目錄

1.防火墻是什么?

2.防火墻設(shè)備

3.防火墻功能

1)出色的控制能力，過濾掉不安全服務(wù)

2)過濾非法用戶和訪問特殊站點

3)它能夠?qū)W(wǎng)絡(luò)存取和訪問進行監(jiān)控審計

4.防火墻的局限

(1)防火墻有可能是可以繞過的

(2)防火墻不能防止內(nèi)部出賣性攻擊或者內(nèi)部誤操作

(3)防火墻不能防止對開放端口或服務(wù)的攻擊

(4)防火墻可以阻斷攻擊，但是不能消滅攻擊源

(5)防火墻本身也會出現(xiàn)問題，也會遭到攻擊

---

大家在上網(wǎng)的過程中應(yīng)該都見過這樣一個安全提示:windows防火墻已阻止此程序。

1.防火墻是什么?

在古代建筑中，防火墻(Fire Wall)是用來防止火災(zāi)蔓延的防護構(gòu)筑物。而在計算機網(wǎng)絡(luò)中，防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外界(如因特網(wǎng))之間的一道保 護屏障，用來保護內(nèi)部網(wǎng)免受外部網(wǎng)上非法用戶的入侵，這是目前實現(xiàn)網(wǎng)絡(luò)安全最有效的 措施之一。

安裝防火墻以后，所有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻，防火墻 允許授權(quán)“同意”的用戶和數(shù)據(jù)進入到內(nèi)部網(wǎng)絡(luò)中，同時將“不同意”的用戶和數(shù)據(jù)拒之 門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問內(nèi)部網(wǎng)絡(luò)。

在電影《防火墻》中，盜匪利用綁架電腦專家杰克的家人，威脅杰克利用自己的電腦 強項，來突破杰克自己編寫的防火墻程序，以達到從銀行的賬戶上竊取客戶資料、獲得金錢的非法目的。如果杰克不幫助盜匪通過防火墻，盜匪就無法訪問銀行內(nèi)部的網(wǎng)絡(luò)。

2.防火墻設(shè)備

防火墻的發(fā)展歷經(jīng)三代:簡單包過濾、應(yīng)用代理、狀態(tài)檢測防火墻，目前最新的主流技術(shù)是具有數(shù)據(jù)流過濾功能的防火墻。

早期的防火墻一般是直接安裝在計算機上的一套軟件，是一個應(yīng)用軟件，代表的產(chǎn)品 有checkpoint公司的防火墻，還有一些用于個人計算機的防火墻，如瑞星、360ARP，金山網(wǎng)盾等。

后來采用PC硬件結(jié)構(gòu)，基于Unix、LINUX等操作系統(tǒng)內(nèi)核開發(fā)安全防護的一些基本特性所構(gòu)成的硬件防火墻，是軟件和硬件的結(jié)合體，如天融信公司的早期防火墻產(chǎn)品。

現(xiàn)在則是采用獨立設(shè)計的asic芯片，基于專門的硬件平臺，沒有操作系統(tǒng)，在CPU, 電源、風(fēng)扇、總線、擴展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品得到最優(yōu)的處理性能，比 較有名的是華為、思科、H3C、juniper等公司的防火墻產(chǎn)品

3.防火墻功能

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，入侵者必須首先穿越防 火墻的安全防線，才能接觸目標計算機。

1)出色的控制能力，過濾掉不安全服務(wù)

防火墻作為一個阻塞點、控制點，能封鎖所有的信息流，通過服務(wù)控制(確定哪些服 務(wù)可以被訪問)、方向控制(對于特定的服務(wù)，可以確定允許哪個方向能夠通過防火 墻)、用戶控制(根據(jù)用戶來控制對服務(wù)的訪問)、行為控制(控制一個特定的服務(wù)的行 為)，對希望提供的安全服務(wù)逐項開放，把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼 殺在萌芽之中，從而極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。

2)過濾非法用戶和訪問特殊站點

通過以防火墻為中心的網(wǎng)絡(luò)安全方案配置，能將所有安全軟件(口令、加密、身份認 證、審計等)配置在防火墻上，以強化網(wǎng)絡(luò)安全策略。如是否允許所有用戶和站點對內(nèi)部 網(wǎng)絡(luò)進行訪問，是否按照IP地址對未授權(quán)的用戶或不信任的站點進行逐項屏蔽。

3)它能夠?qū)W(wǎng)絡(luò)存取和訪問進行監(jiān)控審計

所有的外部訪問都經(jīng)過防火墻時，防火墻就能記錄下這些訪問，為網(wǎng)絡(luò)使用情況提供統(tǒng) 計數(shù)據(jù)。當發(fā)生可疑信息時防火墻能發(fā)出報警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN(虛擬專用網(wǎng))。

4.防火墻的局限

防火墻并不是萬能的

(1)防火墻有可能是可以繞過的

防火墻一旦被攻擊者擊穿或者繞過，防火墻就失去作用了。實際上由于防火墻依賴于口 令，所以防火墻不能防范黑客對口令的攻擊。幾年前，兩個在校學(xué)生編了一個簡單程序， 通過對波音公司的口令字的排列組合試出了開啟內(nèi)部網(wǎng)的要求，從內(nèi)部網(wǎng)中搞到了一張授 權(quán)的波音公司的口令表，將口令一一出賣。所以美國馬里蘭州的一家計算機安全咨詢機構(gòu) 負責(zé)人諾爾.馬切特說:“防火墻不過是一道較矮的籬笆墻”。黑客像耗子一樣，能從這 道籬笆墻上的窟窿中自由出入。

(2)防火墻不能防止內(nèi)部出賣性攻擊或者內(nèi)部誤操作

顯然，當內(nèi)部人員將敏感數(shù)據(jù)或者文件復(fù)制到U盤等移動設(shè)備上提供給外部攻擊者時，防 火墻是無能為力的。當內(nèi)部一個帶有木馬的機器主動和攻擊者連接，這時像鐵壁一樣的防 火墻瞬間就會被破壞掉。此外，內(nèi)部網(wǎng)中各個主機之間的攻擊行為，防火墻也只有如旁觀 者一樣冷視而愛莫能助。

(3)防火墻不能防止對開放端口或服務(wù)的攻擊

如WEB服務(wù)要開放80端口，MAIL服務(wù)要開放25端口，這時防火墻不能防止對80端口、25端 口的攻擊。

(4)防火墻可以阻斷攻擊，但是不能消滅攻擊源

防火墻是一種被動防衛(wèi)機制，不是主動安全機制。因特網(wǎng)上的各種攻擊源源不斷，設(shè)置得 當?shù)姆阑饓梢宰钃跛麄?#xff0c;但是無法消除這些攻擊源，這些攻擊仍然會源源不斷的向防火 墻發(fā)出攻擊嘗試。

(5)防火墻本身也會出現(xiàn)問題，也會遭到攻擊

防火墻不能干涉還沒有到達防火墻的數(shù)據(jù)包，如果這個數(shù)據(jù)包是攻擊防火墻的，只有已經(jīng) 發(fā)生了攻擊，防火墻才可以對抗。并且防火墻也是一個系統(tǒng)，也有自己的缺陷，也會受到 攻擊，這是許多防御措施就會失靈的。

是的，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但不代表設(shè)置了防火墻，就一定能保證網(wǎng)絡(luò)絕 對安全，但是設(shè)置得當?shù)姆阑饓?#xff0c;至少會使得網(wǎng)絡(luò)更為堅固一些，并能提供更多的攻擊信息供分析用。

“真正的安全是一種意識，而非技術(shù)!”? ? ?請牢記這句話。