淺談防火墻技術(shù)的合理使用

張　澄

摘要：防火墻是近幾年發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)措施，也是目前使用最廣泛的一種網(wǎng)絡(luò)安全防護(hù)技術(shù)。本文提出了防火墻的配置在網(wǎng)絡(luò)安全中的重要性，闡釋了防火墻規(guī)則集是防火墻產(chǎn)品安全的重要措施。

關(guān)鍵詞：防火墻；配置；網(wǎng)絡(luò)；安全

如今，Internet遍布世界任何一個(gè)角落，并且歡迎任何一個(gè)人加入其中，相互溝通，相互交流。網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來了巨大的改變。我們可以通過網(wǎng)絡(luò)獲得信息，共享資源。但隨著網(wǎng)絡(luò)的延伸，安全問題受到人們越來越多的關(guān)注。在構(gòu)建安全的網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，人們總是把防火墻的使用放在網(wǎng)絡(luò)安全建設(shè)的首位。

1 防火墻配置及安全功能

目前，防火墻已經(jīng)成為世界上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。防火墻是網(wǎng)絡(luò)安全中非常重要的一環(huán)，大多數(shù)的單位不惜重金購買防火墻，但卻忽視了防火墻的配置。防火墻功能的強(qiáng)大與否，除了防火墻本身的性能外，主要是取決對防火墻的正確配置。在與許多使用防火墻的用戶接觸中，發(fā)現(xiàn)常常由于防火墻配置的錯(cuò)誤，而留下一些系統(tǒng)安全漏洞，讓入侵者有機(jī)可趁。

當(dāng)一個(gè)網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵。通常被保護(hù)的網(wǎng)絡(luò)屬于我們自己或者是我們負(fù)責(zé)管理的，而所要防備的網(wǎng)絡(luò)則是一個(gè)外部的網(wǎng)絡(luò)，該網(wǎng)絡(luò)是不可信賴的，因?yàn)榭赡苡腥藭?huì)從該網(wǎng)絡(luò)上對我們的網(wǎng)絡(luò)發(fā)起攻擊，破壞網(wǎng)絡(luò)安全。防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間，如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間的軟件或硬件設(shè)備的組合，對網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對重要信息資源進(jìn)行非法存取和訪問，達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問并具備管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全，使企業(yè)的網(wǎng)絡(luò)規(guī)劃清晰明了，識(shí)別并屏蔽非法請求，有效防止跨越權(quán)限的數(shù)據(jù)訪問。它既可以是非常簡單的過濾器，也可能是精心配置的網(wǎng)關(guān)，監(jiān)測并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換，防火墻保護(hù)著內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)不被竊取和破壞，并記錄內(nèi)外通信的有關(guān)狀態(tài)信息日志，如通信發(fā)生的時(shí)間和進(jìn)行的操作等等。新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸。

2 安全、可靠的防火墻的實(shí)現(xiàn)

實(shí)現(xiàn)防火墻產(chǎn)品安全的非常關(guān)鍵的一步是建立一個(gè)條理清楚的防火墻規(guī)則集。安全、可靠防火墻的實(shí)現(xiàn)取決于以下的過程：

2.1 制定安全策略，搭建安全體系結(jié)構(gòu)

安全策略要靠防火墻的規(guī)則集來實(shí)現(xiàn)的，防火墻是安全策略得以實(shí)現(xiàn)的技術(shù)工具。所以，必須首先來制定安全策略，也就是說防火墻要保護(hù)的是什么，要防止的是什么，并將要求細(xì)節(jié)化，使之全部轉(zhuǎn)化成防火墻規(guī)則集。

2．2 制定規(guī)則的合理次序

一般防火墻產(chǎn)品在缺省狀態(tài)下有兩種默認(rèn)規(guī)則：一種是沒有明確允許，一律禁止；另一種是沒有明確禁止，一律允許。因此用戶首先要理解自己所用產(chǎn)品的默認(rèn)狀態(tài)，這樣才能開始配置其它的規(guī)則。

在防火墻產(chǎn)品規(guī)則列表中，最一般的規(guī)則被列在最后，而最具體的規(guī)則被列在最前面。在列表中每一個(gè)列在前面的規(guī)則都比列在后面的規(guī)則更加具體，而列表中列在后面的規(guī)則比列在前面的規(guī)則更加一般。

按以上規(guī)則要求，規(guī)則放置的次序是非常關(guān)鍵的。同樣的規(guī)則，以不同的次序放置，可能會(huì)完全改變防火墻產(chǎn)品的運(yùn)行狀況。大部分防火墻產(chǎn)品以順序方式檢查信息包，當(dāng)防火墻接收到一個(gè)信息包時(shí)，它先與第一條規(guī)則相比較，然后才是第二條、第三條……，當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時(shí)，就停止檢查并應(yīng)用那條規(guī)則。如果信息包經(jīng)過每一條規(guī)則而沒有發(fā)現(xiàn)匹配的規(guī)則，那么默認(rèn)的規(guī)則將起作用，這個(gè)信息包便會(huì)被拒絕。另外有些防火墻產(chǎn)品專門將對防火墻本身的訪問列出規(guī)則，這要比一般的包過濾規(guī)則嚴(yán)格的多，通過這一規(guī)則的合理配置，阻塞對防火墻的任何惡意訪問，提高防火墻本身的安全性。

2．3 詳細(xì)的注釋，幫助理解

恰當(dāng)?shù)亟M織好規(guī)則之后，還建議寫上注釋并經(jīng)常更新它們。注釋可以幫助明白哪條規(guī)則做什么，對規(guī)則理解的越好，錯(cuò)誤配置的可能性就越小。同時(shí)建議當(dāng)修改規(guī)則時(shí)，把規(guī)則更改者的名字、規(guī)則變更的日期、時(shí)間、規(guī)則變更的原因等信息加入注釋中，這可以幫助你跟蹤誰修改了哪條規(guī)則，以及修改的原因。

2．4 做好日志工作

日志的記錄內(nèi)容由防火墻管理員制定，可記錄在防火墻制定，也可放置在其它的主機(jī)。建議防火墻管理員定期的查看日志的內(nèi)容，歸檔，便于分析。同時(shí)要將被規(guī)則阻塞的包及時(shí)的通報(bào)管理員，以便及時(shí)了解網(wǎng)絡(luò)攻擊的狀況，采取應(yīng)急措施，保護(hù)網(wǎng)絡(luò)的安全。

3 防火墻配置三大誤區(qū)

3.1 誤區(qū)一：使用通用的操作系統(tǒng)

購置了防火墻后，許多人犯的第一個(gè)錯(cuò)誤是：安裝防火墻前沒有對通用操作系統(tǒng)加強(qiáng)保護(hù)。許多企業(yè)未認(rèn)識(shí)到通用操作系統(tǒng)的不安全性，常使用供應(yīng)商預(yù)先安裝的操作系統(tǒng)，或者在裝防火墻軟件之前，只按照默認(rèn)方式安裝。通用操作系統(tǒng)通常是一個(gè)多用戶系統(tǒng)，方便員工訪問系統(tǒng)資源，但是，同時(shí)也是不安全的，強(qiáng)烈建議企業(yè)不要將防火墻安裝在通用操作系統(tǒng)上。

3．2 誤區(qū)二：采用默認(rèn)防火墻配置

事實(shí)上，沒有一種商業(yè)防火墻在默認(rèn)配置時(shí)是安全的，以下是默認(rèn)配置不安全的三個(gè)因素：其一它允許所有DSN自由出人防火墻，其二允許路由信息協(xié)議(RIP)進(jìn)出防火墻，其三，允許各種因特網(wǎng)控制消息協(xié)議(ICMP)進(jìn)出防火墻。在部署防火墻之前，應(yīng)該知道哪些特殊的默認(rèn)設(shè)置需要變更。配置防火墻前需要確定，限制哪些IP地址，刪除任何默認(rèn)用戶名和口令，禁止從外部(不可靠的)網(wǎng)絡(luò)實(shí)行管理，禁止利用不安全協(xié)議管理防火墻，鏟除不安全的策略配置。

3．3 誤區(qū)三：配置測試不夠全面

安全系統(tǒng)的測試與其他系統(tǒng)正好相反，判斷安全配置的標(biāo)準(zhǔn)是不允許哪些協(xié)議包能通過，而是能否準(zhǔn)確無誤地丟棄包。測試防火墻配置的簡便方法就是運(yùn)用端口掃描程序。端口掃描程序的目的在于迅速連接到系統(tǒng)所有可能的TCP或UDP端口，在進(jìn)行簡單的端口掃描后，也可以嘗試一些較復(fù)雜的掃描方法。

4 結(jié)束語

由于防火墻產(chǎn)品的實(shí)施相對簡單，因此它是維護(hù)網(wǎng)絡(luò)安全普遍采用的安全產(chǎn)品之一。但是防火墻產(chǎn)品僅是給用戶提供了一套安全防范的技術(shù)手段，只有合理的使用和良好的配置，才能使用戶的安全策略很好的融入到防火墻產(chǎn)品之中，使其真正起到保護(hù)用戶網(wǎng)絡(luò)安全的作用。

參考文獻(xiàn)

[1]楊子江．合理實(shí)施防火墻配置[J]．軟件世界，2007，11．

[2]網(wǎng)絡(luò)安全與防火墻的合理使用[J]．計(jì)算機(jī)與信息技術(shù)，2007，10．