张文丽

我们可以通过很多网络工具、设备和策略来保护网络，其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外，从而降低网络的整体风险。

一、防火墙的基本功能及特点

防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Intemal）和不可信任网络（Intemet）之间。

1、防火墙一般有三个特性：A.所有的通信都经过防火墙；B.防火墙只放行经过授权的网络流量；C.防火墙能经受的住对其本身的攻击；

2、防火墙的主要优点如下：A.防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内； B.防火墙可以用于限制对某些特殊服务的访问；C.防火墙功能单一，不需要在安全性，可用性和功能上做取舍；D.防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。

3、同样的，防火墙也有许多弱点：A.不能防御已经授权的访问，以及存在于网络内部系统闻的攻击；B.不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁；C.不能修复脆弱的管理措施和存在问题的安全策略；D.不能防御不经过防火墙的攻击和威胁。

二、网络安全与防火墙技术

网络用户（组织）对网络依赖主要来自予运行在网络上的各种应用，同样的，网络的范围也覆盖到整个组织的运营区域。我们将分析一个典型的企业网络，从结构，应用，管理，以及安全这几个层次来探讨一下对企业来说，如何去实现真正的网络安全。

首先是网络内部，即面向企业内部员工的工作站。我们不能保证用户每一次操作都是正确与安全的，绝大多数情况下，他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。但可能由于访问非法网站，下载或运行不可信程序，使用移动设备复制带有病毒的文件等看似平常的操作而导致比如病毒，木马，间谍程序，恶意脚本通过内部网络中某一台工作站而进入到网络并且迅速的蔓延。由于如今流行的操作系统存在大量的漏洞与缺陷，并且新的漏洞与利用各种漏洞的蠕虫变种层出不穷，网络的迅速发展，也给这类威胁提供高速繁殖的媒介。特别是企业内部拥有高速的网络环境，给各种威胁的扩散与转移提供了可能。现在人们都通过安装防病毒软件来防御病毒的威胁，但是面对蠕虫和木马程序，后门程序等，防病毒软件并不能起到很显著的效果，不能从根本上消除安全威胁。所以我们说，保护好工作站的安全，是企业网络安全的一个重要部分。

通过上面简单的分析和举例，工作站的安全工作主要包含如下几个方面：桌面防病毒，桌面防火墙，系统补丁管理，系统授权与审核，软件使用许可监控和网络访问控制。从保护用户系统的稳定性与可用性以及综合安全的角度，我们可选择市场上流行的解决桌面安全的产品作为桌面防病毒和防火墙的集成安全解决方案。该类产品最大的优势是不存在互操作性问题，防火墙与桌面入侵检测完美结合，提供如今防御混合性威胁最佳组合。

其次是网络结构的安全性。管理人员都知道，通过部署多层交换机，实现多个VLAN和快速收敛的路由，是保证网络结构的可靠性与强壮性的最佳方法。在划分了多个逻辑网络和建立符合应用的ACL的同时，我们更希望能收集和归纳出整个网络的更多安全信息，包括流量的管理，QOS，入侵行为和用户访问信息。仅通过网络设备提供的日志，SNMP管理是远远不够的，现今的方法是通过部署IDS/IPS来实现。在核心的节点部署IDS/IPS探点，采集和汇总数据包的完整信息，提供给管理人员分析是正确的方法。当然了，这也要求管理人员的技术水平达到一定的高度，并且会耗费一部分时间用于分析日志。入侵检测系统能与其他的网络设备联动，减少误报，共同响应与阻断威胁，将是未来的发展趋势和重点。

网络的核心区域包括核心交换机，、核心路由器等重要设备，它们负担整个网络的核心数据的转发，并且连接着DMZ区的各个关键应用，如OA系统，ERP系统，CRM系统，对内或对外的Web服务器，数据库服务器等。从安全的角度来说，这个区域是最关键的，也是风险最集中的区域。我们不但要在网络的边界部署防火墙，也要在这个区域部署为保护DMZ等类似的关键区域的防火墙。但是如果部署安全策略，在提高安全性的同时，势必会影响其可用性。这个矛盾是不可调和的。与边界防火墙不同的是，关键区域的防火墙主要是面对内部用户，保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁，比如扫描，渗透，入侵，拒绝服务攻击等攻击，也要提供诸如NAT服务，出站控制，远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域，提供深层次的检测与告警。因为一旦涉及到数据包深入检测，将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发，不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途，结合设备与现有的网络环境灵活部署，才能达到较高可用性与安全性的平衡。

如今的防火墙的功能越来越强大，这里我们选择业界一流的防火墙CheckPoint的Stateful Inspection（状态检测技术）和Web Intelligence来简单介绍防火墙的智能防御与Web安全保护。

防火墙的状态检测技术工作在OSI参考模型的数据链路层与网络层之间，数据包在操作系统内核中，在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表，其检测引擎依照RFC标准维护和检查数据包的上下文关系。对状态和上下文信息的收集，使得防火墙不仅能跟踪TCP会话，也能智能处理无连接协议，如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前，必须有内部网络的某一台客户端发出了请求，而且如果没有受到响应，端口也不会处于开放的状态。状态检测对流量的控制效率是很高的，同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速，有效的控制数据的进出和做出控制决策。

在Web环境中，威胁来自于多个方面，从端点到传输到边界，最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。业界一流的防火墙CheckPoint的Web Intelligence（Web智能技术），有一种名为Malicious Code ProtectoI（可疑代码防护器涞提供对应用层的保护。比如，Web会话是否符合RFC的标准不能包含二进制数据，协议使用是否为预期或典型的，应用是否引入了有害的数据或命令，应用是否执行了未授权的操作或引入了有害的可执行代码等。如何去判断上述的一些威胁呢？MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码，模拟行来判断攻击，将可执行代码放置到一个虚拟的仿真服务器中运行，检测是否对虚拟系统造成威胁，最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击，并且误报率相当低。

在日益复杂的网络环境中，我们可以采用防火墙技术和其它多种技术进行协同防护，保证在网络边界对访问进行控制，以“御敌于门外”。当然，我们还需要综合的部署和完善的策略来降低网络的整体风险，保证网络的可靠，以期实现信息时代的网络安全。