互聯網天地管理園區網防火墻的方法 推薦本站著名雜志：《互聯網天地》是中國互聯網協會會刊，由工業和信息化部主管，中國互聯網協會和人民郵電出版社聯合主辦，《互聯網天地》雜志社編輯出版。本刊是面向網絡通信行業中層以上管理人員的行業媒體。國內外公開發行，月刊。

　　摘 要 本文從介紹防火墻的基本概念、分類以及特點入手，探討防火墻維護與管理的方法、技術的發展趨勢。

　　關鍵詞 互聯網天地,園區網,防火墻,管理與維護

　　1 引言

　　網絡安全是一個不容忽視的問題，當人們在享受網絡帶來的方便與快捷的同時，也要時時面對網絡開放帶來的數據安全方面的新挑戰和新危險。為了保障網絡安全，當園區網與外部網連接時，可以在中間加入一個或多個中介系統，防止非法入侵者通過網絡進行攻擊，非法訪問，并提供數據可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統就是防火墻(Firewall)技術。它通過監測、限制、修改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部的結構、信息和運行情況、阻止外部網絡中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來實現內部網絡的安全運行。

　　2 防火墻的概述及其分類

　　網絡安全的重要性越來越引起網民們的注意，大大小小的單位紛紛為自己的內部網絡“筑墻”、防病毒與防黑客成為確保單位信息系統安全的基本手段。防火墻是目前最重要的一種網絡防護設備，是處于不同網絡(如可信任的局域內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口，能根據企業的安全策略控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

　　2.1 概述

　　在邏輯上，防火墻其實是一個分析器，是一個分離器，同時也是一個限制器，它有效地監控了內部網間或Internet之間的任何活動，保證了局域網內部的安全。

　　1)什么是防火墻

　　古時候，人們常在寓所之間砌起一道磚墻，一旦火災發生，它能夠防止火勢蔓延到別的寓所。現在，如果一個網絡接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網絡并與之交互。為安全起見，可以在該網絡和Internet之間插入一個中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵，提供扼守本網絡的安全和審計的關卡，它的作用與古時候的防火磚墻有類似之處，因此就把這個屏障叫做“防火墻”。

　　防火墻可以是硬件型的，所有數據都首先通過硬件芯片監測;也可以是軟件型的，軟件在計算機上運行并監控。其實硬件型也就是芯片里固化了UNIX系統軟件，只是它不占用計算機CPU的處理時間，但價格非常高，對于個人用戶來說軟件型更加方便實在。

　　2)防火墻的功能

　　防火墻只是一個保護裝置，它是一個或一組網絡設備裝置。它的目的就是保護內部網絡的訪問安全。它的主要任務是允許特別的連接通過，也可以阻止其它不允許的連接。其主體功能可以歸納為如下幾點：

　　·根據應用程序訪問規則可對應用程序聯網動作進行過濾;

　　·對應用程序訪問規則具有學習功能;

　　·可實時監控，監視網絡活動;

　　·具有日志，以記錄網絡訪問動作的詳細信息;

　　·被攔阻時能通過聲音或閃爍圖標給用戶報警提示。

　　3)防火墻的使用

　　由于防火墻的目的是保護一個網絡不受來自另一個網絡的攻擊。因此，防火墻通常使用在一個被認為是安全和可信的園區網與一個被認為是不安全與不可信的網絡之間，阻止別人通過不安全與不可信的網絡對本網絡的攻擊，破壞網絡安全，限制非法用戶訪問本網絡，最大限度地減少損失。

　　2.2 防火墻的分類

　　市場上的硬件防火墻產品非常之多，分類的標準比較雜，從技術上通常將其分為“包過濾型”、“辦理型”和“監測型”等類型。

　　1)包過濾型

　　包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP(傳輸控制協議/用戶數據報協議)源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。

　　2)辦理型

　　辦理型防火墻也可以被稱為辦理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。辦理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，辦理服務器相當于一臺真正的服務器;而從服務器來看，辦理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給辦理服務器，辦理服務器再根據這一請求向服務器索取數據，然后由辦理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。

　　3)監測型

　　監測型防火墻是新一代的產品，這一技術實際上已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品。

　　3 防火墻的作用、特點及優缺點

　　防火墻通常使用在一個可信任的內部網絡和不可信任的外部網絡之間，阻斷來自外部通過網絡對局域網的威脅和入侵，確保局域網的安全。與其它網絡產品相比，有著其自身的專用特色，但其本身也有著某些不可避免的局限。下面對其在網絡系統中的作用、應用特點和其優缺點進行簡單的闡述。

　　3.1 防火墻的作用

　　防火墻可以監控進出網絡的通信量，僅讓安全、核準了的信息進入，同時又抵制對園區網構成威脅的數據。隨著安全性問題上的失誤和缺陷越來越普遍，對網絡的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡，迫使單位強化自己的安全策略。一般的防火墻都可以達到如下目的：一是可以限制他人進入內部網絡，過濾掉不安全服務和非法用戶;二是防止入侵者接近防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。

　　3.2 防火墻的特點

　　我們在使用防火墻的同時，對性能、技術指標和用戶需求進行分析。包過濾防火墻技術的特點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。包過濾技術是一種基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒;辦理型防火墻的特點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。當然辦理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性;雖然監測型防火墻安全性上已超越了包過濾型和辦理服務器型防火墻，但由于監測型防火墻技術的實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代辦理型產品為主，但在某些方面也已經開始使用監測型防火墻。

　　防火墻一般具有如下顯著特點：

　　·廣泛的服務支持 通過動態的、應用層的過濾能力和認證相結合，可以實現WWW瀏覽器、HTTP服務器、FTP等;

　　·對私有數據的加密支持 保證通過Internet進行虛擬私人網絡和商業活動不受損壞;

　　·客戶端只允許用戶訪問指定的網絡或選擇服務 企業本地網、園區網與分支機構、商業伙伴和移動用戶等安全通信的信息;

　　·反欺騙 欺騙是從外部獲取網絡訪問權的常用手段，它使數據包類似于來自網絡內部。防火墻能監視這樣的數據包并能丟棄;

　　·C/S模式和跨平臺支持 能使運行在一個平臺的管理模塊控制運行在另一個平臺的監視模塊。

　　3.3 防火墻的優勢和存在的不足

　　防火墻在確保網絡的安全運行上發揮著重要的作用。但任何事物都不是完美無缺的，對待任何事物必須一分為二，防火墻也不例外。在充分利用防火墻優點為我們服務的同時，也不得不面對其自身弱點給我們帶來的不便。

　　1) 防火墻的優勢

　　(1)防火墻能夠強化安全策略。因為網絡上每天都有上百萬人在收集信息、交換信息，不可避免地會出現個別品德不良或違反規則的人。防火墻就是為了防止不良現象發生的“交通警察”，它執行站點的安全策略，僅僅允許“認可的”和符合規則的請求通過。

　　(2)防火墻能有效地記錄網絡上的活動。因為所有進出信息都必須通過防火墻，所以防火墻非常適合用于收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網絡和外部網絡之間進行記錄。

　　(3)防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中的兩個網段，這樣就能夠防止影響一個網段的信息通過整個網絡進行傳播。

　　(4)防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

　　2) 防火墻存在的不足

　　(1)不能防范惡意的知情者。防火墻可以禁止系統用戶經過網絡連接發送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶可以偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅，只能要求加強內部管理。

　　(2)不能防范不通過它的連接。防火墻能夠有效地防止通過它傳輸的信息，然而它卻不能防止不通過它而傳輸的信息。例如，如果站點允許對防火墻后面的內部系統進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。

　　(3)不能防備全部的威脅。防火墻被用來防備已知的威脅，如果是一個很好的防火墻設計方案，就可以防備新的威脅，但沒有一臺防火墻能自動防御所有新的威脅。

　　4 防火墻的管理與維護

　　如果已經設計好了一個防火墻，使它滿足了你的機構的需要，接下來的工作就是防火墻的管理與維護了。在防火墻設計建造完成以后，使它正常運轉還要做大量的工作。值得注意的是，這里許多維護工作是自動進行的。管理與維護工作主要有4個方面，它們分別是：建立防火墻的安全策略、日常管理、監控系統、保持最新狀態。

　　4.1 建立防火墻的安全策略

　　要不要制定安全上的策略規定是一個有爭議的問題。有些人認為制定一套安全策略是相當必須的，因為它可以說是一個組織的安全策略輪廓，尤其在網絡上以及網絡系統管理員對于安全上的顧慮并沒有明確的策略時。

　　安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內其他資源使用的種種規定。訪問控制包含了哪些資源可以被訪問，如讀取、刪除、下載等行為的規范，以及哪些人擁有這些權力等信息。

　　1) 網絡服務訪問策略

　　網絡服務訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網絡中允許的或禁止的網絡服務，還包括對撥號訪問以及PPP(點對點協議)連接的限制。這是因為對一種網絡服務的限制可能會促使用戶使用其他的方法，所以其他的途徑也應受到保護。比如，如果一個防火墻阻止用戶使用Telnet服務訪問因特網，一些人可能會使用撥號連接來獲得這些服務，這樣就可能會使網絡受到攻擊。網絡服務訪問策略不但應該是一個站點安全策略的延伸，而且對于機構內部資源的保護也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到移動介質的管理。

　　2) 防火墻的設計策略

　　防火墻的設計策略是具體地針對防火墻，負責制定相應的規章制度來實施網絡服務訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火墻一般執行一下兩種基本策略中的一種：

　　① 除非明確不允許，否則允許某種服務;

　　② 除非明確允許，否則將禁止某項服務。

　　執行第一種策略的防火墻在默認情況下允許所有的服務，除非管理員對某種服務明確表示禁止。執行第二種策略的防火墻在默認情況下禁止所有的服務，除非管理員對某種服務明確表示允許。防火墻可以實施一種寬松的策略(第一種)，也可以實施一種限制性策略(第二種)，這就是制定防火墻策略的入手點。

　　3) 安全策略設計時需要考慮的問題

　　為了確定防火墻安全設計策略，進而構建實現預期安全策略的防火墻，應從最安全的防火墻設計策略開始，即除非明確允許，否則禁止某種服務。策略應該解決以下問題：

　　·需要什么服務，如Telnet、WWW或NFS等;

　　·在那里使用這些服務，如本地、穿越因特網、從家里或遠方的辦公機構等;

　　·是否應當支持撥號入網和加密等服務;

　　·提供這些服務的風險是什么;

　　·若提供這種保護，可能會導致網絡使用上的不方便等負面影響，這些影響會有多大;

　　·與可用性相比，站點的安全性放在什么位置。

　　4.2 日常管理

　　日常管理是經常性的瑣碎工作，以使防火墻保持清潔和安全。為此，需要經常去完成的主要工作：數據備份、賬號管理、磁盤空間管理等。

　　1) 數據備份

　　一定要備份防火墻的數據。使用一種定期的、自動的備份系統為一般用途的機器做備份。當這個系統正常做完備份之后，最好還能發送出一封確定信，而當它發現錯誤的時候，也最好能產生一個明顯不同的信息。

　　為什么只是在錯誤發生的時候送出一封信就好了呢?如果這個系統只在有錯誤的時候產生一封信，或許就有可能不會注意到這個系統根本就沒有運作。那為什么需要明顯不同的信息呢?如果備份系統正常和執行失敗時產生的信息很類似。那么習慣于忽略成功信息的人，也有可能會忽略失敗信息。理想的情況是有一個程序檢查備份有沒有執行，并在備份沒有執行的時候產生一個信息。

　　2) 賬號管理

　　賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等，是最常被忽略的日常管理工作。在防火墻上，正確的增加新賬號、迅速地刪除舊賬號以及適時地變更密碼，絕對是一項非常重要的工作。

　　建立一個增加賬號的程序，盡量使用一個程序增加賬號。即使防火墻系統上沒有多少用戶，但每一個用戶都可能是一個危險。一般人都有一個毛病，就是漏掉一些步驟，或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼，入侵者就很容易進來了。

　　賬號建立程序中一定要標明賬號日期，以及每隔一階段就自動檢查賬號。雖然不需要自動關閉賬號，但是需要自動通知那些賬號超過期限的人。可能的話，設置一個自動系統監控這些賬號。這可以在UNIX系統上產生賬號文件，然后傳送到其他的機器上，或者是在各臺機器上產生賬號，自動把這些賬號文件拷貝到UNIX上，再檢查它們。

　　如果系統支持密碼期限的功能，應該把該功能打開。選擇稍微長一點的期限，譬如說三到六個月。如果密碼有效期太短，例如一個月，用戶可能會想盡辦法躲避期限，也就無法在安全防護上得到真正的收益。同理如果密碼期限功能不能保證用戶在賬號被停用前看到密碼到期通知，就不要開啟這個功能。否則，用戶會很不方便，而且也會冒著鎖住急需使用機器的系統管理者的風險。

　　3) 磁盤空間管理

　　數據總是會塞滿所有可用的空間，即使在幾乎沒有什么用戶的機器上也一樣。人們總是向文件系統的各個角落丟東西，把各種數據轉存到文件系統的臨時地址中。這樣引起的問題可能常常會超出人們的想象。暫且不說可能需要使用那些磁盤空間，只是這種碎片就容易造成混亂，使事件的處理更復雜。于是有人可能會問：那是上次安裝新版程序留下來的程序嗎?是入侵者放進來的程序嗎?那真的是一個普通的數據文件嗎?是一些對入侵者有特殊意義的東西?等等，不幸的是能自動找出這種“垃圾”的方法沒有，尤其是可以在磁盤上到處寫東西的系統管理者。因此，最好有一個人定期檢查磁盤，如果讓每一個新任的系統管理者都去遍歷磁盤會特別有效。他們將會發現管理員忽視的東西。

　　在大多數防火墻中，主要的磁盤空間問題會被日志記錄下來。這些記錄應該自動進行，自動重新開始，這些數據最好把它壓縮起來。Trimlon程序能夠使這個處理程序自動化。當系統管理者要截斷或搬移記錄時，一定要停止程序或讓它們暫停記錄，如果在截斷或搬移記錄時，還有程序在嘗試寫入記錄文件，顯然就會有問題。事實上，即使只是有程序開啟了文件準備稍后寫入，也可能會惹上麻煩。

　　4.3 監視系統

　　對防火墻的維護、監視系統是維護防火墻的重點，它可以告訴系統管理者以下的問題：

　　·防火墻已岌岌可危了嗎?

　　·防火墻能提供用戶需求的服務嗎?

　　·防火墻還在正常運作嗎?

　　·嘗試攻擊防火墻的是哪些類型的攻擊?

　　要回答這幾個問題，首先應該知道什么是防火墻的正常工作狀態。

　　1) 專用設備的監視

　　雖然大部分的監視工作都是利用防火墻上現成的工具或記錄數據，但是也可能會覺得如果有一些專用的監視設備會很方便。例如，可能需要在周圍網絡上放一個監視站，以便確定通過的都是預料中的數據包。可以使用有網絡窺視軟件包的一般計算機，也可以使用特殊用途的網絡檢測器。

　　如何確定這一臺監視機器不會被入侵者利用呢?事實上，最好根本不要讓入侵者知道它的存在。在某些網絡硬件設備上，只要利用一些技術和一對斷線器(wire cutter)取消網絡接口的傳輸功能，就可以使這臺機器無法被檢測到，也很難被入侵者利用。如果有操作系統的原始程序，也可以從那里取消傳輸功能，隨時停止傳輸。但是，在這種情況下很難確認操作是否已經做成功了。

　　2) 應該監視的內容

　　理想的情況是，應該知道通過防火墻的一切事情，包括每一條連接，以及每一個丟棄或接受的數據包。然而實際的情況是很難做到的，而折衷的辦法是，在不至于影響主機速度也不會太快填滿磁盤的情況下，盡量多做記錄，然后再為所產生的記錄整理出摘要。

　　在特殊情況下，要記錄好以下內容：一是所有拋棄的包和被拒絕的連接;二是每一個成功的連接通過堡壘主機的時間、協議和用戶名;三是所有從路由器中發現的錯誤、堡壘主機和一些辦理程序。

　　3) 監視工作中的一些經驗

　　應該把可疑的事件劃分為幾類：一是知道事件發生的原因，而且這不是一個安全方面的問題;二是不知道是什么原因，也許永遠不知道是什么原因引起的，但是無論它是什么，它從未再出現過;三是有人試圖侵入，但問題并不嚴重，只是試探一下;四是有人事實上已經侵入。

　　這些類別之間的界限比較含糊。要提供以上任何問題的詳細征兆是不可能的，但是下面這些歸納出的經驗可能會對網絡系統管理員有所幫助。如果發現以下情況，網絡系統管理員就有理由懷疑有人在探試站點：一是試圖訪問在不安全的端口上提供的服務(如企圖與端口映射或者調試服務器連接);二是試圖利用普通賬戶登錄(如guest);三是請求FTP文件傳輸或傳輸NFS(Network File System，網絡文件系統)映射;四是給站點的SMTP(Simple Mail Transfer Protocol，簡單郵件傳輸協議)服務器發送debug命令。

　　如果網絡系統管理員見到以下任何情況，應該更加關注。因為侵襲可能正在進行之中：一是多次企圖登錄但多次失敗的合法賬戶，特別是因特網上的通用賬戶;二是目的不明的數據包命令;三是向某個范圍內每個端口廣播的數據包;四是不明站點的成功登錄。

　　如果網絡系統管理員了發現以下情況，應該懷疑已有人成功地侵入站點：一是日志文件被刪除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解釋的密碼信息或數據包痕跡;四是特權用戶的意外登錄(例如root用戶)，或者突然成為特權用戶的意外用戶;五是來自本機的明顯的試探或者侵襲，名字與系統程序相近的應用程序;六是登錄提示信息發生了改變。

　　4) 對試探作出的處理

　　通常情況下，不可避免地發覺外界對防火墻進行明顯試探——有人向沒有向Internet提供的服務發送數據包，企圖用不存在的賬戶進行登錄等。試探通常進行一兩次，如果他們沒有得到令人感興趣的反應，他們通常就會走開。而如果想弄明白試探來自何方，這可能就要花大量時間追尋類似的事件。然而，在大多數情況下，這樣做不會有很大成效，這種追尋試探的新奇感很快就會消失。

　　一些人滿足于建立防火墻機器去誘惑人們進行一般的試探。例如，在匿名的FTP區域設置裝有用戶賬號數據的文件，即使試探者破譯了密碼，看到的也只是一個虛假信息。這對于消磨空閑時間是沒有害處的，這還能得到報復的快感，但是事實上它不會改善防火墻的安全性。它只能使入侵者惱怒，從而堅定了入侵者闖入站點的決心。

　　4.4 保持最新狀態

　　保持防火墻的最新狀態也是維護和管理防火墻的一個重點。在這個侵襲與反侵襲的領域中，每天都產生新的事物、發現新的毛病，以新的方式進行侵襲，同時現有的工具也會不斷地被更新。因此，要使防火墻能同該領域的發展保持同步。

　　當防火墻需要修補、升級一些東西，或增加新功能時，就必須投入較多的時間。當然所花的時間長短視修補、升級、或增加新功能的復雜程度而定。如果開始時對站點需求估計的越準確，防火墻的設計和建造做的越好，防火墻適應這些改變所花的時間就越少。

　　5 結束語

　　隨著Internet在我國的迅速發展，網絡安全的問題越來越得到重視，防火墻技術也引起了各方面的廣泛關注。我們國家除了自行展開了對防火墻的一些研究，還對國外的信息安全和防火墻的發展進行了密切的關注，以便能更快掌握這方面的信息，更早的應用到我們的網絡上面。當然，金無足赤，人無完人，我們從防火墻維護和管理的研究上得知，防火墻能保護網絡的安全，但并不是絕對安全的，而是相對的。

　　參考文獻

　　[1] 虞益誠.網絡技術及應用.東南大學出版社，2005.2

　　[2] 王 睿，林海波.網絡安全與防火墻技術.清華大學出版社，2005.7

　　[3] 黃志暉.計算機網絡設備全攻略.西安電子科技大學出版社

　　[4] 石良武.計算機網絡與應用.清華大學出版社，2005.2

　　[5] 張 維.實戰網絡工程案例.北京郵電大學出版社，2005.1