防火墙系列连载之一—防火墙的基本概念

　　一、 防火墙

　　由于Internet的迅速发展, 提供了发布信息和检索信息的场所, 但它也带来了信息污染和信息破坏的危险, 人们为了保护其数据和资源的安全, 出现了防火墙。防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。

　　1. Internet防火墙

　　防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险（病毒、资源盗用等）传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙，更象北京故宫的护城河。它服务于多个目的：

　　（1） 限制人们从一个特别的控制点进入；

　　（2） 防止侵入者接近你的其它防御设施；

　　（3） 限定人们从一个特别的点离开；

　　（4） 有效的阻止破坏者对你的计算机系统进行破坏。

　　因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上　　

　　2.防火墙的优点

　　（1） 防火墙能强化安全策略

　　因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。

　　（2） 防火墙能有效地记录Internet上的活动

　　因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。

　　（3） 防火墙限制暴露用户点

　　防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

　　（4） 防火墙是一个安全策略的检查站

　　所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

　　3.防火墙的不足之处

　　上面我们叙述了防火墙的优点，但它还是有缺点的，主要表现在：

　　（1） 不能防范恶意的知情者

　　防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。

　　（2） 不能防范不通过它的连接

　　防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

　　（3） 不能防备全部的威胁

　　防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。

　　（4） 防火墙不能防范病毒

　　防火墙不能消除网络上的PC机的病毒。　　

　　二、 防火墙体系结构

　　目前,防火墙的体系结构一般有以下几种:

　　（1） 双重宿主主机体系结构；

　　（2） 被屏蔽主机体系结构；

　　（3） 被屏蔽子网体系结构。

　　1. 双重宿主主机体系结构

　　双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如，因特网）并不是直接发送到其它网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。

　　双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。　　

　　2. 屏蔽主机体系结构

　　双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤，其结构如图3所示。　　

　　在屏蔽的路由器上的数据包过滤是按这样一种方法设置的: 即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁（例如，传送进来的电子邮件）。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。

　　数据包过滤也允许堡垒主机开放可允许的连接（什么是“可允许”将由用户的站点的安全策略决定）到外部世界。

　　在屏蔽的路由器中数据包过滤配置可以按下列之一执行：

　　?允许其它的内部主机为了某些服务与因特网上的主机连接（即允许那些已经由数据包过滤的服务）。

　　?不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。

　　用户可以针对不同的服务混合使用这些手段；某些服务可以被允许直接经由数据包过滤，而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。

　　因为这种体系结构允许数据包从因特网向内部网的移动，所以，它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。话说回来，实际上双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败（因为这种失败类型是完全出乎预料的，不大可能防备黑客侵袭）。进而言之，保卫路由器比保卫主机较易实现，因为它提供非常有限的服务组。多数情况下，被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。

　　然而，比较其它体系结构，如在下面要讨论的屏蔽子网体系结构也有一些缺点。主要的是如果侵袭者没有办法侵入堡垒主机时，而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下，路由器同样出现一个单点失效。如果路由器被损害，整个网络对侵袭者是开放的。