防火墻技術(shù)現(xiàn)狀

　　自從1986年美國(guó)Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)后，提出了防火墻的概念，防火墻技術(shù)得到了飛速的發(fā)展。第二代防火墻，也稱(chēng)代理服務(wù)器，它用來(lái)提供網(wǎng)絡(luò)服務(wù)級(jí)的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用，這種方法可以有效地防止對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱(chēng)為狀態(tài)監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測(cè)和監(jiān)控。隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展，新一代的功能更強(qiáng)大、安全性更強(qiáng)的防火墻已經(jīng)問(wèn)世，這個(gè)階段的防火墻已超出了原來(lái)傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)，我們稱(chēng)之為第四代防火墻，它可以抵御目前常見(jiàn)的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲(chóng)、口令探尋攻擊、郵件攻擊等等。

　　防火墻的定義和描述

　　“防火墻”這個(gè)術(shù)語(yǔ)參考來(lái)自應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來(lái)起分隔作用的墻，用來(lái)隔離不同的公司或房間，盡可能的起防火作用。一旦某個(gè)單元起火這種方法保護(hù)了其它的居住者。然而，多數(shù)防火墻里都有一個(gè)重要的門(mén)，允許人們進(jìn)入或離開(kāi)大樓。因此，雖然防火墻保護(hù)了人們的安全，但這個(gè)門(mén)在提供增強(qiáng)安全性的同時(shí)允許必要的訪(fǎng)問(wèn)。

　　在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動(dòng)的屏障，并可通過(guò)一個(gè)”門(mén)”來(lái)允許人們?cè)谀愕陌踩�網(wǎng)絡(luò)和開(kāi)放的不安全的網(wǎng)絡(luò)之間通信。原來(lái)，一個(gè)防火墻是由一個(gè)單獨(dú)的機(jī)器組成的，放置在你的私有網(wǎng)絡(luò)和公網(wǎng)之間。近些年來(lái)，防火墻機(jī)制已發(fā)展到不僅僅是”firlwall box”，更多提及到的是堡壘主機(jī)。它現(xiàn)在涉及到整個(gè)從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的區(qū)域，由一系列復(fù)雜的機(jī)器和程序組成。簡(jiǎn)單來(lái)說(shuō)，今天防火墻的主要概念就是多個(gè)組件的應(yīng)用。到現(xiàn)在你要準(zhǔn)備實(shí)施你的防火墻，需要知道你的公司需要什么樣的服務(wù)并且什么樣的服務(wù)對(duì)于內(nèi)部用戶(hù)和外部用戶(hù)都是有效的。

　　防火墻的任務(wù)

　　防火墻在實(shí)施安全的過(guò)程中是至關(guān)重要的。一個(gè)防火墻策略要符合四個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過(guò)一個(gè)單獨(dú)的設(shè)備或軟件來(lái)實(shí)現(xiàn)的。大多數(shù)情況下防火墻的組件放在一起使用以滿(mǎn)足公司安全目的的需求。防火墻要能確保滿(mǎn)足以下四個(gè)目標(biāo)

　　實(shí)現(xiàn)一個(gè)公司的安全策略

　　防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略。在前面的課程提到過(guò)在適當(dāng)?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。舉個(gè)例子，也許你的安全策略只需對(duì)MAIL服務(wù)器的SMTP流量作些限制，那么你要直接在防火墻強(qiáng)制這些策略。

　　創(chuàng)建一個(gè)阻塞點(diǎn)

　　防火墻在一個(gè)公司私有網(wǎng)絡(luò)和分網(wǎng)問(wèn)建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過(guò)濾和檢查所有進(jìn)來(lái)和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱(chēng)這些檢查點(diǎn)為阻塞點(diǎn)。通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的方來(lái)實(shí)現(xiàn)安全目的。如果沒(méi)有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來(lái)進(jìn)行監(jiān)測(cè)。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。

　　記錄Internet活動(dòng)

　　防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。通過(guò)在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪(fǎng)問(wèn)。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息。

　　限制網(wǎng)絡(luò)暴露

　　防火墻在你的網(wǎng)絡(luò)周?chē)鷦?chuàng)建了一個(gè)保護(hù)的邊界。并且對(duì)于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測(cè)你的網(wǎng)絡(luò)時(shí)，他們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會(huì)知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來(lái)限制網(wǎng)絡(luò)信息的暴露。通過(guò)對(duì)所能進(jìn)來(lái)的流量時(shí)行源檢查，以限制從外部發(fā)動(dòng)的攻擊。