古时候, 人们常在寓所之间砌起一道砖墙, 一旦火灾发生, 它能够防止火势蔓延到别的寓所。自然, 这种墙因此而得名“
防火墙”。现在, 如果一个
网络接到了Internet上面, 它的用户就可以访问外部世界并与之通信。但同时, 外部世界也同样可以访问该
网络并与之交互。为
安全起见,可以在该
网络和Internet之间插入一个中介系统, 竖起一道
安全屏障。这道屏障的作用是阻断来自外部通过
网络对本
网络的威胁和入侵, 提供扼守本
网络的
安全和审计的唯一关卡。这种中介系统也叫做“
防火墙”, 或“
防火墙系统”。
简言之, 一个
防火墙在一个被认为是
安全和可信的内部
网络和一个被认为是不那么
安全和可信的外部
网络(通常是Internet)之间提供一个封锁工具。在使用
防火墙的决定背后, 潜藏着这样的推理: 假如没有
防火墙, 一个
网络就暴露在不那么
安全的Internet诸协议和设施面前, 面临来自Internet其他主机的探测和攻击的危险。在一个没有
防火墙的环境里,
网络的
安全性只能体现为每一个主机的功能, 在某种意义上, 所有主机必须通力合作, 才能达到较高程度的
安全性。
网络越大, 这种较高程度的
安全性越难管理。随着
安全性问题上的失误和缺陷越来越普遍, 对
网络的入侵不仅来自高超的攻击手段, 也有可能来自配置上的低级错误或不合适的口令选择。因此,
防火墙的作用是防止不希望的、未授权的通信进出被保护的
网络, 迫使单位强化自己的
网络安全政策。
网管联盟bitsCN@com
一个
防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器, 它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息, 例如协议号、收发报文的IP地址和端口号, 连接标志以至另外一些IP选项, 对IP包进行过滤。
代理服务器是
防火墙系统中的一个服务器进程, 它能够代替
网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关, 一个为特定
网络应用而连接两个
网络的网关。用户就一项TCP/IP应用, 比如Telnet或者ftp,同代理服务器打交道, 代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后, 代理服务器连通远程主机, 为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是: 它只由用户标识和口令构成。但是, 如果
防火墙是通过Internet可访问的, 我们推荐使用更强的认证机制,比如一次性口令或挑战-回应式系统。
网管u家u.bitsCN.com
屏蔽路由器的优点是简单和低(硬件)成本。其缺点关系到正确建立包过滤规则比较困难、屏蔽路由器的管理成本、还有用户级身份认证的缺乏。路由器生产商们正在着手解决这些问题。特别值得注意的是, 它们正在开发编辑包过滤规则的图形用户界面。他们也在制订标准的用户级身份认证协议, 来提供远程身份认证拨入用户服务(REDIUS)。
代理服务器的优点是用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实: 要想提供全面的
安全保证, 就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纳。最近, 一个名叫SOCKS的包罗万象的代理服务器问世了。SOCKS主要由一个运行在
防火墙系统上的代理服务器软件包和一个链接到各种
网络应用程序的库函数包组成。这样的结构有利于新应用的挂接。
屏蔽路由器和代理服务器通常组合在一起构成混合系统, 其中屏蔽路由器主要用来防止IP欺骗攻击。目前最广泛采用的配置是Dual-homed
防火墙, 被屏蔽主机型
防火墙, 以及被屏蔽子网型
防火墙。
网管网www.bitscn.com
尽管
防火墙已经在Internet业界得到了广泛的应用, 关于
防火墙的话题仍然十分敏感。
防火墙的拥护者们把
防火墙看成是一种重要的新型
安全措施, 因为它把诸多
安全功能集中到一点上, 大大简化了安装、配置和管理的手续。许多公司把
防火墙当做自己单位驻Internet的大使馆, 当做关于其项目、产品、服务等公共信息的仓库。从美国生产厂家的观点来看,
防火墙技术是很有意义的, 因为它不用加密, 因而在出口上不受限制。但是, 目前提供的大多数
防火墙产品确实支持这种或那种的IP层加密功能, 从而在这方面受到美国出口政策的控制。
防火墙的另一个特色是它不限于TCP/IP协议, 从而不只适用于Internet。
网管u家u.bitscn@com
确实, 类似的技术完全可以用在任何分组交换
网络当中, 例如X.25或ATM都可以。
防火墙的批评者们一般关注的是
防火墙的使用不便之处, 例如: 需要多次登录及其他不受约束的机制, 影响Internet的使用甚至影响Internet的生存。他们声称:
防火墙给人制造一种虚假的
安全感, 导致在
防火墙内部放松
安全警惕。
他们也注意到, 许多攻击是内部犯罪, 这是任何基于隔离的防范措施都无能为力的。同样,
防火墙也不能解决进入
防火墙的数据带来的所有
安全问题。如果用户抓来一个程序在本地运行, 那个程序很可能就包含一段恶意的代码, 或泄露敏感信息, 或对之进行破坏。随着Java、javascript和Active X控件及其相应浏览器的大量持续推广, 这一问题变得更加突出和尖锐。
防火墙的另一个缺点是很少有
防火墙制造商推出简便易用的“监狱看守”型的
防火墙, 大多数的产品还停留在需要
网络管理员手工建立的水平上。当然, 这一方面马上会出现重大的变化。
网管论坛bbs_bitsCN_com
尽管存在这些争议,
防火墙的拥护者和批评者都承认,
防火墙不能替代墙内的谨慎的
安全措施。
防火墙在当今Internet世界中的存在是有生命力的。它是一些对高级别的
安全性有迫切要求的机构出于实用的原因建造起来的, 因此, 它不是解决所有
网络安全问题的万能药方, 而只是
网络安全政策和策略中的一个组成部分。
评论加载中…
