[科普中国]-网络防火墙

网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

基本功能所谓“防火墙”,是一种特殊的访问控制设施,是一道介于内部网络和Internet 之间的安全屏障, 防火墙的基本功能是根据各种网络安全策略的要求对未经授权的访问和数据传递进行筛选和屏蔽, 它保护着内部网络数据的安全。从逻辑上讲防火墙既是一个分析器又是一个限制器, 它要求所有进出内部网络的数据流都必须通过安全策略和安全计划的确认与授权, 并在逻辑上实现内外网络的分离, 从而保证内部网络的安全。防火墙既可以是一组硬件,也可以是一组软件,还可以是软件和硬件的组合。1

主要作用防火墙作为内部网与外部网之间的一种访问控制设备， 常常安装在内部网和外部网交界点上。防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。网络防火墙的主要作用如下：（1）Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内部；（2）能强化安全策略；（3）能有效记录Internet上的活动；（4）可限制暴露用户点；（5）它是安全策略的检查点。

分类1.网络层防火墙

网络层防火墙保护整个网络不受非法入侵,其典型技术是包过滤技术,即检查进入网络的分组, 将不符合预先设定标准的分组丢掉,而让符合标准的分组通过。包过滤技术主要是基于路由的技术,它依据静态的或动态的过滤逻辑, 在对数据包进行转发前根据数据包的目的地址、源地址及端口号来过滤数据包。

2.应用级网关防火墙

应用级网关防火墙控制对应用程序的访问, 即允许访问某些应用程序而阻止访问其他应用程序。采用的方法是在应用层网关上安装代理软件, 每个代理模块分别针对不同的应用。例如, 远程登录代理Telnetproxy 负责Telnet 在防火墙上的转发,文件传输代理FTPproxy 等。管理员可以根据需要安装相应的代理,用以控制对应用程序的访问。各个代理模块相互无关,即使某个代理模块的工作发生问题,只需要将它拆卸, 不会影响其他代理模块的正常工作, 从而保证了防火墙的安全性。这种防火墙又叫做代理防火墙, 它由代理服务器和过滤路由器组成, 是目前较流行的一种防火墙。

3.监测型防火墙

监测型防火墙是新一代的产品, 这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测, 在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器, 这些探测器安置在各种应用服务器和其他网络的节点之中, 不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。1

选择标准1.总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本( TCO) 不应该超过受保护网络系统可能遭受最大损失的成本;

2.作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机;

3.管理和培训是评价防火墙的重要方面;

4.在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品;

5.防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。2

一个好的防火墙系统应具有三方面的特性:（1）所有在内部网络和外部网络之间传输的数据必须通过防火墙;（2）只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;（3）防火墙本身不受各种攻击的影响。3

发展局限1.防火墙不能阻止来自内部网络的攻击。传统防火墙设置安全策略的一个基本假设是: 网络的一边即外部的所有人是不可信任的,另一边即网络内部的所有人是可信任的。但实际上,80% 的攻击访问来自内部网络,造成内部网络不够安全。另外传统防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。

2.防火墙不能完全防止用户传送已感染病毒的软件或文件。

3.为提高保护网络的安全性, 防火墙限制或关闭了许多有用但存在安全漏洞的网络服务。

4.防火墙是一种被动式防护手段, 它只能对已知网络威胁起作用,不能防范新的网络安全问题。

5.防火墙不能防范数据驱动型的攻击。

6.内部网用户通过特殊方式如网络电话、聊天软件等可以绕开防火墙与Internet 的直接连接;另外,一个高明的黑客也可能利用新技术穿透防火墙。因此, 仍需要重视加强对主机安全的防护。

7.一旦系统管理员对防火墙配置不当,易遗留大量的安全漏洞。

8.防火墙的设置一般都基于IP 地址,因而内部网络主机和服务器IP 地址的变化将导致设置文件中的规则改变,也就是说这些规则的设定受到网络拓扑结构的制约。1

发展展望随着网络技术的不断发展，网络防火墙技术也在不断发展和进步，安全性能也越来越来高，从目前来看，网络防火墙主要向几个方面发展：

其一，由于对网络上传输的数据的安全、加密需求的要求越来越高，因此用防火墙在互联网建立VPN成为企业内部网的发展趋势；

其二，防火墙的过滤的范围和深度不断加强，主要表现在由以前的网络层的单层过滤、源和目的地址过滤、路由过滤等发展到内容过滤、Web 页面审查、对存在安全隐患的ActiveX 等的过滤；

其三，主要是对传统防火墙功能的不足进行补充， 增加对内部网络的防护措施，加强对网络攻击的检测和警告；

其四，由于没有一种解决方案能够百分之百地进行网络安全防护，因此要不断加强网络安全管理和安全审计的强度，不断地提高网络的安全性能；

其五，防火墙技术将从目前的被动防护状态逐渐转变为一种智能的、能够动态对内部网络进行防护的，集成多种网络信息安全技术的安全产品。4

本词条内容贡献者为:

徐恒山 - 讲师 - 西北农林科技大学