防火墻技術知識全解

　　歡迎大家來到學習啦。網絡已經成為了人類所構建的最豐富多彩的虛擬世界，網絡的迅速發展，給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息，共享資源。如今， Internet遍布世界任何一個角落，并且歡迎任何一個人加入其中，相互溝通，相互交流。隨著網絡的延伸，安全問題受到人們越來越多的關注。在網絡日益復雜化，多樣化的今天，如何保護各類網絡和應用的安全，如何保護信息安全，成為了本文探討的重點。

　　幾乎所有接觸網絡的人都知道網絡中有一些費盡心機闖入他人計算機系統的人，他們利用各種網絡和系統的漏洞，非法獲得未授權的訪問信息。不幸的是如今攻擊網絡系統和竊取信息已經不需要什么高深的技巧。網絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執行就可以給網絡造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網絡。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網絡安全帶來越來越多的安全隱患。

　　我們可以通過很多網絡工具，設備和策略來保護不可信任的網絡。其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為隔絕在外。從而降低網絡的整體風險。

　　防火墻的基本功能是對網絡通信進行篩選屏蔽以防止未授權的訪問進出計算機網絡，簡單的概括就是，對網絡進行訪問控制。絕大部分的防火墻都是放置在可信任網絡(Internal)和不可信任網絡(Internet)之間。

　　防火墻一般有三個特性：

　　A.所有的通信都經過防火墻

　　B.防火墻只放行經過授權的網絡流量

　　C.防火墻能經受的住對其本身的攻擊

　　我們可以看成防火墻是在可信任網絡和不可信任網絡之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器(Route+ACL)，一臺多個網絡接口的計算機，服務器等，被配置成保護指定網絡，使其免受來自于非信任網絡區域的某些協議與服務的影響。所以一般情況下防火墻都位于網絡的邊界，例如保護企業網絡的防火墻，將部署在內部網絡到外部網絡的核心區域上。

　　為什么要使用防火墻?很多人都會有這個問題，也有人提出，如果把每個單獨的系統配置好，其實也能經受住攻擊。遺憾的是很多系統在缺省情況下都是脆弱的。最顯著的例子就是Windows系統，我們不得不承認在Windows 2003以前的時代， Windows默認開放了太多不必要的服務和端口，共享信息沒有合理配置與審核。如果管理員通過安全部署，包括刪除多余的服務和組件，嚴格執行NTFS權限分配，控制系統映射和共享資源的訪問，以及帳戶的加固和審核，補丁的修補等。做好了這些，我們也可以非常自信的說，Windows足夠安全。也可以抵擋住網絡上肆無忌憚的攻擊。但是致命的一點是，該服務器系統無法在安全性，可用性和功能上進行權衡和妥協。

　　對于此問題我們的回答是：“防火墻只專注做一件事，在已授權和未授權通信之間做出決斷。”

　　如果沒有防火墻，粗略的下個結論，就是：整個網絡的安全將倚仗該網絡中所有系統的安全性的平均值。遺憾的是這并不是一個正確的結論，真實的情況比這更糟：整個網絡的安全性將被網絡中最脆弱的部分所嚴格制約。即非常有名的木桶理論也可以應用到網絡安全中來。沒有人可以保證網絡中每個節點每個服務都永遠運行在最佳狀態。網絡越龐大，把網絡中所有主機維護至同樣高的安全水平就越復雜，將會耗費大量的人力和時間。整體的安全響應速度將不可忍受，最終導致網絡安全框架的崩潰。

　　防火墻成為了與不可信任網絡進行聯絡的唯一紐帶，我們通過部署防火墻，就可以通過關注防火墻的安全來保護其內部的網絡安全。并且所有的通信流量都通過防火墻進行審記和保存，對于網絡安全犯罪的調查取證提供了依據?？傊?，防火墻減輕了網絡和系統被用于非法和惡意目的的風險。

　　對于企業來說，防火墻將保護以下三個主要方面的風險：

　　A.機密性的風險

　　B.數據完整性的風險

　　C.用性的風險

　　我們討論的防火墻主要是部署在網絡的邊界(Network Perimeter)，這個概念主要是指一個本地網絡的整個邊界，表面看起來，似乎邊界的定義很簡單，但是隨著虛擬專用網絡()的出現，邊界這個概念在通過拓展的網絡中變的非常模糊了。在這種情況下，我們需要考慮的不僅僅是來自外部網絡和內部網絡的威脅，也包含了遠程客戶端的安全。因為遠程客戶端的安全將直接影響到整個防御體系的安全。

　　防火墻的主要優點如下：

　　A.防火墻可以通過執行訪問控制策略而保護整個網絡的安全，并且可以將通信約束在一個可管理和可靠性高的范圍之內。

　　B.防火墻可以用于限制對某些特殊服務的訪問。

　　C.防火墻功能單一，不需要在安全性，可用性和功能上做取舍。

　　D.防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應的周期。

　　同樣的，防火墻也有許多弱點：

　　A.不能防御已經授權的訪問,以及存在于網絡內部系統間的攻擊.

　　B.不能防御合法用戶惡意的攻擊.以及社交攻擊等非預期的威脅.

　　C.不能修復脆弱的管理措施和存在問題的安全策略

　　D.不能防御不經過防火墻的攻擊和威脅