防火墙基本知识(2)

　　一般来说，防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部，但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话，它可以保护你免受网络上任何类型的攻击。

　　防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”，在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同，防火墙可以发挥一种有效的“电话监听”（Phone tap）和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能；它们经常可以向管理员提供一些情况概要，提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。

　　4．防火墙不能防范什么？

　　防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是，对于这些担心来说，一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧，它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中，却安装了一扇六英尺厚的钢门，会被认为很愚蠢。然而，有许多机构购买了价格昂贵的防火墙，但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用，防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实，能够反映出整个网络安全的水平。例如，一个保存着超级机密或保密数据的站点根本不需要防火墙：首先，它根本不应当被接入到Internet上，或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。

　　防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息，但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介！防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程（social engineering）的好目标；如果攻击者能找到内部的一个“对他有帮助”的雇员，通过欺骗他进入调制解调器池，攻击者可能会完全绕过防火墙打入你的网络。