎng)絡(luò)安全是需要具體的策略和綜合的部署來做保證的。結(jié)論就是：真正的安全=整體集成安全解決方案+及時更新。