摘 要： 本文主要介紹了防火墻的作用、特性，以及弱點(diǎn)，并提出了解決策略。
　　關(guān)鍵詞： 防火墻 作用 特性 弱點(diǎn) 解決策略
　　
　　一、防火墻的作用
　　網(wǎng)絡(luò)這個(gè)虛擬世界已經(jīng)變得越來(lái)越精彩龐大，網(wǎng)絡(luò)的迅速發(fā)展，使我們的學(xué)習(xí)，工作和生活產(chǎn)生了巨大的改變。我們通過(guò)網(wǎng)絡(luò)獲得需要的信息，共享發(fā)布各類資源。如今，Internet遍布世界的每一寸土地和天空，并且迎接任何一個(gè)感興趣的人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的擴(kuò)展，安全問(wèn)題也越來(lái)越受到人們的關(guān)注。在網(wǎng)絡(luò)日益多樣化、復(fù)雜化的今天，如何保護(hù)不同的網(wǎng)絡(luò)和網(wǎng)絡(luò)應(yīng)用的安全，如何使信息更加安全，成為了各國(guó)政府、公司，以及個(gè)人用戶探討的重點(diǎn)。
　　接觸過(guò)網(wǎng)絡(luò)的人都聽說(shuō)或接觸過(guò)網(wǎng)絡(luò)中全力闖入他人計(jì)算機(jī)系統(tǒng)的人即黑客，黑客們利用各種系統(tǒng)和網(wǎng)絡(luò)的漏洞，非法獲得未授權(quán)的訪問(wèn)信息。如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要像過(guò)去掌握什么高深的技巧或低級(jí)匯編語(yǔ)言，網(wǎng)絡(luò)中有大量現(xiàn)成的攻擊文章和攻擊工具等資源，可以隨意地下載使用和共享。不需要清楚那些攻擊程序是如何在計(jì)算機(jī)中運(yùn)行的，只需要簡(jiǎn)單地下載運(yùn)行就可以給網(wǎng)絡(luò)造成極大的威脅。甚至有些程序不需要經(jīng)人為的參與，就可以智能化掃描和破壞目標(biāo)網(wǎng)絡(luò)。這種情況使得近幾年網(wǎng)上的攻擊密度和攻擊強(qiáng)度顯著增長(zhǎng)，給網(wǎng)絡(luò)安全帶來(lái)越來(lái)越多的隱患。
　　我們可以通過(guò)具體的網(wǎng)絡(luò)策略，設(shè)備和工具來(lái)保護(hù)我們認(rèn)為不太安全的網(wǎng)絡(luò)。其中防火墻是運(yùn)用最為廣泛和迄今效果最好的選擇。它可以防御網(wǎng)絡(luò)中大多數(shù)威脅，并且作出及時(shí)的響應(yīng)，將那些危險(xiǎn)的攻擊和連接行為隔絕在系統(tǒng)之外，從而降低網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。
　　二、防火墻的特性
　　防火墻就像一道安全門一樣，其基本功能是對(duì)網(wǎng)絡(luò)通信進(jìn)行必要的篩選屏蔽以防未授權(quán)的或不安全的訪問(wèn)進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，簡(jiǎn)單地概括就是，對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)（Internal）和不可信任網(wǎng)絡(luò)（Internet）之間。
　　防火墻一般有以下三個(gè)特性：
　　1.所有的通信都必須經(jīng)過(guò)防火墻；
　　2.防火墻只放行通過(guò)經(jīng)授權(quán)的網(wǎng)絡(luò)流量；
　　3.防火墻能經(jīng)受得住對(duì)防火墻本體的攻擊。
　　我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)隔絕緩沖，防火墻可以是一臺(tái)有訪問(wèn)控制策略的路由器（Route+ACL），及一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)特定網(wǎng)絡(luò)，使其免受來(lái)自于非受信網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，一般部署在內(nèi)網(wǎng)到外網(wǎng)的核心區(qū)域上。
　　如果沒(méi)有防火墻，好多人得出經(jīng)驗(yàn)結(jié)論：系統(tǒng)安全性的平均值將是網(wǎng)絡(luò)被攻破的那個(gè)安全基準(zhǔn)。可是經(jīng)驗(yàn)并不一定是對(duì)的，真實(shí)的情況更是糟糕：整個(gè)網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的短板所制約，即著名的木桶理論。沒(méi)有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)每個(gè)服務(wù)都永遠(yuǎn)保持在最佳狀態(tài)。網(wǎng)絡(luò)越復(fù)雜，把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同等高的安全水平就越困難，將會(huì)耗費(fèi)大量的時(shí)間和精力。整個(gè)的安全響應(yīng)速度變得不可忍受，最終可能導(dǎo)致整個(gè)安全框架的崩潰。
　　廣大用戶要求，防火墻必須負(fù)責(zé)保護(hù)以下三個(gè)方面的風(fēng)險(xiǎn)：
　　1.機(jī)密性；
　　2.數(shù)據(jù)完整性；
　　3.可用性。
　　三、防火墻的弱點(diǎn)
　　在防火墻的應(yīng)用中我們發(fā)現(xiàn)了它還有如下弱點(diǎn)。
　　1.防御不了已經(jīng)授權(quán)的訪問(wèn)和網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊；
　　2.防御不了合法用戶惡意的攻擊，以及非程序預(yù)期的威脅；
　　3.修復(fù)不了本身不安全的管理措施和已存有問(wèn)題的安全策略；
　　4.防御不了繞過(guò)防火墻的攻擊和威脅。
　　綜上所述，我們首先必須面對(duì)一個(gè)事實(shí)，絕對(duì)的安全是沒(méi)有的。我們所能做的是提高用戶系統(tǒng)的安全系數(shù)，延長(zhǎng)安全的穩(wěn)定周期，縮短消除威脅的反應(yīng)時(shí)間。
　　四、解決策略
　　在多種強(qiáng)大的防火墻里，我們選擇業(yè)界內(nèi)口碑一流的防火墻CheckPoint的WebIntelligence（Web智能技術(shù)）和StatefulInspection（狀態(tài)檢測(cè)技術(shù)）來(lái)簡(jiǎn)單介紹一下對(duì)于防火墻的Web安全保護(hù)和智能防御。
　　簡(jiǎn)單來(lái)說(shuō)，狀態(tài)檢測(cè)技術(shù)工作在OSI參考模型的DataLink與Network層之間，數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中，在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時(shí)間被檢查。防火墻會(huì)生成一個(gè)會(huì)話的狀態(tài)表，InspectEngine檢測(cè)引擎依照RFC標(biāo)準(zhǔn)維護(hù)和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專利技術(shù)。對(duì)狀態(tài)和上下文信息的收集使得CheckPoint防火墻不僅能跟蹤TCP會(huì)話，而且能智能處理無(wú)連接協(xié)議，如UDP或RPC。這樣就保證了在任何來(lái)自服務(wù)器的數(shù)據(jù)被接受前，必須有內(nèi)部網(wǎng)絡(luò)的某一臺(tái)客戶端發(fā)出了請(qǐng)求，而且如果沒(méi)有受到響應(yīng)，端口也不會(huì)處于開放的狀態(tài)。狀態(tài)檢測(cè)對(duì)流量的控制效率是很高的，同時(shí)對(duì)于防火墻的負(fù)載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小，可以保證整個(gè)防火墻快速，有效地控制數(shù)據(jù)的進(jìn)出和作出控制決策。
　　在Web環(huán)境中，威脅來(lái)自于多個(gè)方面，從端點(diǎn)到傳輸?shù)竭吔?，最后到達(dá)Web服務(wù)器和后臺(tái)數(shù)據(jù)庫(kù)。這一系列的數(shù)據(jù)交換將會(huì)引發(fā)大量的安全問(wèn)題。傳統(tǒng)的防火墻的功能對(duì)于Web的保護(hù)相當(dāng)有限。比如，無(wú)法深入檢測(cè)HTTP的內(nèi)容，不能理解Web應(yīng)用的上下文，性能低下，無(wú)法提前部署與防御，等等。CheckPoint的WebIntelligence，有一種名為MaliciousCodeProtector（可疑代碼防護(hù)器）來(lái)提供對(duì)應(yīng)用層的保護(hù)。比如，Web會(huì)話是否符合RFC的標(biāo)準(zhǔn)不能包含二進(jìn)制數(shù)據(jù)，協(xié)議使用是否為預(yù)期或典型的，應(yīng)用是否引入了有害的數(shù)據(jù)或命令，應(yīng)用是否執(zhí)行了未授權(quán)的操作或引入了有害的可執(zhí)行代碼，等等。如何判斷上述的一些威脅呢？MCP使用了通過(guò)分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼，模擬行來(lái)判斷攻擊，將可執(zhí)行代碼放置到一個(gè)虛擬的仿真服務(wù)器中運(yùn)行，檢測(cè)是否對(duì)虛擬系統(tǒng)造成威脅，最終來(lái)決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢(shì)是可以非常精確地阻止已知和未知攻擊，并且誤報(bào)率相當(dāng)?shù)汀?br/>　　通過(guò)多種技術(shù)的協(xié)同防護(hù)，可以保證在網(wǎng)絡(luò)邊界對(duì)訪問(wèn)進(jìn)行控制。但是，隨著VPN網(wǎng)絡(luò)和遠(yuǎn)程移動(dòng)辦公用戶的接入增多，網(wǎng)絡(luò)邊界的概念在如今已經(jīng)非常模糊了。顯然，網(wǎng)絡(luò)的邊界已經(jīng)拓展到觀點(diǎn)廣大用戶的桌面端。所以從文章一開始我們就說(shuō)到的，網(wǎng)絡(luò)安全是需要具體的策略和綜合的部署來(lái)做保證的。結(jié)論就是：真正的安全=整體集成安全解決方案+及時(shí)更新。