探讨防火墙维护与管理、技术发展趋势

3、防火墙的作用、特点及优缺点

防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间，阻断来自外部通过网络对局域网的威胁和入侵，确保局域网的安全。与其它网络产品相比，有着其自身的专用特色，但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。小熊在线www.beareyes.com.cn

3.1 防火墙的作用

防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。小熊在线www.beareyes.com.cn

3.2 防火墙的特点

我们在使用防火墙的同时，对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。小熊在线www.beareyes.com.cn

防火墙一般具有如下显著特点：

◆广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合，可以实现WWW浏览器、http服务器、FTP等;

◆对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏;

◆客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息;

◆反欺骗 欺骗是从外部获取网络访问权的常用手段，它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃;

◆C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。小熊在线www.beareyes.com.cn

3.3 防火墙的优势和存在的不足

防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的，对待任何事物必须一分为二，防火墙也不例外。在充分利用防火墙优点为我们服务的同时，也不得不面对其自身弱点给我们带来的不便。小熊在线www.beareyes.com.cn

1) 防火墙的优势

(1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息，不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅允许“认可的”和符合规则的请求通过。小熊在线www.beareyes.com.cn

(2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙，所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。小熊在线www.beareyes.com.cn

(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段，这样就能够防止影响一个网段的信息通过整个网络进行传播。小熊在线www.beareyes.com.cn

(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。小熊在线www.beareyes.com.cn

2) 防火墙存在的不足

(1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理。小熊在线www.beareyes.com.cn

(2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息，然而它却不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。小熊在线www.beareyes.com.cn

(3)不能防备全部的威胁。防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一台防火墙能自动防御所有新的威胁。小熊在线www.beareyes.com.cn

4、防火墙的管理与维护

如果已经设计好了一个防火墙，使它满足了你的机构的需要，接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后，使它正常运转还要做大量的工作。值得注意的是，这里许多维护工作是自动进行的。管理与维护工作主要有4个方面，它们分别是：建立防火墙的安全策略、日常管理、监控系统、保持最新状态。小熊在线www.beareyes.com.cn

4.1 建立防火墙的安全策略

要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的，因为它可以说是一个组织的安全策略轮廓，尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。小熊在线www.beareyes.com.cn

安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。小熊在线www.beareyes.com.cn

1) 网络服务访问策略

网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。比如，如果一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。小熊在线www.beareyes.com.cn

2) 防火墙的设计策略

防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种：

① 除非明确不允许，否则允许某种服务;

② 除非明确允许，否则将禁止某项服务。小熊在线www.beareyes.com.cn

执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种)，也可以实施一种限制性策略(第二种)，这就是制定防火墙策略的入手点。小熊在线www.beareyes.com.cn

3) 安全策略设计时需要考虑的问题

为了确定防火墙安全设计策略，进而构建实现预期安全策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。策略应该解决以下问题：

◆需要什么服务，如Telnet、WWW或NFS等;

◆在那里使用这些服务，如本地、穿越因特网、从家里或远方的办公机构等;

◆是否应当支持拨号入网和加密等服务;

◆提供这些服务的风险是什么;

◆若提供这种保护，可能会导致网络使用上的不方便等负面影响，这些影响会有多大;

◆与可用性相比，站点的安全性放在什么位置。