防火牆技術

古時候，人們常在寓所之間砌起一道磚牆，一旦火災發生，它能夠防止火勢蔓延到別的寓所。如果一個網絡接到了Internet上面，它的用户就可以訪問外部世界並與之通信。但同時，外部世界也同樣可以訪問該網絡並與之交互。為了安全起見，可以在該網絡和Internet之間插入一箇中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵，提供扼守本網絡的安全和審計的關卡，它的作用與古時候的防火磚牆有類似之處，因此我們把這個屏障就叫作“防火牆” ^[3]  。

防火牆技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。它是一個系統，位於被保護網絡和其它網絡之間，進行訪問控制，阻止非法的信息訪問和傳遞。防火牆並非單純的軟件或硬件，它實質是軟件和硬件加上一組安全策略的集合 ^[4]  。

防火牆遵循的基本準則有兩點。第一，它會拒絕所有未經説明允許的命令。防火牆的審查基礎的逐項審閲，任何一個服務請求和應用操作都將被逐一審查符合允許的命令後才可能執行，這樣的操作方法為保證內部計算機安全性提供了切實可行的辦法。反而言之，用户可以申請的服務和服務數量是有限的，提高了安全性的同時也就減弱可用性。第二，它會允許所有未經説明拒絕的命令。防火牆在傳遞所有信息的時候都是按照約定的命令執行的，也就是會逐項審查後杜絕潛在危害性的命令，這一點的缺陷就是可用性優於安全性的地位，但是增加安全性的難度。 ^[5] 

防火牆是“木桶”理論在網絡安全的應用。網絡安全概念中有一個“木桶”理論：一個桶能裝的水量不取決於桶有多高，而取決於組成該桶的最短的那塊木條的高度。在一個沒有防火牆的環境裏，網絡的安全性只能體現為每一個主機的功能，所有主機必須通力合作，才能達到較高程度的安全性。而防火牆能夠簡化安全管理，網絡的安全性是在防火牆系統上進行加固，而不是分佈在內部網絡的所有主機上 ^[6]  。

防火牆可以限制非法用户，比如防止黑客、網絡破壞者等進入內部網絡，禁止存在安全脆弱性的服務和未授權的通信進出網絡，並抗擊來自各種路線的攻擊。對網絡存取和訪問進行記錄、監控作為單一的網絡接入點，所有進出信息都必須通過防火牆，所以防火牆非常適用收集關於系統和網絡使用和誤用的信息並做出日誌記錄。在防火牆上可以很方便地監視網絡的安全性，併產生報警 ^[6]  。

防火牆通過用户身份認證來確定合法用户。防火牆通過事先確定的完全檢查策略，來決定內部用户可以使用哪些服務，可以訪問哪些網站 ^[6]  。

限制暴露用户點，防止內部攻擊

利用防火牆對內部網絡的劃分，可實現網絡中網段的隔離，防止影響一個網段的問題通過整個網絡傳播，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響，同時，保護一個網段不受來自網絡內部其它網段的攻擊 ^[6]  。

防火牆可以作為部署NAT的邏輯地址，因此防火牆可以用來緩解地址空間短缺的問題，並消除機構在變換ISP時帶來的重新編址的麻煩 ^[6]  。

防火牆還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN將企事業單位在地域上分佈在全世界各地的LAN或專用子網，有機地聯成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。 ^[6] 

隨着技術的進步和防火牆應用場景的不斷延伸，現防火牆按照不同的使用場景主要可以分成以下四類 ^[7]  。

過濾防火牆，顧名思義，就是在計算機網絡中起一個過濾的作用。這種防火牆會根據已經預設好的過濾規則， 對在網絡中流動的數據包進行過濾行為。如果符合過濾規則的數據包會被放行，如果數據包不滿足過濾規則， 就會被刪除。數據包的過濾規則是基於數據包報審的特徵的。防火牆通過檢查數據包的源頭 IP 地址，目的IP地址，數據包遵守的協議，端口號等特徵來完成。第一代的防火牆就屬於過濾防火牆 ^[7]  。

應用網關防火牆

已經介紹了的過濾防火牆在 OSI七層協議中主要工作在數據鏈路層和 IP 層。與之不同的是，應用網關防火牆主要工作在最上層應用層。不僅如此， 相比於基於過濾的防火牆來説， 應用網關防火牆最大的特點是有一套自己的邏輯分析。基於這個邏輯分析，應用網關服務器在應用層上進行危險數據的過濾， 分析內部網絡應用層的使用協議， 並且對計算機網絡內部的所有數據包進行分析， 如果數據包沒有應用邏輯則不會被放行通過防火牆 ^[7]  。

上述的兩種防火牆都是應用在計算機網絡中來阻擋惡意信息進入用户的電腦的。服務防火牆則有其他的應用場景， 服務防火牆主要用於服務器的保護中。在現在的應用軟件中， 往往需要通過和服務器連接來獲得完整的軟件體驗。所以服務防火牆也就應運而生。服務防火牆用來防止外部網絡的惡意信息進入到服務器的網絡環境中 ^[7]  。

如果説之前介紹的防火牆都是被動防守的話， 那麼監控防火牆則是不僅僅防守， 還會主動出擊。一方面監控防火牆可以像傳統的防火牆一樣， 過濾網絡中的有害數據。另一方面， 監控防火牆可以主動對數據進行分析和測試， 得到網絡中是否存在外部攻擊。這種防火牆對內可以過濾， 對外可以監控。從技術上來説， 是傳統防火牆的重大升級 ^[7]  。

網絡安全屏障

防火牆對內部網絡環境安全性起着極大的提高意義，它作為阻塞點和控制點過濾那些潛在危險的服務從而降低了網絡內部環境的風險。因為所有進入網絡內容的信息都是經過防火牆精心過濾過的，所以網絡內部環境就非常的安全可靠。例如，NFS 是一個不安全協議，防火牆可以過濾點該信息，不允許該協議進入受保護的網絡，這樣外部的攻擊者就無法進入內部網絡進行攻擊侵害。防火牆同時可以保護網絡免受基於路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員 ^[5]  。

網絡安全策略

如果對網絡安全配置上以防火牆為中心，就可以讓口令、加密、身份認證、審計等安全軟件配置在防火牆上。防火牆的這種集中安全管理與各個主機分散控制網絡安全問題相比更比較經濟實惠。另外，防火牆的集中安全控制也避免了一次一密口令系統和其他的身份認證系統分散在各個主機上的麻煩 ^[5]  。

防火牆有着很好的日誌記錄功能，它會記錄所有經過防火牆訪問過的記錄，更能夠把網絡使用情況的數據進行彙總分析，從而得出網絡訪問的統計性數據。如果訪問的數據裏面含有可疑性的動作，防火牆會進行報警，顯示網絡可能受到的相關的檢測和攻擊方面的數據信息。另外，它還可以通過訪問數據的統計提供某個網絡的使用情況和誤用情況，為網絡使用需求分析和網絡威脅分析提供有價值的參考數據 ^[5]  。

防止內部信息的外泄

防火牆可以把內部網絡隔離成若干個段，對局部重點網絡或敏感網絡加強監控，全局網絡的安全問題就不會因為局部網絡的一段問題而受到牽連。另外，防火牆對 Finger、DNS等服務顯示的內部細節數據進行隱蔽，這樣由於 Finger 顯示的所有用户的註冊名、真名，最後登錄時間和使用 shell 類型等信息就受到保護了，也就降低了外部的攻擊侵入。同樣，防火牆對內部網絡中 DNS 信息的阻塞，也避免了主機域名和IP 地址的外泄，有效了保護內部信息的安全 ^[5]  。

沒有任何一個防火牆的設計能適用於所有的環境。它就似一個防盜門，在通常情況下能起到安全防護的作用，但當有人強行闖入時可能失效。所以在選擇購買時，應根據站點的特點來選擇合適的防火牆 ^[9]  。

防火牆的不足之處