网络安全专家——防火墙！！续

相关功能

主要功能

　　防火墙具有很好的保护作用。 ^[5]入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等。

　　防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

　　例如：TCP/IPPort 135~139是Microsoft Windows的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目录内的文件。且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞（这里是指【共享文件夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览文件夹的需求）。

　　防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

　　网络安全的屏障

　　一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

　　强化网络安全策略

　　通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。

　　监控网络存取和访问

　　如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

　　防止内部信息的外泄

　　通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

其他功能

　　除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。

　　防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。

未来趋势

应用层安全

　　必须具有丰富的应用识别，才能确保安全策略更精细，更可视。

　　动态更新的应用识别技术。随着网络应用的快速增长，基于各种协议的网络应用日趋增加，新一代防火墙必须能够依据协议特点识别各种网络应用和网络动作，并且内置到防火墙内部且应用和动作的识别可以动态更新。

　　用户识别技术。可以根据用户类型、用户部门、用户权限、IP组等不同分类对网络用户进行分类，使每一类用户有不同的网络权限。同时应该与AD和RADIUS、单点登录、智能卡等结合完善接入用户的认证。

内容级防护

　　全面的内容防护至少要包括漏洞扫描、WEB防护、内容过滤三个内容。漏洞扫描要能发现对操作系统、应用系统、网络协议、用户设备漏洞的防护，对利用漏洞进行的攻击进行阻断。WEB防护功能应包括网站攻击防护、应用隐藏、口令保护和权限控制。内容过滤功能应该能显现对关键字、URL集、病毒、木马、恶意控件/脚本的过滤。

应用层处理

　　如果使用传统的硬件架构方式对报文进行处理，不仅对硬件要求高，同时应用层报文处理会大量占用设备资源，很难突破千兆处理。必须对防火墙进行新架构设计，抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系统架构上也要放弃了UTM多引擎，多次解析的架构，需要采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配，能够一次对报文实现从网络层到应用层的解析，达到万兆处理能力。

安全方案

　　通过本章的分析，设计网络安全、可视化应用管控、全面应用安全三个大项部署未来防火墙框架。

选购误区

　　防火墙是好，但是，若选择不当的话，可能会起到相反的作用。在这里，笔者想跟大家交流一下防火墙选购的经验。笔者结合自己与朋友防火墙管理方面的心得，总结出了防火墙选购中的五大误区。权当抛砖引玉。

　　误区一：太过于相信实验数据。

　　在防火墙的产品说明中，往往会有一些性能、功能方面的参考数字。如吞吐量有6G，抗病毒能力有多强等等。对于这些数字我们在防火墙选购的时候不能够太过于迷信。而应该以辩证的眼光去看待这些数字。

　　一方面，这些数字都是实验数据。也就是说，是在一个相对合理的、干扰因素比较少的情况下得出的数据。但是，说实话，任何一个企业的网络环境都不可能达到他们测试产品的那种水准。当企业主机数量比较多，若分段不合理，就会造成比较多的网络广播，那时也会影响到这个最终的有效吞吐量。所以，对于实验室出来的数据，我们往往要打个对折。

　　另一方面，不能够光看某个指标。在选购防火墙的时候，有多大几十项的指标，若其中一个指标，如吞吐量，即使高达10G，但是，若其他指标跟不上去的话，那么一切都是白搭。有时候，厂商在测试产品的时候，往往会把某些功能关掉后再进行测试。在这种情况下，测试出来的数据，实用价值不会很大。因为若把其他功能关掉，就启用一项功能，则CPU等硬件资源就不会发生争夺。如此，某个指标的数字看起来就会好看许多。而在企业中部署防火墙的时候，不可能只用一项功能。把其他功能开起来的话，则这个数字就会打折扣了。

　　总之，在防火墙选购的时候，不要太过于相信实验数据。对于他们从实验室得出来的数字，笔者往往会给他们打个对折。打折后的数据，可能水分会少一点。所以，实验数据只能拿来参考。在有条件的情况下，网络管理员要结合自己的公司网络环境，对防火墙产品进行测试。这测试出来的结果，对于我们防火墙选购才会有参考价值。

　　网络管理员不要走入这个误区。否则的话，网络管理员只有自己消化由此带来的苦果了。

　　误区二：功能花哨却不实用。

　　信息化技术越来越复杂，而且防火墙的竞争也越来越激烈。所以，防火墙厂商为了提供自己产品的市场竞争力，就往往在自己的防火墙产品中集成比较多的功能，以增加市场的卖点。

　　对于这些功能，我们要冷眼看待。

　　一方面，要看看这些额外的功能企业是否需要。如有些防火墙产品中会集成VPN等功能。但是，企业是否需要这项功能呢?网络管理员要事先考虑清楚。因为VPN服务不仅在防火墙上可以实现，而且在路由器上也可以实现。如果企业对于VPN有比较高的性能要求的话，甚至可以部署一个专用的VPN服务器等等。若在防火墙上实现VPN功能，笔者个人认为，有着画蛇添足的味道。在管理上，没有其他实现方式那边简便与人性化。

　　另一方面，一些额外的功能会耗费防火墙的资源。上面笔者说过，在实验室中测试产品的时候，往往只是测试单一的功能。如测试吞吐量的话，会把其他功能关闭掉。若把防火墙的功能都启用起来的话，则某个指标的数字可能需要打个两折了。所以，花哨功能多了，就会大大影响防火墙的性能。这就好像一个巨无霸，网络管理员必须为他提供更好的硬件配置，才能够让其正常的运行 ^[6]。

以下与本文无关：

国内佛山，海外香港?美国高防服务器专注(聊天室，竞价网站、游戏、SSC、BC、 10G-240G实打实防御?无视CC机房死扛流量，大带宽?免备案)托管服务更安全遇到锐讯的，就拿机器吧！

7x24小时技术人员全有科技服务承诺：

1、提供一级电信运营商的资源；

2、可按用户要求进行IP地址指向的最优分配

3、提供7x24小时技术支持服务

4、故障恢复后3小时内提供故障报告

5、如遇计划性中断，提前24小时通知

6、根据客户需求提供流量监测、分析报告

硬件金盾防御、在全国高防服务器中防御一流

企业 QQ:2881559961 电话：13549407886 谢谢大家支持！！