防火墻知識-常見問題解答

第第頁防火墻知識:常見問題解答防火墻知識:常見問題解答

發(fā)表于：2023-06-23來源：：點擊數(shù)：標簽：

1．什么是防火墻？防火墻是一個或一組系統(tǒng)，它在網(wǎng)絡之間執(zhí)行訪問控制策略。實現(xiàn)防火墻的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行，而另

1．什么是防火墻？

防火墻是一個或一組系統(tǒng)，它在網(wǎng)絡之間執(zhí)行訪問控制策略。實現(xiàn)防火墻的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過。了解有關(guān)防火墻的最重要的概念可能就是它實現(xiàn)了一種訪問控制策略。如果你不太清楚你需要允許或否決那類訪問，你可以讓其他人或某些產(chǎn)品根據(jù)他（它）們認為應當做的事來配置防火墻，然后他（它）們會為你的機構(gòu)全面地制定訪問策略。

2．為何需要防火墻？

同其它任何社會一樣，I也受到某些無聊之人的困擾，這些人喜愛在網(wǎng)上做這類的事,像在現(xiàn)實中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。一些人試圖通過Internet完成一些真正的工作，而另一些人則擁有敏感或?qū)Ｓ袛?shù)據(jù)需要保護。一般來說，防火墻的目是將那些無聊之人擋在你的網(wǎng)絡之外，同時使你仍可以完成工作。

許多傳統(tǒng)風格的企業(yè)和數(shù)據(jù)中心都制定了計算安全策略和必須遵守的慣例。在一家公司的安全策略規(guī)定數(shù)據(jù)必須被保護的情況下，防火墻更顯得十分重要，因為它是這家企業(yè)安全策略的具體體現(xiàn)。如果你的公司是一家大企業(yè)，連接到Internet上的最難做的工作經(jīng)常不是費用或所需做的工作，而是讓管理層信服上網(wǎng)是安全的。防火墻不僅提供了真正的安全性，而且還起到了為管理層蓋上一條安全的毯子的重要作用。

最后，防火墻可以發(fā)揮你的企業(yè)駐Internet“大使”的作用。許多企業(yè)利用其防火墻系統(tǒng)作為保存有關(guān)企業(yè)產(chǎn)品和服務的公開信息、下載文件、錯誤修補以及其它一些文件的場所。這些系統(tǒng)當中的幾種系統(tǒng)已經(jīng)成為Internet服務結(jié)構(gòu)（如UU、、）的重要組成部分，并且給這些機構(gòu)的贊助者帶來了良好的影響。

3．防火墻可以防范什么？

一些防火墻只允許電子郵件通過，因而保護了網(wǎng)絡免受除對電子郵件服務攻擊之外的任何攻擊。另一些防火墻提供不太嚴格的保護措施，并且攔阻一些眾所周知存在問題的服務。

一般來說，防火墻在配置上是防止來自“外部”世界未經(jīng)授權(quán)的交互式登錄的。這大大有助于防止破壞者登錄到你網(wǎng)絡中的計算機上。一些設計更為精巧的防火墻可以防止來自外部的傳輸流進入內(nèi)部，但又允許內(nèi)部的用戶可以自由地與外部通信。如果你切斷防火墻的話，它可以保護你免受網(wǎng)絡上任何類型的攻擊。

防火墻的另一個非常重要的特性是可以提供一個單獨的“攔阻點”，在“攔阻點”上設置安全和審計檢查。與計算機系統(tǒng)正受到某些人利用調(diào)制解調(diào)器撥入攻擊的情況不同，防火墻可以發(fā)揮一種有效的“電話監(jiān)聽”（Phonetap）和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計功能；它們經(jīng)?？梢韵蚬芾韱T提供一些情況概要，提供有關(guān)通過防火墻的傳流輸?shù)念愋秃蛿?shù)量以及有多少次試圖闖入防火墻的企圖等等信息。

4．防火墻不能防范什么？

防火墻不能防范不經(jīng)過防火墻的攻擊。許多接入到Internet的企業(yè)對通過接入路線造成公司專用數(shù)據(jù)數(shù)據(jù)泄露非常擔心。不幸得是，對于這些擔心來說，一盤磁帶可以被很有效地用來泄露數(shù)據(jù)。許多機構(gòu)的管理層對Internet接入非?？謶?，它們對應當如何保護通過調(diào)制解調(diào)器撥號訪問沒有連慣的政策。當你住在一所木屋中，卻安裝了一扇六英尺厚的鋼門，會被認為很愚蠢。然而，有許多機構(gòu)購買了價格昂貴的防火墻，但卻忽視了通往其網(wǎng)絡中的其它幾扇后門。要使防火墻發(fā)揮作用，防火墻就必須成為整個機構(gòu)安全架構(gòu)中不可分割的一部分。防火墻的策略必須現(xiàn)實，能夠反映出整個網(wǎng)絡安全的水平。例如，一個保存著超級機密或保密數(shù)據(jù)的站點根本不需要防火墻：首先，它根本不應當被接入到Internet上，或者保存著真正秘密數(shù)據(jù)的系統(tǒng)應當與這家企業(yè)的其余網(wǎng)絡隔離開。

防火墻不能真正保護你防止的另一種危險是你網(wǎng)絡內(nèi)部的叛變者或白癡。盡管一個工業(yè)間諜可以通過防火墻傳送信息，但他更有可能利用電話、傳真機或軟盤來傳送信息。軟盤遠比防火墻更有可能成為泄露你機構(gòu)秘密的媒介！防火墻同樣不能保護你避免愚蠢行為的發(fā)生。通過電話泄露敏感信息的用戶是社會工程（socialengineering）的好目標；如果攻擊者能找到內(nèi)部的一個“對他有幫助”的雇員，通過欺騙他進入調(diào)制解調(diào)器池，攻擊者可能會完全繞過防火墻打入你的網(wǎng)絡。

5．防火墻能否防止病毒的攻擊？

防火墻不能有效地防范像病毒這類東西的入侵。在網(wǎng)絡上傳輸二進制文件的編碼方式太多了，并且有太多的不同的結(jié)構(gòu)和病毒，因此不可能查找所有的病毒。換句話說，防火墻不可能將安全意識（security-consciosness）交給用戶一方?？傊?，防火墻不能防止數(shù)據(jù)驅(qū)動的攻擊：即通過將某種東西郵寄或拷貝到內(nèi)部主機中，然后它再在內(nèi)部主機中運行的攻擊。過去曾發(fā)生過對不同版本的郵件寄送程序和幻像腳本（ghostscript）和免費PostScript閱讀器的這類攻擊。

對病毒十分憂慮的機構(gòu)應當在整個機構(gòu)范圍內(nèi)采取病毒控制措施。不要試圖將病毒擋在防火墻之外，而是保證每個脆弱的桌面系統(tǒng)都安裝上病毒掃描軟件，只要一引導計算機就對病毒進行掃描。利用病毒掃描軟件防護你的網(wǎng)絡將可以防止通過軟盤、調(diào)制解調(diào)器和Internet傳播的病毒的攻擊。試圖御病毒于防火墻之外只能防止來自Internet的病毒，而絕大多數(shù)病毒是通過軟盤傳染上的。

盡管如此，還是有越來越多的防火墻廠商正提供“病毒探測”防火墻。這類防火墻只對那種交換Windows-on-Intel執(zhí)行程序和惡意宏應用文檔的毫無經(jīng)驗的用戶有用。不要指望這種特性能夠?qū)羝鸬饺魏畏婪蹲饔谩?/p>

6．在防火墻設計中需要做哪些基本設計決策？

在負責防火墻的設計、制定工程計劃以及實施或監(jiān)督安裝的幸運兒面前，有許多基本設計問題等著他去解決。

首先，最重要的問題是，它應體現(xiàn)你的公司或機構(gòu)打算如何運行這個系統(tǒng)的策略：安裝后的防火墻是為了明確地拒絕除對于連接到網(wǎng)絡至關(guān)重的服務之外的所有服務，或者，安裝就緒的防火墻是為以非威脅方式對“魚貫而入”的訪問（"queuing"aclearcase/"target="_blank">ccess）提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執(zhí)狂；防火墻的最終功能可能將是行政上的結(jié)果，而非工程上的決策。

第二個問題是：你需要何種程度的監(jiān)視、冗余度以及控制水平？通過解決第一個問題，確定了可接受的風險水平（例如你的偏執(zhí)到何種程度）后，你可以列出一個必須監(jiān)測什么傳輸、必須允許什么傳輸流通行以及應當拒絕什么傳輸?shù)那鍐巍Q句話說，你開始時先列出你的總體目標，然后把需求分析與風險評估結(jié)合在一起，挑出與風險始終對立的需求，加入到計劃完成的工作的清單中。

第三個問題是財務上的問題。在此，我們只能以模糊的表達方式論述這個問題，但是，試圖以購買或?qū)嵤┙鉀Q方案的費用多少來量化提出的解決方案十分重要。例如，一個完整的防火墻的高端產(chǎn)品可能價值10萬美元，而低端產(chǎn)品可能是免費的。像在Cisco或類似的路由器上做一些奇妙的配置這類免費選擇不會花你一分錢，只需要工作人員的時間和幾杯咖啡。從頭建立一個高端防火墻可能需要幾個人工月，它可能等于價值3萬美元的工作人員工資和利潤。系統(tǒng)管理開銷也是需要考慮的問題。建立自行開發(fā)的防火墻固然很好，但重要的是使建立的防火墻不需要費用高昂的不斷干預。換句話說，在評估防火墻時，重要的是不僅要以防火墻目前的費用來評估它，而且要考慮到像支持服務這類后續(xù)費用。

出于實用目的，我們目前談論的是網(wǎng)絡服務提供商提供的路由器與你內(nèi)部網(wǎng)絡之間存在的靜態(tài)傳輸流路由服務，因此基于為一事實，在技術(shù)上，還需要做出幾項決策。傳輸流路由服務可以通過諸如路由器中的過濾規(guī)則在IP層實現(xiàn)，或通過代理網(wǎng)關(guān)和服務在應用層實現(xiàn)。

需要做出的決定是，是否將暴露的簡易機放置在外部網(wǎng)絡上為telnet、ftp、news等運行代理服務，或是否設置像過濾器這樣的屏蔽路由器，允許與一臺或多臺內(nèi)部計算機的通信。這兩種方式都存在著優(yōu)缺點，代理機可以提供更高水平的審計和潛在的安全性，但代價是配置費用的增加，以及可能提供的服務水平的降低（由于代理機需要針對每種需要的服務進行開發(fā)）。由來以久的易使性與安全性之間的平衡問題再次死死地困擾著我們。

7．防火墻的基本類型是什么？

在概念上，有兩種類型的防火墻：

1、網(wǎng)絡級防火墻

2、應用級防火墻

這兩種類型的差異并不像你想像得那樣大，最新的技術(shù)模糊了兩者之間的區(qū)別，使哪個“更好”或“更壞”不再那么明顯。同以往一樣，你需要謹慎選擇滿足你需要的防火墻類型。

網(wǎng)絡級防火墻一般根據(jù)源、目的地址做出決策，輸入單個的IP包。一臺簡單的路由器是“傳統(tǒng)的”網(wǎng)絡級防火墻，因為它不能做出復雜的決策，不能判斷出一個包的實際含意或包的實際出處。現(xiàn)代網(wǎng)絡級防火墻已變得越來越復雜，可以保持流經(jīng)它的接入狀態(tài)、一些數(shù)據(jù)流的內(nèi)容等等有關(guān)信息。許多網(wǎng)絡級防火墻之間的一個重要差別是防火墻可以使傳輸流直接通過，因此要使用這樣的防火墻通常需要分配有效的IP地址塊。網(wǎng)絡級防