网络安全技术：了解防火墙的安全策略

　　防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。防火墙是一个系统，主要用来执行两个网络之间的访问控制策略。它可为各类企业网络提供必要的访问控制，但又不造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护企业的关键资源。 　　在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。通常一个公司在购买网络安全设备时，总是把防火墙放在首位。目前，防火墙已经成为世界上用得最多的网络安全产品之一。那么，防火墙是如何保证网络系统的安全，又如何实现自身安全的呢? 　　防火墙并不是真正的墙，它是一类防范措施的总称，是一种有效的网络安全模型，是机构总体安全策略的一部分。它阻挡的是对内、对外的非法访问和不安全数据的传递。在因特网上，通过它隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网)的连接，能够增强内部网络的安全性。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 　　防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。企业在把公司的局域网联入Internet时，肯定不希望让全世界的人随意翻阅公司内部的工资单、个人资料或是客户数据库。即使在公司内部，同样也存在这种数据非法存取的可能性。例如一些对公司不满的员工可能会修改工资表和财务报告。而在设置了防火墙以后，就可以对网络数据的流动实现有效的管理：允许公司内部员工使用电子邮件、进行Web浏览以及文件传输等服务，但不允许外界随意访问公司内部的计算机，同样还可以限制公司中不同部门之间互相访问。将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。 　　防火墙负责管理风险区域和内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给风险区域上的其它主机，极易受到攻击。也就是说，内部网络的安全性要由每一个主机来决定，并且整个内部网络的安全性等于其中防护能力最弱的系统。由此可见，对于联接到因特网的内部网络，一定要选用适当的防火墙。 　　通常应用防火墙的目的有以下几方面：限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近你的防御设施;限定人们访问特殊站点;为监视局域网安全提供方便。 一个成功的防火墙产品应该具有下述基本功能： 　　* 防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许，否则就禁止”; 　　* 防火墙本身支持安全策略，而不是添上去的; 　　* 如果组织机构的安全策略发生改变，可以加入新的服务; 　　* 有先进的认证手段或有挂钩程序，可以安装先进的认证方法; 　　* 如果需要，可运用过滤技术允许和禁止服务; 　　* 可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上; 　　* 拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤。数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。 　　如果用户需要NNTP(网络消息传输协议)、X-Window、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。 　　 　　图1 防火墙示意图 　　防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。 　　正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。 　　除此以外，企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，用户还可能考虑一些特殊功能要求。常见的需求如下： 　　1.网络地址转换功能(NAT) 　　进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。 　　2. 双重DNS(域名服务) 　　当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。 　　3. 虚拟专用网络(VPN) 　　VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。 　　4. 扫毒功能 　　大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作由防火墙完成，或由另一台专用的计算机完成。 　　5. 特殊控制需求 　　有时候企业会有特别的控制需求，如限制特定使用者才能发送E-mail;FTP只能下载文件不能上传文件;限制同时上网人数;限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。