揭开防火墙的神秘面纱

Author: 周建军 Date: 1999年 第42期 28版


#1  一、什么是防火墙
  防火墙并不是真正的墙,它是一类防范措施的总称,是一种有效的网络安全模型,是机构总体安全策略的一部分,它阻挡的是对内、对外的非法访问和不安全数据的传递。在因特网上,通过它隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网)的连接,能够增强内部网络的安全性。防火墙系统决定了内部哪些区域可以被外界访问,以及哪些外部服务可以被内部访问。所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查(如^422801a^所示),防火墙只允许核准了的信息进出。防火墙负责管理风险区域和内部网络之间的访问,在没有防火墙时,内部网络上的每个节点都暴露给风险区域上的其它主机,极易受到攻击。也就是说,内部网络的安全性要由每一个主机来决定,并且整个内部网络的安全性等于其中防护能力最弱的系统。由此可见,对于联接到因特网的内部网络选用适当的防火墙是必需的。
  通常应用防火墙的目的有以下几方面:限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近你的防御设施;限定人们访问特殊站点;为监视局域网安全提供方便。
#1  二、防火墙的类型
  防火墙有很多种形式,有的以软件形式运行在普通计算机上,有的以固件形式设计在路由器之中,但一般说来可以分为两种类型,即数据包过滤型和应用级网关。
#1  1.包过滤型防火墙
  包过滤型防火墙是基于数据包过滤的防火墙。我们都知道,在因特网这种信息包交换网络上,所有信息都被分割为很多一定长度的信息包,其中包括源地址、目标地址、包的进入端口和输出端口等,路由器读取目标地址并选择一条物理线路发送出去,所有信息包到达目的地后再重新组合还原。包过滤型防火墙根据数据包中的信息(源地址、目标地址、所用端口等)按照事先设定好的条件进行过滤,对数据包实行有选择的通过。例如国家有关部门可以通过包过滤型防火墙来禁止国内用户访问违规站点。
  包过滤型防火墙安全性很好,最大的优点就是对用户来说是透明的,不需要任何用户名和密码进行登录,速度快且易于维护,常作为内部网络的第一道防线。但它的缺点也非常明显,第一,没有用户的使用记录,我们也就不能从访问记录中发现黑客的攻击记录(对于黑客来说,攻击单纯的包过滤型防火墙是比较容易的,比如采取IP欺骗的方法),它可以阻止非法用户进入内部网络,但也不会告诉我们究竟都有谁来过,或者谁从内部进入了国际网络;第二,定义包过滤器比较复杂,因为网管员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解,如果必须支持非常复杂的过滤,过滤规则集合会非常大,难于管理和理解;另外,规则配置好了之后,几乎没有什么工具可以用来验证过滤规则的正确性。
#1  2.应用级网关
  这个名字大家可能不太熟悉,可是它的另外一个名字大家都知道,那就是代理服务器。包过滤型防火墙可以按照IP地址禁止外部对内部的访问,但不能控制内部人员对外的访问。代理服务器隔离在风险网络与内部网络之间,内外不能直接交换数据,数据交换由代理服务器“代理”完成,内部用户对外发出的请求经由代理服务器审核,如果符合网管员设定的条件,代理服务器就会像一个客户机一样去那个站点取回所需信息转发给用户,比如代理合法的内部主机访问外部非安全网络的站点,并对代理连接的URL进行检查,禁止内部主机访问非法站点;代理内部邮件服务器与外部邮件服务器进行连接,并对邮件的大小、数量、发送者、接收者甚至内部进行检查;认证用户身份、代理合法用户Telnet或FTP内部服务器、在权限范围内修改服务器内容或上下载文件,而所有的这些服务都会有一个详细的记录。代理服务器像一堵真正的墙一样阻挡在内部用户和外界之间,从外面只能看到代理服务器而看不到内部资源(如某个用户的IP),从而有效地保护内部网不受侵害。
  代理服务比单一的包过滤型防火墙更为可靠,内部客户感觉不到它的存在,可以自由访问外部站点(当然是网管员允许的),对外部客户可开放单独的内部连接,可以提供极好的访问控制、登录能力及地址转换功能。代理服用器对提供的服务会产生一个详细的记录,如果发现非法入侵会及时报警,这一点非常重要。对于一个内部网络已经连接到Internet上的机构来说,重要的问题不是网络是否会受到攻击,而是何时会受到攻击,网管员必须审计并记录所有通过防火墙的重要信息,如果网管员不能及时响应报警并审查常规记录,防火墙就形同虚设,网络管理员永远也不会知道防火墙是否受到攻击。
  但代理服务也有不尽人意之处,其一就是每增加一种新的媒体应用,就必须对代理服务器进行设置;其二就是处理通信量方面存在瓶颈,比简单的包过滤型防火墙要慢得多。
  这两种类型的防火墙各有优缺点,因而在应用中常结合使用。但我们应该清醒地认识到,没有一种防火墙产品是万能的,它不能防范黑客的刻意攻击,不能防范内部用户攻击,也不能防范因口令失密而造成的攻击,更不能防范内部人员将数据拷贝到软盘上带走,它只是安全策略的一个方面,如果只有防火墙,而没有全面的安全策略,如磁盘和数据的加密、病毒防护措施、雇员培训等,那么防火墙就形同虚设。