圈点防火墙

Internet、Extranet以及虚拟个人网的发展为防火墙的应用提供了广阔的空间。据权威机构预测，防火墙市场将以173％的复合增长率增长，到2000年将达150万套，市场营业额也将上升到2000年的9.8亿美元。防火墙的广阔市场为商家提供了机遇，但同时也使用户望着琳琅满目的防火墙一筹莫展，“我有什么选择？”、“如何挑选？”是不是始终萦绕在你心头呢？
防火墙被用来保护计算机网络免受黑客的骚饶与入侵。这些防火墙尤如一道护栏隔在被保护的内部网与不安全的网络之间，互联网便是世界上最大的不安全网，近年来发生的大多数著名的黑客入侵事件都发生在互联网之上。
通常架设防火墙需要数千美元的投入，而且防火墙需要运行于一台独立的计算机上，这样只用一台计算机连入互联网的用户是不宜架设防火墙的，况且这样做也太不合算。防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有通向外部网和从外部网传来的信息，防火墙保护着内部敏感的数据不被偷窃和破坏，并记下来往通讯发生的时间和操作等等。新一代的防火墙甚至可以阻止内部人员故意将敏感数据传输到外界。而通过设置防火墙你可以允许公司内部员工使用E-MAIL，流览WWW以及文件传输，但不允许外界任意访问公司内部的计算机，你也可以禁止公司中不同部门之间互相访问。将局部网络放置于防火墙之后可以阻止来自外界的攻击。而防火墙通常是运行在一台单独的计算机之上的一个特别软件，它可以识别并屏蔽非法的请求。例如一台WWW代理服务器，所有的请求都间接地由代理服务器处理，这台服务器不同于普通的代理服务器，它不会直接地处理请求，它会验证请求发出者的身份、请求的目的地和请求内容。如果一切符合要求的话，这个请求会被批准送到真正的WWW服务器上。当真正的WWW服务器处理完这个请求后并不会直接把结果发送给请求者，它会把结果送到代理服务器，代理服务器会按照事先的规定检查这个结果是否违反了安全规定，当这一切都通过后，返回结果才会真正地送到请求者的手里。
防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说业界的分类有三种，包过滤防火墙，应用级网关和状态监视器。

包过滤防火墙
在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时，路由器会读取接收者的IP并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。这种防火墙的用法很多，比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者“有问题”的国外站点。
包过滤路由器的最大优点就是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护，通常做为第一道防线。包过滤路由器的弊端也是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。“信息包冲击”是黑客比较常用的一种攻击手段，黑客们对包过滤式防火墙发出一系列信息包，不过这些包中的IP地址已经被替换掉了，取而代之的是一串顺序的IP地址。一但有一个包通过了防火墙，黑客便可以用这个IP地址来伪装他们发出的信息。在另一些情况下黑客们使用一种他们自己编制的路由攻击程序，这种程序使用路由器协议来发送伪造的路由信息，这样所有的包都会被重新路由到一个入侵者所指定的特别地址。对付这种路由器的另一种技术被称之为“同步淹没”，这实际上是一种网络炸弹。攻击者向被攻击的计算机发出许许多多个虚假的“同步请求”信号包，当服务器响应了这种信号包后会等待请求发出者的回答，而攻击者不做任何的响应。如果服务器在45秒种里没有收到反应信号的话就会取消掉这次请求。但是当服务器在处理成千上万个虚假请求时，它便没有时间来处理正常的用户请求，处于这种攻击下的服务器和死锁没什么两样。

应用级网关
应用级防火墙也常被人们称为代理服务器。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合公司用来控制内部人员访问外界的网络，对于这样的企业来说应用级防火墙是更好的选择。应用级防火墙应用于特定的互联网服务，如超文本传输(HTTP)，远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间，它对于客户来说是象是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接受到用户的请求后会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。代理服务器都通常拥有一个高速缓存，这个缓存存储有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去抓同样的内容，既节约了时间也节约了网络资源。代理服务器会象一堵真的墙那样挡在内部用户和外界之间，从外面只能看到代理服务器而看不到任何的内部资源，诸如用户的IP等。应用级网关比单一的包过滤更为可靠，而且会详细地记录下所有的访问记录。但是应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络。而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，这意味着用户可能会花费几个月的时间等待新服务软件的安装，更不幸的是，并不是所有的互联网应用软件都可以使用代理服务器。

状态监视器
这种防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作记录，向系统管理器报告网络状态。
你家里的门窗就好比防火墙，它们对普通的人来说是一层安全的防护，但是没有任何一种防火墙可以给你绝对的保护。这就是为什么许多公司建立多层防火墙的原因。当黑客闯过一层防火墙后他只能得到一部分内容，其他的数据仍然被安全地保护在内部防火墙之后。任何防火墙是由人来管理的，对于一个总是忘记锁门的人来说，给他再厚的墙也没用，疏忽可能会使任何优秀的安全系统失效。无论如何，防火墙只是增加安全的手段之一，只要网络存在，这场矛与盾的较量就会一直继续下去。

防火墙选择须知
在防火墙的领域中，往往产品千百种，如何在其中选择最符合您需要的产品，是消费者最关心的事，以下提出几点，希望能对您在选购防火墙软件时，有所帮助。
一个好的防火墙必须是建构在作业系统之前而不是在作业系统之上，所以作业系统可能有的漏洞并不会影响到一个好的防火墙系统所提供的安全性，由于硬体平台的普及以及执行效率的因素，大部分企业均会把对外提供各种服务的伺服器分散至许多作业平台上，但我们在无法保证所有主机安全的情况下，选择防火墙作为整体安全的保卫者，这正说明了作业系统提供了B级或是C级的安全并不一定会直接对整体安全造成影响，因为一个好的防火墙必定能弥补作业系统的不足。
防火墙应该提供给使用者不同平台的选择，由于防火墙并非完全由硬体所构成，所以作业系统所提供的功能以及执行效率一定会影响到整体的表现，而使用者的操作意愿及熟悉程度也是必须考虑的重点，所以一个好的防火墙不但本身要有良好的执行效率，也应该提供多平台的执行方式给使用者选择，毕竟使用者才是完全的掌控者应该选择一套符合同有环境需求的软体，而非为了软体的限制而改变现有环境。
另外，一个好的防火墙应该要能提供使用者完善的后续支援能力，有新的产品出现。就有人会研究新的破解方法，所以一个好的防火墙提供者就必须要有一个庞大的组织作为使用者安全的后盾，也应该要有众多的使用者所建立的口碑为防火墙作见证，毕竟公司企业的安全是一个重要的，绝不可拿此来当作是实验的白老鼠。
最后，作为好的防火墙应该提供使用者不同平台的选择，防火墙与代理程式伺服器（PROXYServer）最大的不同在于防火墙是专门为了保护网路安全而设计的，而一个好的防火墙不但应该要具备包括检查、认证、警告、纪录的功能，并且应该能够为使用者可能遇到的困境，事先提出解决方案，譬如IP不转译的问题，譬如资料加密/解密的问题，譬如大企业要求能够透过Internet集中管理的问题等等，都是再选择一个好的防火墙时必须要考虑的重点，简单来说，一个好的防火墙应该要能把问题在发生之前解决掉。

防火墙集粹
CheckPointFirewall-1
CheckPoint公司在防火墙市场中占据较大的市场份额，拥有众多的合作伙伴，并和其他大公司建立了伙伴关系。该公司不仅开发防火墙产品，而且还涉足带宽和IP地址管理等关键技术产品领域。最近，CheckPoint和数家ISP以及防火墙服务提供商签订协议，在这个快速发展的市场中牢牢地占据了主要地位。该公司最重要的产品是FireWall-1，该产品可以在需要多个防火墙并行运行或者基于相同策略运行的环境中发挥作用。

　　 Cisco PIX
Firewall520 Cisco公司的PIX产品在防火墙硬件市场中占据主导地位，并占领了整个防火墙市场19%的份额。由于现在用户对于基于WindowsNT的防火墙需求逐渐增加，该公司通过一系列的并购行动开始向软件防火墙市场渗透。
PIX其吞吐可达150Mbps，而且使用NAT时不影响其性能。它可以防止有害的SMTP命令，但对FTP，它不能对get和put进行限制。PIX的管理风格和Cisco路由器命令接口风格类似。PIX的管理需要有一台NT服务器专门运行该软件，通过Web来访问，但使用Web界面管理PIX只能进行简单的配置改变。它的日志和监控能力较弱，所有日志须送到另一台运行syslog的机器上。

　　 Novell BorderManager Firewall
今年ICSA对Novell公司基于目录的Internet安全解决方案BorderManager FirewallServices3颁发了证书BorderManager Firewall Services3可作为单独的解决方案供货，也可作为Novell基于目录的Internet安全管理套件BorderManager Enterprise Edition3的一部分提供给客户。
BorderManager Firewall Services3是BorderManager Enterprise Edition3套件的安全基础，它提供了基于目录的安全策略管理，用于保护机密数据和管理用户对intranet和Internet内容的访问。用户如果对这一防火墙设置得当，便可支持标准的Internet协议业务服务，抵御各种攻击。BorderManager Firewall Services3可单独使用，也可用作增强已安装其他供应商防火墙的防护功能。单一服务器版本的BorderManager Firewall Services3零售价从$995起。

　　 微软ProxyServer3.0
Microsoft的早期产品ProxyServer1.0防火墙/缓存产品功能非常有限。所以Microsoft没有将该产品定位为防火墙产品，只是定位为一般的缓存服务器，改善Internet的访问速度。
由于WindowsNT具有极大的装机量，而且ProxyServer3.0本身功能的改进，ProxyServer3.0极有可能成为WindowsNT防火墙市场中的有力竞争者。但是该产品还是面向中小型企业。使用CheckPoint等高端产品的用户不太有可能转移到ProxyServer中。

　　 NAI-Gauntlet防火墙
NAI公司的防火墙产品GauntletFirewall源于TIS公司的InternetFirewallToolkit，在TIS公司的Web站点上，该防火墙工具箱被下载超过50，000次，使其成为事实上互联网上应用最广泛的防火墙产品。GauntletFirewall的实现基于NAI公司开创性的自适应代理技术，集成了用户透明代理、集成管理、VPN、内容安全检测等功能特性，保护内外网间的服务往来。同时，在不损害网络安全的情况下提供高效的吞吐量。
ActiveGauntlet可自动对系统进行优化和安全审计，并能够根据网内安全监控系统的警报自动调整防火墙安全策略。与专用的病毒扫描服务器配合，能够提供实时的病毒扫描和清除。

　　 Netscreen
美国NetScreenTechnologies公司推出Netscreen防火墙具有独特的ASIC设计和已申请专利保护的系统体系结构为重要的企业数据提供了最可靠的安全保障。NetScreen首创用单一的硬件平台将防火墙、虚拟专用网（VPN）、带宽控制、优先级设置、负载平衡等功能集于一身。

　　 SunScreen EFS
SunScreenEFS软件是Sun公司的战略性划分工具，企业可籍此部署多重屏蔽来保护各个部门和站点。它使用的State-of-the-artSKIP加密技术保证了网络通信的安全并且是部门之间、远程站点之间以及合作伙伴之间通信的基础结构。SKIP能保护数据的传送，确保数据的完整(不被改变)，以及提供高级别的认证授权。SunScreenEFS具有TCP以及UDP两种服务。就UDP而言，SunScreenEFS仍保持着对安全与性能进行改进的特性。SunScreenEFS的目标是成为企业的标准防火墙，用于部署到成百上干个部门或站点上。

　　 中网IP防火墙
久前中网推出了IP防火墙。这一产品实际上是集IP流量计费，流量控制，网络管理，用户验证，安全控制于一身的综合防火墙。这一系统为用户提供了防止外部攻击，保护内部网络，解决网络边界的安全问题;支持访问代理功能;对IP地址、端口进行访问控制;按照某种政策进行访问控制;基于IP地址进行流量统计;按费用进行流量限制等诸多功能。

防火墙可能不防“火”
目前各单位通常所使用的基于路由器的第一代防火墙产品，只有分组过滤的功能（如IP地址、端口号等），极易被黑客绕过或攻破。何况许多黑客是通过电话拨号上网的，他们上来就已经在防火墙内了。
防火墙技术的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。但也有其明显的局限性，比如说，防火墙只能作用于外对内或内对外，即对外可屏蔽内部网的拓扑结构，封锁外部网上的用户连接内部网上的重要站点或某些端口，对内可屏蔽外部危险站点，但它很难解决内部网控制内部人员的安全问题。即防外不防内。而统计结果表明，网络上的安全攻击事件有70%以上来自内部攻击。
另外，防火墙难于管理和配置，易造成安全漏洞防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说，由多个系统（路由器、过滤器、代理服务器、网关、堡垒主机）组成的防火墙，管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下。
防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内外提供一致的安全策略许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。
对于防火墙技术存有异议的专家最为关注的是防火墙的使用不便之处，例如:需要多次登录及其他不受约束的机制，影响Internet的使用甚至影响Internet的生存。他们声称:防火墙给人制造一种虚假的安全感，导致在防火墙内部放松安全警惕。他们也注意到，许多攻击是内部犯罪，这是任何基于隔离的防范措施都无能为力的。同样，防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行，那个程序很可能就包含一段恶意的代码，或泄露敏感信息，或对之进行破坏。随着Java、javascript和ActiveX控件及其相应浏览器的大量持续推广，这一问题变得更加突出和尖锐。防火墙的另一个缺点是很少有防火墙制造商推出简便易用的“监狱看守”型的防火墙，大多数的产品还停留在需要网络管理员手工建立的水平上。当然，这一方面马上会出现重大的变化。

　　 尽管存在这些争议，但防火墙在当今Internet世界中的存在是有生命力的。它是一些对高级别的安全性有迫切要求的机构出于实用的原因建造起来的，因此，它不是解决所有网络安全问题的万能药方，而只是网络安全政策和策略中的一个组成部分。