淺談防火墻基本功能與網(wǎng)絡安全問題

張文麗

我們可以通過很多網(wǎng)絡工具、設備和策略來保護網(wǎng)絡，其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為隔絕在外，從而降低網(wǎng)絡的整體風險。

一、防火墻的基本功能及特點

防火墻的基本功能是對網(wǎng)絡通信進行篩選屏蔽以防止未授權(quán)的訪問進出計算機網(wǎng)絡，簡單的概括就是，對網(wǎng)絡進行訪問控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡（Intemal）和不可信任網(wǎng)絡（Intemet）之間。

1、防火墻一般有三個特性：A.所有的通信都經(jīng)過防火墻；B.防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡流量；C.防火墻能經(jīng)受的住對其本身的攻擊；

2、防火墻的主要優(yōu)點如下：A.防火墻可以通過執(zhí)行訪問控制策略而保護整個網(wǎng)絡的安全，并且可以將通信約束在一個可管理和可靠性高的范圍之內(nèi)； B.防火墻可以用于限制對某些特殊服務的訪問；C.防火墻功能單一，不需要在安全性，可用性和功能上做取舍；D.防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應的周期。

3、同樣的，防火墻也有許多弱點：A.不能防御已經(jīng)授權(quán)的訪問，以及存在于網(wǎng)絡內(nèi)部系統(tǒng)聞的攻擊；B.不能防御合法用戶惡意的攻擊.以及社交攻擊等非預期的威脅；C.不能修復脆弱的管理措施和存在問題的安全策略；D.不能防御不經(jīng)過防火墻的攻擊和威脅。

二、網(wǎng)絡安全與防火墻技術

網(wǎng)絡用戶（組織）對網(wǎng)絡依賴主要來自予運行在網(wǎng)絡上的各種應用，同樣的，網(wǎng)絡的范圍也覆蓋到整個組織的運營區(qū)域。我們將分析一個典型的企業(yè)網(wǎng)絡，從結(jié)構(gòu)，應用，管理，以及安全這幾個層次來探討一下對企業(yè)來說，如何去實現(xiàn)真正的網(wǎng)絡安全。

首先是網(wǎng)絡內(nèi)部，即面向企業(yè)內(nèi)部員工的工作站。我們不能保證用戶每一次操作都是正確與安全的，絕大多數(shù)情況下，他們僅知道如何去使用面前的計算機來完成屬于自己的本職工作。但可能由于訪問非法網(wǎng)站，下載或運行不可信程序，使用移動設備復制帶有病毒的文件等看似平常的操作而導致比如病毒，木馬，間諜程序，惡意腳本通過內(nèi)部網(wǎng)絡中某一臺工作站而進入到網(wǎng)絡并且迅速的蔓延。由于如今流行的操作系統(tǒng)存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，網(wǎng)絡的迅速發(fā)展，也給這類威脅提供高速繁殖的媒介。特別是企業(yè)內(nèi)部擁有高速的網(wǎng)絡環(huán)境，給各種威脅的擴散與轉(zhuǎn)移提供了可能。現(xiàn)在人們都通過安裝防病毒軟件來防御病毒的威脅，但是面對蠕蟲和木馬程序，后門程序等，防病毒軟件并不能起到很顯著的效果，不能從根本上消除安全威脅。所以我們說，保護好工作站的安全，是企業(yè)網(wǎng)絡安全的一個重要部分。

通過上面簡單的分析和舉例，工作站的安全工作主要包含如下幾個方面：桌面防病毒，桌面防火墻，系統(tǒng)補丁管理，系統(tǒng)授權(quán)與審核，軟件使用許可監(jiān)控和網(wǎng)絡訪問控制。從保護用戶系統(tǒng)的穩(wěn)定性與可用性以及綜合安全的角度，我們可選擇市場上流行的解決桌面安全的產(chǎn)品作為桌面防病毒和防火墻的集成安全解決方案。該類產(chǎn)品最大的優(yōu)勢是不存在互操作性問題，防火墻與桌面入侵檢測完美結(jié)合，提供如今防御混合性威脅最佳組合。

其次是網(wǎng)絡結(jié)構(gòu)的安全性。管理人員都知道，通過部署多層交換機，實現(xiàn)多個VLAN和快速收斂的路由，是保證網(wǎng)絡結(jié)構(gòu)的可靠性與強壯性的最佳方法。在劃分了多個邏輯網(wǎng)絡和建立符合應用的ACL的同時，我們更希望能收集和歸納出整個網(wǎng)絡的更多安全信息，包括流量的管理，QOS，入侵行為和用戶訪問信息。僅通過網(wǎng)絡設備提供的日志，SNMP管理是遠遠不夠的，現(xiàn)今的方法是通過部署IDS/IPS來實現(xiàn)。在核心的節(jié)點部署IDS/IPS探點，采集和匯總數(shù)據(jù)包的完整信息，提供給管理人員分析是正確的方法。當然了，這也要求管理人員的技術水平達到一定的高度，并且會耗費一部分時間用于分析日志。入侵檢測系統(tǒng)能與其他的網(wǎng)絡設備聯(lián)動，減少誤報，共同響應與阻斷威脅，將是未來的發(fā)展趨勢和重點。

網(wǎng)絡的核心區(qū)域包括核心交換機，、核心路由器等重要設備，它們負擔整個網(wǎng)絡的核心數(shù)據(jù)的轉(zhuǎn)發(fā)，并且連接著DMZ區(qū)的各個關鍵應用，如OA系統(tǒng)，ERP系統(tǒng)，CRM系統(tǒng)，對內(nèi)或?qū)ν獾腤eb服務器，數(shù)據(jù)庫服務器等。從安全的角度來說，這個區(qū)域是最關鍵的，也是風險最集中的區(qū)域。我們不但要在網(wǎng)絡的邊界部署防火墻，也要在這個區(qū)域部署為保護DMZ等類似的關鍵區(qū)域的防火墻。但是如果部署安全策略，在提高安全性的同時，勢必會影響其可用性。這個矛盾是不可調(diào)和的。與邊界防火墻不同的是，關鍵區(qū)域的防火墻主要是面對內(nèi)部用戶，保護重要服務和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，比如掃描，滲透，入侵，拒絕服務攻擊等攻擊，也要提供諸如NAT服務，出站控制，遠程VPN用戶和移動用戶訪問的授權(quán)等。我們可以將各種防御的職能根據(jù)網(wǎng)絡的結(jié)構(gòu)和提供的應用來分派到兩類防火墻上來。即內(nèi)部防火墻重點保護DMZ區(qū)域，提供深層次的檢測與告警。因為一旦涉及到數(shù)據(jù)包深入檢測，將會大大影響設備的性能。而這是對邊界防火墻要求高性能數(shù)據(jù)過濾和轉(zhuǎn)發(fā)，不成為出口瓶頸所不能容忍的。管理人員應該先充分了解網(wǎng)絡的特點與用途，結(jié)合設備與現(xiàn)有的網(wǎng)絡環(huán)境靈活部署，才能達到較高可用性與安全性的平衡。

如今的防火墻的功能越來越強大，這里我們選擇業(yè)界一流的防火墻CheckPoint的Stateful Inspection（狀態(tài)檢測技術）和Web Intelligence來簡單介紹防火墻的智能防御與Web安全保護。

防火墻的狀態(tài)檢測技術工作在OSI參考模型的數(shù)據(jù)鏈路層與網(wǎng)絡層之間，數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中，在數(shù)據(jù)鏈路層和網(wǎng)絡層時間被檢查。防火墻會生成一個會話的狀態(tài)表，其檢測引擎依照RFC標準維護和檢查數(shù)據(jù)包的上下文關系。對狀態(tài)和上下文信息的收集，使得防火墻不僅能跟蹤TCP會話，也能智能處理無連接協(xié)議，如UDP或RPC。這樣就保證了在任何來自服務器的數(shù)據(jù)被接受前，必須有內(nèi)部網(wǎng)絡的某一臺客戶端發(fā)出了請求，而且如果沒有受到響應，端口也不會處于開放的狀態(tài)。狀態(tài)檢測對流量的控制效率是很高的，同時對于防火墻的負載和網(wǎng)絡數(shù)據(jù)流增加的延遲也是非常小。可以保證整個防火墻快速，有效的控制數(shù)據(jù)的進出和做出控制決策。

在Web環(huán)境中，威脅來自于多個方面，從端點到傳輸?shù)竭吔纾詈蟮竭_Web服務器和后臺數(shù)據(jù)庫。這一系列的數(shù)據(jù)交換將會引發(fā)大量的安全問題。業(yè)界一流的防火墻CheckPoint的Web Intelligence（Web智能技術），有一種名為Malicious Code ProtectoI（可疑代碼防護器淶提供對應用層的保護。比如，Web會話是否符合RFC的標準不能包含二進制數(shù)據(jù)，協(xié)議使用是否為預期或典型的，應用是否引入了有害的數(shù)據(jù)或命令，應用是否執(zhí)行了未授權(quán)的操作或引入了有害的可執(zhí)行代碼等。如何去判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網(wǎng)絡傳輸中的可執(zhí)行代碼，模擬行來判斷攻擊，將可執(zhí)行代碼放置到一個虛擬的仿真服務器中運行，檢測是否對虛擬系統(tǒng)造成威脅，最終來決定是否定義為攻擊行為。該技術最大的優(yōu)勢是可以非常精確的阻止已知和未知攻擊，并且誤報率相當?shù)汀?/p>

在日益復雜的網(wǎng)絡環(huán)境中，我們可以采用防火墻技術和其它多種技術進行協(xié)同防護，保證在網(wǎng)絡邊界對訪問進行控制，以“御敵于門外”。當然，我們還需要綜合的部署和完善的策略來降低網(wǎng)絡的整體風險，保證網(wǎng)絡的可靠，以期實現(xiàn)信息時代的網(wǎng)絡安全。