闲话防火墙的选择

　　许多上网的用户对网络安全可能抱着无所谓的态度，认为最多不过是被“黑客”盗用账号，他们往往会认为“安全”只是针对那些大中型企事业单位的，而且黑客与自己无怨无仇，干嘛要攻击自己呢？其实，在一无法纪二无制度的虚拟网络世界中，现实生活中所有的阴险和卑鄙都表现得一览无余，在这样的信息时代里，几乎每个人都面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题，那些平时不注意安全的人，往往在受到安全方面的攻击时，付出惨重的代价时才会后悔不已。在这样的情况下，网络防火墙便应运而生了。利用防火墙，我们可以将防护对象和Internet分开，并在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。目前市场上的防火墙产品可以说是琳琅满目，如何选择合适的防火墙就成为用户非常关心的话题，笔者的下述浅见，将对这方面的问题作出详细的回答。 网管联盟bitsCN@com
　　1、有较强的适应能力
　　Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。 网管论坛bbs_bitsCN_com
　　2、产品本身要安全
　　大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。大部分防火墙都安装在一般的操作系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。
　　3、有良好的整体协调性
　　整体协调性也是选择防火墙必须注意的问题，因为整体协调性关系到网络系统的整体安全问题，而整体安全问题是我们在防范安全的一个最最重要的地方，一般来说好的防火墙应该是整体协调性好，利用这种产品可以对企业的整体网络进行保护，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系。好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。

网管bitscn_com

　　4、工作方式要正确
　　挑选防火墙时，必须理解防火墙的工作方式才能评估它是否能够真正满足自己的需要。为了找出适合用户所在组织的最佳防火墙产品，用户必须将自己的需求映射到特定的防火墙类型上。一旦你挑选了正确的体系，琳琅满目的防火墙产品也就变得不再令人眼花缭乱了。防火墙有许多种形式，有的以软件形式运行在普通计算机之上，有的以硬件形式单独实现，也有的以固件形式设计在路由器之中。总的来说防火墙分为三种：代管服务器、网关过滤器和状态监视器。
　　A、代管服务器
　　顾名思义，代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上，使它同时充当服务器，对外部的请求作出回答。这种方式是内部网络与ＩＮＴＥＲＮＥＴ不直接通讯，内部网络计算机用户与代理服务器采用一种通讯方式，即提供内部网络协议（ＮＥＴＢＩＯＳ、ＴＣＰ／ＩＰ），代理服务器与ＩＮＴＥＲＮＥＴ之间的通信采取的是标准ＴＣＰ／ＩＰ网络通信协议，防火墙内外的计算机的通信是通过代理服务器来中转实现的，结构图如下所示：

网管论坛bbs_bitsCN_com

　　内部网络－－－－代理服务器－－－－ＩＮＴＥＲＮＥＴ这样便成功地实现了防火墙内外计算机系统的隔离，由于代理服务器两端采用的是不同的协议标准，所以能够有效地阻止外界直接非法入侵。
　　代理服务器通常由性能好、处理速度快、容量大的计算机来充当，在功能上是作为内部网络与ＩＮＴＥＲＮＥＴ的连接者，它对于内部网络来说是象一台真正的服务器一样，而对于因特网上的服务器来说，它又是一台客户机。当代理服务器接受到用户的请求以后，会检查用户请求的站点是否符合设定要求，如果允许用户访问该站点的话，代理服务器就会和那个站点连接，以取回所需信息再转发给用户。
　　另外，代理服务器还能提供更为安全的选项，例如它可以实施较强的数据流的监控、过滤、记录和报告功能，还可以提供极好的访问控制、登录能力以及地址转换能力。但是这种防火墙措施，在内部网络终端机很多的情况下，效率必然会受到影响，代理服务器负担很重，并且许多访问ＩＮＴＥＲＮＥＴ的客户软件在内部网络计算机中无法正常访问ＩＮＴＥＲＮＥＴ。
　　B、网关过滤器
　　这种结构由路由器和过滤器共同完成对外界计算机访问内部网络的限制，也可以指定或限制内部网络访问ＩＮＴＥＲＮＥＴ。路由器只对过滤器上的特定端口上的数据通讯加以路由，过滤器的主要功能就是在网络层中对数据包实施有选择的通过，依照ＩＰ（ＩＮＴＥＲＮＥＴ　ＰＲＯＴＯＣＯＬ）包信息为基础，根据ＩＰ源地址、ＩＰ目标地址、封装协议端口号，确定它是否允许该数据包通过。这种防火墙措施最大的优点就是它对于用户来说是透明的，也就是说不需要用户输入帐号和密码来登录，因此速度上要比代理服务器快，且不容易出现屏颈现象。然而其缺点也是很明显的，就是没有用户的使用记录，这样我们就不能从访问记录中发现非法入侵的攻击记录。
　　C、状态监测防火墙
　　这种结构的防火墙具有非常好的安全特性，它使用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 网管联盟bitsCN_com
　　这种防火墙的优点是一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的。但是它会降低网络的速度，而且配置也比较复杂。当然有关防火墙厂商已注意到这一问题，有些防火墙产品的安全策略规则是通过面向对象的图形用户界面（GUI）来定义以简化配置过程。 5、有很好的实用功能 大家知道，不同功能的防火墙产品，在价格上，差别是很大的，从几万元到数十万元，甚至到百万元，那么我们到底是应该购买价格高的产品呢，还是价格低的产品呢？这时，我们就应该根据各企业用户使用的安全程度的不同来选择，如果用户需要的安全程度很高，也就是说企业对系统的安全要求非常高的话，那么我们就应该选择价格高的、功能强的防火墙产品，以便利用这些强大的功能为系统的安全建立一个坚固的屏障，反之我们就应该选择一个价格便宜、功能稍差的产品。如果我们在选购防火墙产品时，一味地追求高价格、强功能的产品，就有可能造成很大的资源浪费。一句话，我们应该首先根据系统的要求，然后选择一个与系统要求相符合的产品，以确保能充分防火墙的应有功能。 中国网管论坛bbs.bitsCN.com
　　6、要能对付潜在威胁
　　潜在威胁是我们在选购防火墙时，也应该认真考虑的因素：网络受威胁的程度；若入侵者闯入网络，将要受到的潜在的损失；其他已经用来保护网络及其资源的安全措施；由于硬件或软件失效，或防火墙遭到“拒绝服务攻击”，而导致用户不能访问Internet，造成的整个机构的损失；机构所希望提供给Internet的服务，希望能从Internet得到的服务以及可以同时通过防火墙的用户数目；站点是否有经验丰富的管理员；今后可能的要求，如要求增加通过防火墙的网络活动或要求新的Internet服务。
　　7、设计的策略要符合原则
　　防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程