防火墙与网络安全

yision

　　Internet的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。通过Internet，企业可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的“战壕”，而这个“战壕”就是防火墙。
　　防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。
　　1．什么是防火墙？
　　防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。
　　在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。
　　防火墙逻辑位置示意
　　2．防火墙能做什么？
　　防火墙是网络安全的屏障：
　　一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
　　防火墙可以强化网络安全策略：
　　通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。
对网络存取和访问进行监控审计：
　　如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
　　防止内部信息的外泄：
　　通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
　　除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障
防火墙系统的组成及分类
2.4.1 组成
       （1）包过滤（IP Filtering or Packet Filtering）
       包过滤的功能在于监视并过滤网络上流入流出流出的数据包，并拒绝发送可疑数据包。由于Internet与内部网络的连接多数使用的是Router，所以Router即成为内外网络通信的必要端口。当有关厂商在Router上加入IP Filtering功能后，这个Router即被称为Screening Router 或Circuit-level gateway。当然，一个数据包的过滤规则是否严密和是否有必要是很难判定的，在安全要求较高的场合，通常还需要配合使用其它技术来确保安全。
       Router的工作是逐一审查每个数据包并判定该数据包是否与其它包过滤规则相匹配。在有规则的情况下，如果找到了相匹配的规则，且允许这包前行，那么这个包那可根据路由表中的信息予以前行；如果一个匹配规则都没找到，且规则允许拒绝此包，那么这一包就会被舍弃。Router在无匹配规则的情况下，也可以由用户配置的缺省参数来决定此包是前行还是被舍弃。
       （2）代理服务（Proxy Service）
       代理服务使用的方法与包过滤器不同，代理（Proxy）使用一个客户程序（或许经过修改），与特定的中间节点连接，然后中间节点与期望的服务器进行实际连接。这里与分组过滤器不同的是，在使用这类防火墙的时候，外部网络与内部网络之间不存在直接的连接，即使防火墙发生了问题，外部网络也无法与被保护的网络连接在一起。
       代理服务通常由两个部分构成，即代理服务器程序和客户程序。相当多的代理服务器要求使用固定的客户程序，如果网络管理员不能改变所有代理服务器和客户程序，系统就不能正常工程。代理使网络管理员有了较大的改善网络安全特性的能力。然而，也给软件开发者、网络系统员和最终用户带来了很大的不便，这也是使用代理时需要付出的代价，而且最终用户也许还需要学习特定的步骤来通过防火墙进行通信。
       （3）屏蔽路由器（Screening Router）
       许多路由器产品都具有根据给定规则对报文数据包进行屏蔽的功能，这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段。而屏蔽路由器提供了一种更强有力的机制，使其能对任何网络段上的通信业务类型进行控制。通过控制一个网络段上的通信业务类型和筛选路由器，用以控制该网络段上网络服务的类型和限制对网络安全有害的服务。
屏蔽路由器的功能相当于OSI模型的网络层（IP协议）和传输层（TCP协议）。
2.4.2 分类
       （1）应用层网关级（Implication Level Gateway）防火墙
       防火墙通常被描述为网关，可以在OSI模型所有七个层次上执行处理功能，但大多数防火墙网关均在第七层（应用层）执行处理功能，因此被称为应用层网关级防火墙。

网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。如今， Internet遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。随着网络的延伸，安全问题受到人们越来越多的关注。在网络日益复杂化，多样化的今天，如何保护各类网络和应用的安全，如何保护信息安全，成为了本文探讨的重点。
　　几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患。
　　我们可以通过很多网络工具，设备和策略来保护不可信任的网络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。
　　防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。
　　防火墙一般有三个特性：
A．所有的通信都经过防火墙
B．防火墙只放行经过授权的网络流量
C．防火墙能经受的住对其本身的攻击
　　我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。
　　为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。
　　对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。”
　　如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。
　　防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。
　　对于企业来说，防火墙将保护以下三个主要方面的风险：
A．机密性的风险
B．数据完整性的风险
C．用性的风险
　　我们讨论的防火墙主要是部署在网络的边界（Network Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。因为远程VPN客户端的安全将直接影响到整个防御体系的安全。
　　防火墙的主要优点如下：
A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。
B．防火墙可以用于限制对某些特殊服务的访问。
C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。
D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。
　　同样的，防火墙也有许多弱点：
A．不能防御已经授权的访问,以及存在于网络内部系统间的攻击.
B．不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁.
C．不能修复脆弱的管理措施和存在问题的安全策略
D．不能防御不经过防火墙的攻击和威胁
　　现代企业对网络依赖主要来自于运行在网络上的各种应用，同样的，网络的范围也覆盖到整个企业的运营区域。我们将分析一个典型的企业网络，从结构，应用，管理，以及安全这几个层次来探讨一下对企业来说，如何去实现真正的网络安全。
　　在开始之前，我们首先必须面对一个事实，绝对的安全是没有的。我们所能做的，是减少企业所面临的安全风险，延长安全的稳定周期，缩短消除威胁的反映时间。网管与安全人员需要解决的是来自内部和外部的混合威胁，是蓄意或无意的攻击和破坏，是需要提高整体安全防范意识与科学的协调和管理。客观的去分析现今的企业网络，我们不难发现，在经历了普及终端和网络互联的时代后，我们面对的问题还有很多，如客户端的非法操作，对网络的不合法的访问与利用；网络结构的设计缺陷与混杂的部署环境；网络边界与关键应用的区域缺乏必要的防御措施和审记系统等等。下面我们来逐一分析，并提供相应的产品解决方案与安全建议。
　　首先是网络内部，即面向企业内部员工的工作站，我们不能保证用户每一次操作都是正确与安全的，绝大情况下，他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。而对于其他，比如病毒，木马，间谍程序，恶意脚本，往往通过内部网络中某一台工作站的误操作而进入到网络并且迅速的蔓延。如访问非法网站，下载或运行不可信程序，使用移动设备复制带有病毒的文件等看似平常的操作。由于如今流行的操作系统存在大量的漏洞与缺陷，并且新的漏洞与利用各种漏洞的蠕虫变种层出不穷，网络的迅速发展，也给这类威胁提供高速繁殖的媒介。特别是企业内部拥有高速的网络环境，给各种威胁的扩散与转移提供了可能。现在人们都通过安装防病毒软件来防御病毒的威胁，但是面对蠕虫和木马程序，后门程序等，防病毒并不能起到很显著的效果，例如蠕虫病毒，一般都是利用操作系统中存在的缺陷和漏洞来攻击与传播的，即使安装了防病毒软件，也没有修补操作系统本身的漏洞，安全威胁从根本上没有被消除。并且随着蠕虫的不断攻击，防病毒系统将会调用大量的系统资源来修复和防御蠕虫攻击后修改的系统文件，频繁的对文件系统进行扫描与恢复。这样也无形的增加了系统的不稳定性，影响了系统的可用性，最关键的是，蠕虫攻击在仍然在网络中传播，给交换机，路由器带来持续的压力和威胁。另外，客户端感染威胁的途径是多种多样的，比如Internet Explorer浏览器漏洞，可以利用VBS恶意脚本，BMP图片木马，ActiveX控件后门程序等，通过各类嵌入攻击代码的网页，在浏览者毫不知情的情况下，后台进驻到操作系统中，修改注册表和系统设置，种植后门程序，收集用户信息和资料。这一切都会给工作站造成无法估量的安全风险。一旦工作站遭到攻击与控制，就很可能威胁到整个内部网络和核心区域，所以我们说，保护好工作站的安全，是企业网络安全的一个重要部分。
　　存在的矛盾：
　　如果部署安全策略，在提高安全性的同时，势必会影响其可用性。这个矛盾是不可调和的。
　　与边界防火墙不同的是，关键区域的防火墙主要是面对内部用户，保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁，比如扫描，渗透，入侵，拒绝服务攻击等攻击，也要提供诸如NAT服务，出站控制，远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域，提供深层次的检测与告警。因为一旦涉及到数据包深入检测，将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发，不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途，结合设备与现有的网络环境灵活部署，才能达到较高可用性与安全性的平衡。
　　如今的防火墙的功能越来越强大，这里我们选择业界一流的防火墙CheckPoint的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。