網絡技術是從1990年代中期發展起來的新技術，它把互聯網上分散的資源融為有機整體，實現資源的全面共享和有機協作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享，網絡則被認為是互聯網發展的第三階段。

如何定制企業防火墻安全機制

    前言:
　　隨著互聯網發展日漸蓬勃，由于黑客的非法入侵時及病毒摧毀計算機所造成的威脅有越來越嚴重的趨勢，企業對于功能更強大的防火墻的需求也越來越迫切。許多的企業也因為之前沒有對網絡架構作好網絡防護措施，付出了慘痛而昂貴的代價。在使用防火墻產品以防止黑客的非法入侵時，除了產品的安全性與執行效能外，另外善解人意的GUI接口、完整的服務功能、廠商技術支持能力等，缺一不可。在享受豐盛的Internet/Intranet各種建置及所帶來的效率與成本回收的成果之時，如果企業沒有一個良好的安全防范機制，企業內部網絡資源將不堪一擊，這不是在危言聳聽。

　　1、防火墻來是怎樣防止非法者的入侵
　　防火墻是Internet上公認網絡存取控制最佳的安全解決方案，網絡公司正式將防火墻列入信息安全機制；防火墻是軟硬件的結合體，架設在網絡之間以確保安全的連接。因此它可以當做Internet、Intranet或Extranet的網關器，以定義一個規則組合或安全政策，來控制網絡間的通訊。并可有效率的記錄各種Internet應用服務的存取信息、隱藏企業內部資源、減少企業網絡曝露的危機等。所以正確安全的防火墻架構必須讓所有外部到內部或內部到外部的封包都必須通過防火墻，且唯有符合安全政策定義的封包，才能通過防火墻；既然防火墻是Internet/Intranet相關技術服務進出的唯一信道，要正確的使用防火墻就必須先了解防火墻的技術為何？安全性是否符合各種應用服務的需求？認證方式有哪些及網絡傳輸資料的加解/密功能（VPN）方式？最重要的是廠商能否提供完整且長期的服務與技術支持能力？

　　2、目前防火墻的技術
　　防火墻的安全性與研發的技術息息相關，現在市場上的防火墻主要的技術可分為封包過濾（Packet Filter）、代理應用閘信道（Application Gateway/Proxy）及多階層狀態檢查（Multilayer Stateful Inspection）等，說明如下：
　�。�1）封包過濾
　　就如同Router的技術,在網絡層具備良好的效能和延伸能力，但只能提供Ip地址的過濾功能；封包過濾可知道每一個Ip的來源地址，但不知道使用者為何人?同樣的,它會檢測網絡層的封包，而不會去管是什么應用程序，所以封包過濾是防火墻中功能最不安全的，因為他們不會監測到應用程序，無法知道封包傳送內容，很容易被非經授權的使用者侵入。
　�。�2）代理應用閘信道
　　此為最傳統的防火墻技術，任何進出Internet的應用服務都必須經過防火墻的代理后，再轉送到目的地；藉由代理的過程中，來檢測各階層的應用服務，但是這樣做卻破壞主從架構模式。此外，此種技術只支持有限制的應用程序，每一個服務或應用程序都須要專屬的Proxy，因此有新的Internet服務時，使用者必須等待廠商開發新的代理應用程序才能使用；由于每一種代理（Proxy）需要不同的應用程序或daemon來執行，會因為過多的資料復制和內容交換會造成執行效能不佳。
　�。�3）多階層狀態檢查
　　這是一種新的防火墻專利技術，結合了封包過濾網絡層的執行效能及代理應用閘信道的安全性。任何的封包會都在網絡層中被攔劫，然后防火墻會從全部的應用層級中萃取出跟狀態有關的數據，而且放在動態狀態表來判續后續的封包；提供了應用層的資料內容安全檢測，而且不會破壞主從架構模式，可以在資料保全和流量間作智能的控制，具有最大的擴展及延伸能力。

　　3、定制安全機制
　　（1）存取控制 - 定義安全政策
　　存取控制可定義使用者或應用服務的對象進/出企業網絡，以保護企業內部資源；例如：一個企業組織只可決定于上班時間限制存取Internet特定的網站，只允許于午餐時間存取，或當系統在執行備援時，禁止存取重要的服務者等。
　　執行存取控制參數必須是簡單且直接的，以一個明確的圖形使用者接口（GUI）操作，最好全部的組件都是使用對象導向的方式來定義。而每一個規則能包含任何網絡對象、服務、動作和追蹤機置，并可判斷規則的沖突性。防火墻除必須提供安全的存取控制外，還必須抵擋惡意的攻擊。例如IP Spoofing、Denial of Service、Ping of Death等等。
　�。�2）認證機制
　　防火墻認證的應用為當使用者與目的主機聯機時，在通訊被允許進行之前，認證的機制服務可安全的確認他們身份的有效性，且不需要修改服務器或客戶端應用軟件。認證服務是可完全的被整合到企業整體的安全政策內，并能經由防火墻圖形使用者接口集中管理。所有的認證會期也都能經由防火墻日志瀏覽器來監視和追蹤。
　　一般防火墻所提供的認證機制與方法多寡不一，以Check Point FireWall-1為例，提供使用者的認證：針對FTP、TELNET、HTTP和RLOGIN提供透通的使用者認證；客戶端認證：可針對特定IP地址的使用者授予存取的權限；透通的會期認證：提供以會期為基礎的任何一種應用服務的認證等.
認證的機制包括固定的密碼，如OS及防火墻的密碼；以及動態的One Time Password的密碼，如S/key、SectrID、RADIUS等。如要使用固定的密碼認證，建議使用防火墻的密碼較安全，但是固定密碼還是容易被監聽，最好是使用One Time Password的方式，以防止被竊取。
　　（3）內容的安全性
　　防火墻所提供的內容安全能力，可達到最高層次的應用服務協議檢測，以保護使用者企業資源。以Check Point FireWall-1而言，包含計算機病毒和惡意Java與ActiveX Applets的內容安全性檢查，經由圖形的接口可集中管理。另外提供開放平臺的安全企業連接（OPSEC）架構的API，可整合第三者廠商內容過濾的應用。主要的應用如下：
　　A、 URL過濾
　　可維護公司寶貴的網絡頻寬和增加網絡另一層次的控制，允許網絡管理者存取Internet特定網頁，并可確保員工只能下傳和存取的網頁信息。
　　B、 電子郵件的支持
　　通過SMTP的連接提供高度的控制以保護網絡。可在一個標準的應用程序地址之后，隱藏一個外出的郵件地址，或可隱藏內部的網絡結構與真正的內部的使用者，或丟棄超過所給與郵件信息的容量等。

　　C、 FTP的支持
　　FTP指令（如PUT/GET）的內容安全性，可限制文件名稱和檔案反病毒檢查等。
　�。�4）網絡地址轉譯
　　網絡地址轉譯對Internet而言，可隱藏內部的網絡地址，克服了IP地址數量的限制，可維護一個企業的內部地址的完整性，對映內部非注過冊IP地址以一個合法有效的IP對外，可完整存取Internet。防火墻提供兩種操作模式：
　　A、 動態的模式
　　當維持已注冊IP地址給予使用者存取Internet的時候和隱藏內部實際IP地址的網絡資源，可使用動態的模式達到地址轉譯。動態的模式可將內部所有IP地址的連接，經過防火墻與單一個合法的IP地址對外。
　　B、靜態的模式
　　可應用在一個網絡IP地址很早就被分派使用和你需要提供「真正的」地址，以
便人們在Internet能存取他們，靜態模式的地址轉譯可解決上述問題。靜態的模式提供一個對一個的對映在對外公開IP地址和內部真正的IP地址之間。
　　（5）加密（虛擬私人網絡）
　　私人的網絡利用一些公用網絡的設施稱為虛擬私人網絡或者VPN。一個VPN與一個專屬的私人的網絡相比較，優點顯然是是減少昂貴的費用與更多的彈性。在公開的網絡環境中，公司的信息可能在網際網絡傳輸過程中遭受竊聽與篡改，可利用加密功能在Internet上建立安全的通訊頻道，可確保在公司內部的資源具備完整的隱私性、真實性與資料完整性。
　　由于每一家的防火墻加密機制大都不同，在標準IPSec的加密未完全產品化之前， 彼此之間的整合性還是有問題。而加密軟件的出口至今還是受美國的限制，一般商業的使用維持40Bits，金融項目申請可達56Bits。VPN可應用在遠程使用者與防火墻之間及防火墻與防火墻之間的加解密。

　�。�6）產品的后續支持及廠商的技術能力
　　Internet有新的安全產品出現，就有人會研究新的破解方法，所以一個好的防火墻提供者就必須要有一個龐大的組織作為使用者安全的后盾，也應該要有眾多的使用者所建立的口碑為防火墻作見證。現今國內防火墻產品大部分是代理國外的軟件，搭配硬件出售，很多防火墻的代理商都是銷售單一防火墻產品，無法提供完整的安全解決方案，因企業內部有Intranet、Database等軟件，如廠商無法提供整體的技術與安全政策，將會帶給使用者更多的夢魘。所以在選購防火墻產品，你最好參考一下業界的評語、實際的安裝經驗或實地測試。
　�。�7）內部人員考核與訓練
　　這部分的安全政策屬于人員安全的管理，主要目的在降低人員使用信息或操作信息設備時所可能發生的錯誤，如濫用、竊取、欺騙、遺失等問題。要避免前述的情況發生，首先應該從人員背景的調查與考核作起，尤其針對一些較敏感的信息之使用，應慎選適當人員來負責。其次，企業制定的安全政策為的就是希望讓企業內部所有人員熟悉與了解。因此，最佳的方法，便是賦予人員應有的信息安全責任，并通過日常的信息安全教育訓練來達到此一目的。除了以各種方式公布安全政策外，企業可以部門為單位，實施信息安全養成教育，由負責信息安全事宜的同仁來擔任，解釋企業信息安全政策的內容，告訴使用平時應該注意哪些細節，了解怎么做、什么事可以做、什么事不可以做。舉例來說，有關計算機帳號的管理政策中明定，員工計算機中毒時，應該實時通知信息部門人員協助處理，并作詳細的回報與記錄，以避免計算機病毒擴散，造成企業內部更嚴重的損失。像這樣的政策，如果只是公布，而沒有對員工作適當的教育訓練，一旦真的發生中毒的事件，必定是手忙腳亂，無法順利排解問題，相反的，只會造成更多的問題。

　　小結：
　　需要特別說明的是，一個良好的防火墻安全機制如果不能有效地實施，那么一切還是形同虛設。一個專業知識有限的黑客，有時甚至是通過一次電話撥號連接，就能輕易地侵入和攻擊一個企業的電腦網絡，使企業直接損失上百萬。如果嚴格執行了，那么，黑客滲透進來的成本就更高，他們就需要更多的資源，而這些都是大多數潛在的黑客做不到的。所以人還是最關鍵的因素。

網絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發展，這正是網絡迅速走向進步的催化劑。