防火牆技術知識全解

  歡迎大家來到。網路已經成為了人類所構建的最豐富多彩的虛擬世界,網路的迅速發展,給我們的工作和學習生活帶來了巨大的改變。我們通過網路獲得資訊,共享資源。如今, Internet遍佈世界任何一個角落,並且歡迎任何一個人加入其中,相互溝通,相互交流。隨著網路的延伸,安全問題受到人們越來越多的關注。在網路日益複雜化,多樣化的今天,如何保護各類網路和應用的安全,如何保護資訊保安,成為了本文探討的重點。

  幾乎所有接觸網路的人都知道網路中有一些費盡心機闖入他人計算機系統的人,他們利用各種網路和系統的漏洞,非法獲得未授權的訪問資訊。不幸的是如今攻擊網路系統和竊取資訊已經不需要什麼高深的技巧。網路中有大量的攻擊工具和攻擊文章等資源,可以任意使用和共享。不需要去了解那些攻擊程式是如何執行的,只需要簡單的執行就可以給網路造成巨大的威脅。甚至部分程式不需要人為的參與,非常智慧化的掃描和破壞整個網路。這種情況使得近幾年的攻擊頻率和密度顯著增長,給網路安全帶來越來越多的安全隱患。

  我們可以通過很多網路工具,裝置和策略來保護不可信任的網路。其中防火牆是運用非常廣泛和效果最好的選擇。它可以防禦網絡中的各種威脅,並且做出及時的響應,將那些危險的連線和攻擊行為隔絕在外。從而降低網路的整體風險。

  防火牆的基本功能是對網路通訊進行篩選遮蔽以防止未授權的訪問進出計算機網路,簡單的概括就是,對網路進行訪問控制。絕大部分的防火牆都是放置在可信任網路***Internal***和不可信任網路***Internet***之間。

  防火牆一般有三個特性:

  A.所有的通訊都經過防火牆

  B.防火牆只放行經過授權的網路流量

  C.防火牆能經受的住對其本身的攻擊

  我們可以看成防火牆是在可信任網路和不可信任網路之間的一個緩衝,防火牆可以是一臺有訪問控制策略的路由器***Route+ACL***,一臺多個網路介面的計算機,伺服器等,被配置成保護指定網路,使其免受來自於非信任網路區域的某些協議與服務的影響。所以一般情況下防火牆都位於網路的邊界,例如保護企業網路的防火牆,將部署在內部網路到外部網路的核心區域上。

  為什麼要使用防火牆?很多人都會有這個問題,也有人提出,如果把每個單獨的系統配置好,其實也能經受住攻擊。遺憾的是很多系統在預設情況下都是脆弱的。最顯著的例子就是Windows系統,我們不得不承認在Windows 2003以前的時代, Windows預設開放了太多不必要的服務和埠,共享資訊沒有合理配置與稽核。如果管理員通過安全部署,包括刪除多餘的服務和元件,嚴格執行NTFS許可權分配,控制系統對映和共享資源的訪問,以及帳戶的加固和稽核,補丁的修補等。做好了這些,我們也可以非常自信的說,Windows足夠安全。也可以抵擋住網路上肆無忌憚的攻擊。但是致命的一點是,該伺服器系統無法在安全性,可用性和功能上進行權衡和妥協。

  對於此問題我們的回答是:“防火牆只專注做一件事,在已授權和未授權通訊之間做出決斷。”

  如果沒有防火牆,粗略的下個結論,就是:整個網路的安全將倚仗該網路中所有系統的安全性的平均值。遺憾的是這並不是一個正確的結論,真實的情況比這更糟:整個網路的安全性將被網路中最脆弱的部分所嚴格制約。即非常有名的木桶理論也可以應用到網路安全中來。沒有人可以保證網路中每個節點每個服務都永遠執行在最佳狀態。網路越龐大,把網路中所有主機維護至同樣高的安全水平就越複雜,將會耗費大量的人力和時間。整體的安全響應速度將不可忍受,最終導致網路安全框架的崩潰。

  防火牆成為了與不可信任網路進行聯絡的唯一紐帶,我們通過部署防火牆,就可以通過關注防火牆的安全來保護其內部的網路安全。並且所有的通訊流量都通過防火牆進行審記和儲存,對於網路安全犯罪的調查取證提供了依據。總之,防火牆減輕了網路和系統被用於非法和惡意目的的風險。

  對於企業來說,防火牆將保護以下三個主要方面的風險:

  A.機密性的風險

  B.資料完整性的風險

  C.用性的風險

  我們討論的防火牆主要是部署在網路的邊界***Network Perimeter***,這個概念主要是指一個本地網路的整個邊界,表面看起來,似乎邊界的定義很簡單,但是隨著虛擬專用網路******的出現,邊界這個概念在通過拓展的網路中變的非常模糊了。在這種情況下,我們需要考慮的不僅僅是來自外部網路和內部網路的威脅,也包含了遠端客戶端的安全。因為遠端客戶端的安全將直接影響到整個防禦體系的安全。

  防火牆的主要優點如下:

  A.防火牆可以通過執行訪問控制策略而保護整個網路的安全,並且可以將通訊約束在一個可管理和可靠性高的範圍之內。

  B.防火牆可以用於限制對某些***的訪問。

  C.防火牆功能單一,不需要在安全性,可用性和功能上做取捨。

  D.防火牆有審記和報警功能,有足夠的日誌空間和記錄功能,可以延長安全響應的週期。

  同樣的,防火牆也有許多弱點:

  A.不能防禦已經授權的訪問,以及存在於網路內部系統間的攻擊.

  B.不能防禦合法使用者惡意的攻擊.以及社交攻擊等非預期的威脅.

  C.不能修復脆弱的管理措施和存在問題的安全策略

  D.不能防禦不經過防火牆的攻擊和威脅