張文麗

我們可以通過很多網(wǎng)絡(luò)工具、設(shè)備和策略來保護(hù)網(wǎng)絡(luò)，其中防火墻是運(yùn)用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并且做出及時的響應(yīng)，將那些危險的連接和攻擊行為隔絕在外，從而降低網(wǎng)絡(luò)的整體風(fēng)險。

一、防火墻的基本功能及特點(diǎn)

防火墻的基本功能是對網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問進(jìn)出計算機(jī)網(wǎng)絡(luò)，簡單的概括就是，對網(wǎng)絡(luò)進(jìn)行訪問控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)（Intemal）和不可信任網(wǎng)絡(luò)（Intemet）之間。

1、防火墻一般有三個特性：A.所有的通信都經(jīng)過防火墻；B.防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量；C.防火墻能經(jīng)受的住對其本身的攻擊；

2、防火墻的主要優(yōu)點(diǎn)如下：A.防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個網(wǎng)絡(luò)的安全，并且可以將通信約束在一個可管理和可靠性高的范圍之內(nèi)； B.防火墻可以用于限制對某些特殊服務(wù)的訪問；C.防火墻功能單一，不需要在安全性，可用性和功能上做取舍；D.防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應(yīng)的周期。

3、同樣的，防火墻也有許多弱點(diǎn)：A.不能防御已經(jīng)授權(quán)的訪問，以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)聞的攻擊；B.不能防御合法用戶惡意的攻擊.以及社交攻擊等非預(yù)期的威脅；C.不能修復(fù)脆弱的管理措施和存在問題的安全策略；D.不能防御不經(jīng)過防火墻的攻擊和威脅。

二、網(wǎng)絡(luò)安全與防火墻技術(shù)

網(wǎng)絡(luò)用戶（組織）對網(wǎng)絡(luò)依賴主要來自予運(yùn)行在網(wǎng)絡(luò)上的各種應(yīng)用，同樣的，網(wǎng)絡(luò)的范圍也覆蓋到整個組織的運(yùn)營區(qū)域。我們將分析一個典型的企業(yè)網(wǎng)絡(luò)，從結(jié)構(gòu)，應(yīng)用，管理，以及安全這幾個層次來探討一下對企業(yè)來說，如何去實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全。

首先是網(wǎng)絡(luò)內(nèi)部，即面向企業(yè)內(nèi)部員工的工作站。我們不能保證用戶每一次操作都是正確與安全的，絕大多數(shù)情況下，他們僅知道如何去使用面前的計算機(jī)來完成屬于自己的本職工作。但可能由于訪問非法網(wǎng)站，下載或運(yùn)行不可信程序，使用移動設(shè)備復(fù)制帶有病毒的文件等看似平常的操作而導(dǎo)致比如病毒，木馬，間諜程序，惡意腳本通過內(nèi)部網(wǎng)絡(luò)中某一臺工作站而進(jìn)入到網(wǎng)絡(luò)并且迅速的蔓延。由于如今流行的操作系統(tǒng)存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，網(wǎng)絡(luò)的迅速發(fā)展，也給這類威脅提供高速繁殖的媒介。特別是企業(yè)內(nèi)部擁有高速的網(wǎng)絡(luò)環(huán)境，給各種威脅的擴(kuò)散與轉(zhuǎn)移提供了可能。現(xiàn)在人們都通過安裝防病毒軟件來防御病毒的威脅，但是面對蠕蟲和木馬程序，后門程序等，防病毒軟件并不能起到很顯著的效果，不能從根本上消除安全威脅。所以我們說，保護(hù)好工作站的安全，是企業(yè)網(wǎng)絡(luò)安全的一個重要部分。

通過上面簡單的分析和舉例，工作站的安全工作主要包含如下幾個方面：桌面防病毒，桌面防火墻，系統(tǒng)補(bǔ)丁管理，系統(tǒng)授權(quán)與審核，軟件使用許可監(jiān)控和網(wǎng)絡(luò)訪問控制。從保護(hù)用戶系統(tǒng)的穩(wěn)定性與可用性以及綜合安全的角度，我們可選擇市場上流行的解決桌面安全的產(chǎn)品作為桌面防病毒和防火墻的集成安全解決方案。該類產(chǎn)品最大的優(yōu)勢是不存在互操作性問題，防火墻與桌面入侵檢測完美結(jié)合，提供如今防御混合性威脅最佳組合。

其次是網(wǎng)絡(luò)結(jié)構(gòu)的安全性。管理人員都知道，通過部署多層交換機(jī)，實(shí)現(xiàn)多個VLAN和快速收斂的路由，是保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性與強(qiáng)壯性的最佳方法。在劃分了多個邏輯網(wǎng)絡(luò)和建立符合應(yīng)用的ACL的同時，我們更希望能收集和歸納出整個網(wǎng)絡(luò)的更多安全信息，包括流量的管理，QOS，入侵行為和用戶訪問信息。僅通過網(wǎng)絡(luò)設(shè)備提供的日志，SNMP管理是遠(yuǎn)遠(yuǎn)不夠的，現(xiàn)今的方法是通過部署IDS/IPS來實(shí)現(xiàn)。在核心的節(jié)點(diǎn)部署IDS/IPS探點(diǎn)，采集和匯總數(shù)據(jù)包的完整信息，提供給管理人員分析是正確的方法。當(dāng)然了，這也要求管理人員的技術(shù)水平達(dá)到一定的高度，并且會耗費(fèi)一部分時間用于分析日志。入侵檢測系統(tǒng)能與其他的網(wǎng)絡(luò)設(shè)備聯(lián)動，減少誤報，共同響應(yīng)與阻斷威脅，將是未來的發(fā)展趨勢和重點(diǎn)。

網(wǎng)絡(luò)的核心區(qū)域包括核心交換機(jī)，、核心路由器等重要設(shè)備，它們負(fù)擔(dān)整個網(wǎng)絡(luò)的核心數(shù)據(jù)的轉(zhuǎn)發(fā)，并且連接著DMZ區(qū)的各個關(guān)鍵應(yīng)用，如OA系統(tǒng)，ERP系統(tǒng)，CRM系統(tǒng)，對內(nèi)或?qū)ν獾腤eb服務(wù)器，數(shù)據(jù)庫服務(wù)器等。從安全的角度來說，這個區(qū)域是最關(guān)鍵的，也是風(fēng)險最集中的區(qū)域。我們不但要在網(wǎng)絡(luò)的邊界部署防火墻，也要在這個區(qū)域部署為保護(hù)DMZ等類似的關(guān)鍵區(qū)域的防火墻。但是如果部署安全策略，在提高安全性的同時，勢必會影響其可用性。這個矛盾是不可調(diào)和的。與邊界防火墻不同的是，關(guān)鍵區(qū)域的防火墻主要是面對內(nèi)部用戶，保護(hù)重要服務(wù)和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，比如掃描，滲透，入侵，拒絕服務(wù)攻擊等攻擊，也要提供諸如NAT服務(wù)，出站控制，遠(yuǎn)程VPN用戶和移動用戶訪問的授權(quán)等。我們可以將各種防御的職能根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)和提供的應(yīng)用來分派到兩類防火墻上來。即內(nèi)部防火墻重點(diǎn)保護(hù)DMZ區(qū)域，提供深層次的檢測與告警。因?yàn)橐坏┥婕暗綌?shù)據(jù)包深入檢測，將會大大影響設(shè)備的性能。而這是對邊界防火墻要求高性能數(shù)據(jù)過濾和轉(zhuǎn)發(fā)，不成為出口瓶頸所不能容忍的。管理人員應(yīng)該先充分了解網(wǎng)絡(luò)的特點(diǎn)與用途，結(jié)合設(shè)備與現(xiàn)有的網(wǎng)絡(luò)環(huán)境靈活部署，才能達(dá)到較高可用性與安全性的平衡。

如今的防火墻的功能越來越強(qiáng)大，這里我們選擇業(yè)界一流的防火墻CheckPoint的Stateful Inspection（狀態(tài)檢測技術(shù)）和Web Intelligence來簡單介紹防火墻的智能防御與Web安全保護(hù)。

防火墻的狀態(tài)檢測技術(shù)工作在OSI參考模型的數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層之間，數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中，在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時間被檢查。防火墻會生成一個會話的狀態(tài)表，其檢測引擎依照RFC標(biāo)準(zhǔn)維護(hù)和檢查數(shù)據(jù)包的上下文關(guān)系。對狀態(tài)和上下文信息的收集，使得防火墻不僅能跟蹤TCP會話，也能智能處理無連接協(xié)議，如UDP或RPC。這樣就保證了在任何來自服務(wù)器的數(shù)據(jù)被接受前，必須有內(nèi)部網(wǎng)絡(luò)的某一臺客戶端發(fā)出了請求，而且如果沒有受到響應(yīng)，端口也不會處于開放的狀態(tài)。狀態(tài)檢測對流量的控制效率是很高的，同時對于防火墻的負(fù)載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小?？梢员ＷC整個防火墻快速，有效的控制數(shù)據(jù)的進(jìn)出和做出控制決策。

在Web環(huán)境中，威脅來自于多個方面，從端點(diǎn)到傳輸?shù)竭吔?，最后到達(dá)Web服務(wù)器和后臺數(shù)據(jù)庫。這一系列的數(shù)據(jù)交換將會引發(fā)大量的安全問題。業(yè)界一流的防火墻CheckPoint的Web Intelligence（Web智能技術(shù)），有一種名為Malicious Code ProtectoI（可疑代碼防護(hù)器淶提供對應(yīng)用層的保護(hù)。比如，Web會話是否符合RFC的標(biāo)準(zhǔn)不能包含二進(jìn)制數(shù)據(jù)，協(xié)議使用是否為預(yù)期或典型的，應(yīng)用是否引入了有害的數(shù)據(jù)或命令，應(yīng)用是否執(zhí)行了未授權(quán)的操作或引入了有害的可執(zhí)行代碼等。如何去判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼，模擬行來判斷攻擊，將可執(zhí)行代碼放置到一個虛擬的仿真服務(wù)器中運(yùn)行，檢測是否對虛擬系統(tǒng)造成威脅，最終來決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢是可以非常精確的阻止已知和未知攻擊，并且誤報率相當(dāng)?shù)汀?/p>

在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中，我們可以采用防火墻技術(shù)和其它多種技術(shù)進(jìn)行協(xié)同防護(hù)，保證在網(wǎng)絡(luò)邊界對訪問進(jìn)行控制，以“御敵于門外”。當(dāng)然，我們還需要綜合的部署和完善的策略來降低網(wǎng)絡(luò)的整體風(fēng)險，保證網(wǎng)絡(luò)的可靠，以期實(shí)現(xiàn)信息時代的網(wǎng)絡(luò)安全。