防火墙概念与访问控制列表(2)

　　防火墙的根本手段是隔离，安装防火墙后必须对其进行必要的设置和时刻日志跟踪。这样才能发挥其最大的威力。而我们这里主要讲述防火墙概念以及与访问控制列表的联系。这里我综合了网上有关防火墙，访问控制表的定义。

　　防火墙概念

　　防火墙包含着一对矛盾(或称机制)：一方面它限制数据流通，另一方面它又允许数据流通。由于网络的管理机制及安全策略(security policy)不同，因此这对矛盾呈现出不同的表现形式。

　　存在两种极端的情形：第一种是除了非允许不可的都被禁止，第二种是除了非禁止不可都被允许。第一种的特点是安全但不好用，第二种是好用但不安全，而多数防火墙都在两者之间采取折衷。

　　在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。

　　保护脆弱的服务

　　通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

　　控制对系统的访问

　　Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。

　　集中的安全管理

　　Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

　　增强的保密性

　　使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。

　　记录和统计网络利用数据以及非法使用数据

　　Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。

　　策略执行

　　Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户

　　防火墙的功能