防火墙的作用

随着网络的广泛应用和普及，网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点，做为保护网络边界的安全产品，防火墙技术也已经逐步趋于成熟，并为广大用户所认可。今天我们就来谈谈防火墙的作用。

防火墙的优点

（1）防火墙限制暴露用户点
 
防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。
 
（2）防火墙是一个安全策略的检查站

所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

（3）防火墙能有效地记录Internet上的活动

因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。
 
（4）防火墙能强化安全策略

因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的"交通警察"，它执行站点的安全策略，仅仅容许"认可的"和符合规则的请求通过。

防火墙的不足之处

（1）防火墙不能防范病毒

防火墙不能消除网络上的PC机的病毒。

（2）不能防范恶意的知情者

防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。

（3）不能防范不通过它的连接

防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

（4）不能防备全部的威胁

防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。

防火墙的功能

 
防火墙可以强化网络安全策略：

——通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

防火墙是网络安全的屏障：

——一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

对网络存取和访问进行监控审计：

——如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

——通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

——除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

防火墙的种类以及作用

1. 应用代理型防火墙

——应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。
 
2. 分组过滤型防火墙

——分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。 
 
——包过滤在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP、TCP或UDP包头。

——包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

3. 复合型防火墙

——由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。 
 
——屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

——屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。

防火墙的未来发展趋势

目前，防火墙技术已经引起了人们的注意，随着新技术的发展，混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。

越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如，许多WWW客户服务软件包就具有代理能力。而许多象SOCKS这样的软件在运行编译时也支持类代理服务。

包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统，在CheckPointFirewall－1、KarlBrige/KarlBrouter以及MorningStarSecureConnectrouter中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则，允许其对应的UDP包进入内部网。

被称为"第三代"产品的第一批系统已开始进入市场。例如，Border网络技术公司的Border产品和Truest信息系统公司的Gauntlet3.0产品从外部向内看起来像是代理服务（任何外部服务请求都来自于同一主机），而由内部向外看像一个包过滤系统（内部用户认为他们直接与外部网交互）。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。KarlBridge/KarlBrouter产品拓展了包过滤的范围，它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。
目前，人们正在设计新的IP协议（也被称为IPversion6）。IP协议的变化将对防火墙的建立与运行产生深刻的影响。同时，目前大多数网络上的机器的信息流都有可能被偷看到，但更新式的网络技术如帧中继，异步传输模式（ATM）可将数据包源地址直接发送给目的地址，从而防止信息流在传输中途被泄露。