防火墻示意圖

防火墻,（英文：FireWall)是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況， 以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)， 保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻的作用

• 保護(hù)脆弱的服務(wù)

通過(guò)過(guò)濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如， Firewall可以禁止NIS、NFS服務(wù)通過(guò)，F(xiàn)irewall同時(shí)可以拒絕源路由和ICMP重定向封包。

• 控制對(duì)系統(tǒng)的訪問(wèn)

Firewall可以提供對(duì)系統(tǒng)的訪問(wèn)控制。如允許從外部訪問(wèn)某些主機(jī)，同時(shí)禁止訪問(wèn)另外的主機(jī)。例如， Firewall允許外部訪問(wèn)特定的Mail Server和Web Server。

• 集中的安全管理

Firewall對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)， 而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法， 而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過(guò)一次認(rèn)證即可訪問(wèn)內(nèi)部網(wǎng)。

• 增強(qiáng)的保密性

使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Figer和DNS。

• 記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)

Firewall可以記錄和統(tǒng)計(jì)通過(guò)Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù)， 來(lái)判斷可能的攻擊和探測(cè)。

• 策略執(zhí)行

Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。

防火墻的分類(lèi)

防火墻總體上分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類(lèi)型。

• 數(shù) 據(jù) 包 過(guò) 濾

數(shù)據(jù)包過(guò)濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯， 被稱(chēng)為訪問(wèn)控制表(Access Control Table)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、 協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。 數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用， 網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備， 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。

數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)有二：一是非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊； 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽(tīng)或假冒。

• 應(yīng) 用 級(jí) 網(wǎng) 關(guān)

應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。 它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、 登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專(zhuān)用工作站系統(tǒng)上。

數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)。 一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系， 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。

• 代 理 服 務(wù)

代理服務(wù)(Proxy Service)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)， 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的" 鏈接"， 由兩個(gè)終止代理服務(wù)器上的" 鏈接"來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器， 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記， 形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。

防火墻的設(shè)置要素

• 網(wǎng)絡(luò)策略

影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)， 低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過(guò)濾在高級(jí)策略中定義的服務(wù)。

• 服務(wù)訪問(wèn)策略

服務(wù)訪問(wèn)策略集中在Internet訪問(wèn)服務(wù)以及外部網(wǎng)絡(luò)訪問(wèn)（如撥入策略、SLIP/PPP連接等）。 服務(wù)訪問(wèn)策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。 典型的服務(wù)訪問(wèn)策略是：允許通過(guò)增強(qiáng)認(rèn)證的用戶在必要的情況下從Internet訪問(wèn)某些內(nèi)部主機(jī)和服務(wù)； 允許內(nèi)部用戶訪問(wèn)指定的Internet主機(jī)和服務(wù)。

• 防火墻設(shè)計(jì)策略

防火墻設(shè)計(jì)策略基于特定的Firewall，定義完成服務(wù)訪問(wèn)策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略： 允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點(diǎn)是安全但不好用， 第二種是好用但不安全，通常采用第二種類(lèi)型的設(shè)計(jì)策略。 而多數(shù)防火墻都在兩種之間采取折衷。

• 增強(qiáng)的認(rèn)證

許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機(jī)制。多年來(lái)，用戶被告知使用難于猜測(cè)和破譯口令， 雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡， 認(rèn)證令牌，生理特征（指紋）以及基于軟件（RSA）等技術(shù)，來(lái)克服傳統(tǒng)口令的弱點(diǎn)。雖然存在多種認(rèn)證技術(shù)， 它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。 目前許多流行的增強(qiáng)機(jī)制使用一次有效的口令和密鑰（如SmartCard和認(rèn)證令牌）。

相關(guān)條目

• HTTP

參考資料

• 互聯(lián)網(wǎng)開(kāi)源知識(shí)