全球十大最恐怖的地方:确保内网安全 看看防火墙如何防“火”

防火墙是一种将局域网和广域网分开的方法，它能限制被保护的内网与外网之间的信息存取和交换操作。防火墙可以作为不同网络或网络安全域之间交换信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身就有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效的控制了内部网和外部网之间的活动，保证了内部网络的安全。

防火墙技术包括包过滤技术，网络地址转换(NAT)技术及代理技术等等。下面，我们将以新近上市的东方龙马防火墙为例做一简单介绍，看看防火墙是怎样来防火的。

　　一、实时的连接状态下的包过滤

　　包过滤是防火墙中的一项主要安全技术，它通过防火墙对进出网络的数据流进行控制与操作。系统管理员可以设定一系列规则，允许指定的哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包传输应该被拦截。防火墙不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行访问控制，同时还对任何网络连接和当前的会话状态进行分析和监控。

　　传统防火墙的包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不符合规则的丢弃。由于是基于规则的检查，属于同一连接的不同包毫无任何联系，每个包都要依据规则顺序过滤，这样随着安全规则的增加，势必会使防火墙的性能大幅度的降低，造成网络拥塞。甚至黑客会采用IPSpoofing的办法将自己的非法包伪装成属于某个合法的连接。这样的包过滤既缺乏效率又容易产生安全漏洞。

　　防火墙采用了基于连接状态检查的包过滤，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合，大大地提高了系统的性能和安全性。防火墙在进行包的检测时不仅将其看成是独立的单元，同时还要考虑与它的前面包的关联性。例如，在基于TCP协议的连接中，每个包在传输时都包括了IP源地址，IP目的地址，源端口和目的端口等信息，还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。这些信息与每个数据包都是有关联的。换句话说，对于属于同一个连接的数据包来说并不是完全孤立的，它们存在内部的关联信息。无连接的包过滤规则没有考虑这些内在的关联信息，而是对每个数据包都进行孤立的规则检测，这样就降低了传输效率和安全性。

　　尤其值得一提的是，对于基于UDP协议、ICMP的应用来说，是很难用简单的包过滤技术进行处理的，因为UDP协议本身对于顺序错误或丢失的包，是不做纠错或重传的。而ICMP与IP位于同一层，它被用来传送IP的差错和控制信息。防火墙在对基于UDP协议的连接处理时，会为UDP建立虚拟的连接，同样能够对连接过程状态进行监控。通过规则与连接状态的共同配合，达到包过滤的高效与安全。可以这么说，能够实现对UDP、ICMP协议的实时状态监控，这是防火墙有别于其它厂商防火墙的显著特点之一。

　　实时的动态过滤技术使东方龙马防火墙增强了防御能力，降低了黑客攻击的成功率，从而大大提高了系统的性能和安全性。

　　二、网络地址转换(NAT)

　　网络地址转换是一种把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网，它还意味着用户不需要为其网络中每台机器分配已经注册过的IP地址。

　　防火墙利用NAT技术对内部地址做转换，使外部网络无法了解内部网络的结构，使黑客很难对内部网的用户发起攻击。同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。

　　防火墙不仅提供了传统的“内部网到外部网”，“外部网到内部网”NAT功能，而且提供任意接口的源地址和目的地址的转换。NAT技术支持两种方式的静态网络地址转换，一种为一对一的地址映射，即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部网络，也可以接受外部网络提供的服务。另一种是更灵活的方式，可以支持多对一的映射，即内部的多个机器可以通过一个外部有效地址访问外部网络。

　　防火墙同时支持动态地址映射。动态地址映射是一种更为灵活的转换方式，用户不必事先指定一个具体的转换地址，可以只指定一个地址池，地址池中包含了一系列合法的转换地址，当数据包通过防火墙时，防火墙将从该地址池中随机选取一个地址做NAT转换。在目的地址转换中支持地址池能够实现负载分担，将集中在一台服务器上的访问请求均匀地分发到多台服务器上。传统上，一般采用一个域名对应多台服务器，由于域名解析一般在各地的服务器上都会有Cache(高速缓冲存储器)存在，因此会造成一个地区的用户访问请求将集中在同一台服务器上。防火墙在目的地址转换中支持地址池，即可以实现将用户的请求均匀的分发到对应的服务器上的目的。

　　防火墙的NAT技术实现了在任何网络接口进行地址转换，规则能够根据源地址范围，目的地址范围，端口以及协议等精密匹配。为了适应复杂的网络结构，防火墙还提供外部网络到内部网络的源地址转换功能。利用NAT转换功能，不仅可以更有效的利用地址资源而且可以使系统管理员自行设置内部的地址而不必对外公开，隐藏了内部网络的真实地址，从而使外来的黑客无法探知内部网络的结构，提高了网络整体的安全性。

　　三、代理技术

　　应用代理或代理服务器是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再回送给用户。

　　防火墙中对Ftp，Telnet，Http，Smtp，Pop3和DNS等应用实现了代理服务。这些代理服务对用户是透明的(Transparent)，即用户意识不到防火墙的存在，便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理服务器会建立透明的通道，让用户直接与外界通信，这样极大地方便用户的使用，避免使用中的错误，降低使用防火墙时固有的安全风险和出错概率。

　　代理服务器可以屏蔽内部网的细节，使非法分子无法探知内部结构。能够屏蔽某些特殊的命令，禁止用户使用容易造成攻击的不安全的命令，从根本上抵御攻击。同时，还能够过滤非安全脚本，如ActiveX，JAVAApplet，JavaScript以及进行邮件过滤。

　　防火墙的代理服务器提供了对连接流量的控制功能，系统管理员可以根据内部网络的需要增大或减少某一代理(Ftp,Http, Telnet, Smtp, Pop3，DNS等)的流量，这样能更有效地利用资源，也减轻了防火墙的负荷。并且，防火墙采用了多线程多连接技术，使系统可以对出入防火墙的所有应用层连接进行统一的管理，处理速度快，处理进程多，保证了系统的高效性。

　　四、抗攻击和自我保护能力

　　作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。防火墙通过严密的体系结构，对一系列的黑客攻击手段，有很强的防御能力。

　　防火墙除了专用的服务口外，不接受来自任何其它端口的直接访问。防火墙系统运行只支持专用服务口进入的“特定指令”，而这些“特定指令”对用户来说，只是一个个的菜单选项，图形按钮，真正具备了既防内又防外的自我保护措施。

　　防火墙禁止用户直接登录和所有的常规服务，并且不允许运行任何其它的程序，对防火墙进行配置只能由系统管理员通过特定的接口进行。故而防止了特洛伊木马的攻击，口令字嗅探和口令字解密等攻击。

　　防火墙能够处理一些常见的对于TCP、UDP、ICMP协议的攻击或探测，如Flooding攻击、Jolt2、Ping ofDeath、ICMP Smurf Attack、操作系统探测等多种攻击，并能对这些异常情况做出忽略、记录日志、警告以及拒绝等操作，这些措施大大增强了防火墙的抗攻击能力。