1.防火墙作用
网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。这些威胁可能来源于各种各样的因素;可能是有意的,也可能是无意的;可能是来源于企业外部的,也可能是内部人员造成的,也可能是自然力造成的。总结起来,大致有以下几种主要威胁:
1)非人为、自然力造成的数据丢失、设备失效、线路阻断。
2)非人为属于无意的操作人员无意的失误造成的数据丢失。
3)来自外部和内部人员的恶意攻击和入侵。
前面两种的预防与传统电信网络基本相同。最后一种是当前Internet所面临的最大的威胁,是电子商务、政府上网工程等顺利发展的最大障碍,也是企业网络安全策略最需要解决的问题。目前解决网络安全最有效方法是采用防火墙。
由于Internet的迅速发展,提供了发布信息和检索信息的场所,但它也带来了信息污染和信息破坏的危险,人们为了保护其数据和资源的安全,出现了防火墙。那么防火墙是什么呢?
防火墙从本质上说是一种保护装置。它保护什么呢?它保护的是数据、资源和用户的声誉。
□ 数据——是指用户保存在计算机里的信息,需要保护的数据有三个典型的特征:
♦ 保密性:是用户不需要被别人知道的。
♦ 完整性:是用户不需要被别人修改的。
♦ 可用性:是用户希望自己能够使用的。
□ 资源——是指用户计算机内的系统资源。
□ 声誉——作为用户的计算机本身并不存在什么声誉的事情,问题在于一个入侵者冒充你的身份出现在Internet上,做一些不是你做的事,或者冒充你的身份在Internet上遍游世界,调阅需要付费的资料,这些费用由你来负责清算。特别是软件盗版和色情描写,这是用户很难讲清的。国内外的资料表明,入侵者一般有这几种类型:寻欢作乐者、破坏者、间谍等。
为确保网络系统的安全性,人们研究并使用了多种解决方法,特别是近年来,由于对安全问题的广泛关注,网络技术的开发应用取得了长足的发展,但是它仍然制约着网络应用的进一步发展。具有关报告显示,“黑客”事件的发生每年都在增加,仅在美国就造成了150亿美元的损失,而且目前这种情况还在加剧。同类事件在我国也是逐年增多,这足以说明当今的网络安全问题,尤其是较大型的网络系统,有必要建立一个立体完整安全体系。从空间上(包括网络内安全,网关或网际以及外部安全的统一),从时序上(应当有事前防御、即时防御),事后审查三者结合,从而保护网络的安全。
2 . Internet防火墙介绍
防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分。从理论上讲Internet防火墙服务也属于类似目的。
它防止Internet的危险(病毒、资源盗用等)传播到网络内部。而事实上Internet防火墙不像一座现代化大厦中的防火墙,更像北京故宫的护城河,它服务于多个目的:
1)限制人们从一个特别的控制点进入。
2)防止侵入者接近你的其他防御设施。
3)限定人们从一个特别的点离开。
4)效阻止破坏者对你的计算机系统进行破坏。
因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上,如图所示。
图:防火墙在因特网与内部网中的位置
从图可以看出,所有来自Internet的传输信息或从你的内部网发出的信息都必须穿过防火墙。因此,防火墙能够确保如电子信件、文件传输、远程登录或特定的系统间信息交换。
从逻辑上讲,防火墙是分离器、限制器、分析器。从物理角度看,各站点防火墙的物理实现的方式有所不同。通常防火墙是一组硬件设备——路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合,有各种各样方法配置这种设备。
防火墙能够做些什么呢?这是大家所关心的,下面我们来讨论这个问题。
(1)防火墙能强化安全策略
因为Internet上每天都有上百万人在那里收集信息、交换信息、不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
(2)防火墙能有效地记录Internet上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
(3)防火墙限制暴露用户点
防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
上面我们叙述了防火墙的优点,但它还是有缺点的,主要表现在以下几方面:
1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。
2)防火墙不能防范不通过它的连接。防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
3)防火墙不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。
4)防火墙不能防范病毒。防火墙不能消除网络上的PC的病毒。虽然许多防火墙扫描所有通过的信息,以决定是否允许它通过内部网络。但扫描是针对源、目标地址和端口号的,而不扫描数据的确切内容。即使是先进的数据包过滤,在病毒防范上也是不实用的,因为病毒的种类太多,有许多种手段可使病毒在数据中隐藏。
检测随机数据中的病毒穿过防火墙是十分困难的,它要求:
1)确认数据包是程序的一部分。
2)决定程序看起来像什么。
3)确定病毒引起的改变。
事实上大多数防火墙采用不同的可执行格式保护不同类型的机器。程序可以是编译过的可执行程序或者是一个副本,数据在网上传输时要分包,并经常被压缩,这样便给病毒带来了可乘之机。无论防火墙多么安全,用户只能在防火墙后面清除病毒。
