防火牆介紹（2）(轉)

防火牆介紹（2）(轉)[@more@]

一個防火牆在一個被認為是安全和可信的內部網路和一個被認為是不

那麼安全和可信的外部網路(通常是Internet)之間提供一個封鎖工具。

在使用防火牆的決定背後, 潛藏著這樣的推理: 假如沒有防火牆, 一個網

絡就暴露在不那麼安全的Internet諸協議和設施面前, 面臨來自

Internet其他主機的探測和攻擊的危險。在一個沒有防火牆的環境裡,

網路的安全性只能體現為每一個主機的功能, 在某種意義上, 所有主機必

須通力合作, 才能達到較高程度的安全性。網路越大, 這種較高程度的安

全性越難管理。隨著安全性問題上的失誤和缺陷越來越普遍, 對網路的入

侵不僅來自高超的攻擊手段, 也有可能來自配置上的低階錯誤或不合適的

口令選擇。因此, 防火牆的作用是防止不希望的、未授權的通訊進出被保

護的網路, 迫使單位強化自己的網路安全政策。 一個防火牆系統通常由

遮蔽路由器和代理伺服器組成。遮蔽路由器是一個多埠的IP路由器, 它

透過對每一個到來的IP包依據一組規則進行檢查來判斷是否對之進行轉

發。遮蔽路由器從包頭取得資訊, 例如協議號、收發報文的IP地址和埠

號, 連線標誌以至另外一些IP選項, 對IP包進行過濾。　 代理伺服器是

防火牆系統中的一個伺服器程式, 它能夠代替網路使用者完成特定的TCP/IP

功能。一個代理伺服器本質上是一個應用層的閘道器, 一個為特定網路應用

而連線兩個網路的閘道器。使用者就一項TCP/IP應用, 比如Telnet或者ftp,

同代理伺服器打交道, 代理伺服器要求使用者提供其要訪問的遠端主機名。

當使用者答覆並提供了正確的使用者身份及認證資訊後, 代理伺服器連通遠端

主機, 為兩個通訊點充當中繼。整個過程可以對使用者完全透明。使用者提供

的使用者身份及認證資訊可用於使用者級的認證。最簡單的情況是: 它只由用

戶標識和口令構成。但是, 如果防火牆是透過Internet可訪問的, 我們

推薦使用更強的認證機制,比如一次性口令或挑戰-回應式系統。 遮蔽路

由器的優點是簡單和低(硬體)成本。其缺點關係到正確建立包過濾規則比

較困難、遮蔽路由器的管理成本、還有使用者級身份認證的缺乏。路由器生

產商們正在著手解決這些問題。特別值得注意的是, 它們正在開發編輯包

過濾規則的圖形使用者介面。他們也在制訂標準的使用者級身份認證協議, 來

提供遠端身份認證撥入使用者服務(REDIUS)。 代理伺服器的優點是使用者級

的身份認證、日誌記錄和帳號管理。其缺點關係到這樣一個事實: 要想提

供全面的安全保證, 就要對每一項服務都建立對應的應用層閘道器。這個事

實嚴重地限制了新應用的採納。最近, 一個名叫SOCKS的包羅永珍的代理

伺服器問世了。SOCKS主要由一個執行在防火牆系統上的代理伺服器軟體

包和一個連結到各種網路應用程式的庫函式包組成。這樣的結構有利於新

應用的掛接。 遮蔽路由器和代理伺服器通常組合在一起構成混合系統,

其中遮蔽路由器主要用來防止IP欺騙攻擊。目前最廣泛採用的配置是

Dual-homed防火牆, 被遮蔽主機型防火牆, 以及被遮蔽子網型防火牆。

　 儘管防火牆已經在Internet業界得到了廣泛的應用, 關於防火牆的話

題仍然十分敏感。防火牆的擁護者們把防火牆看成是一種重要的新型安全

措施, 因為它把諸多安全功能集中到一點上, 大大簡化了安裝、配置和管

理的手續。許多公司把防火牆當做自己單位駐Internet的大使館, 當做

關於其專案、產品、服務等公共資訊的倉庫。從美國生產廠家的觀點來

看, 防火牆技術是很有意義的, 因為它不用加密, 因而在出口上不受限

制。但是, 目前提供的大多數防火牆產品確實支援這種或那種的IP層加密

功能, 從而在這方面受到美國出口政策的控制。防火牆的另一個特色是它

不限於TCP/IP協議, 從而不只適用於Internet。 確實, 類似的技術完全

可以用在任何分組交換網路當中, 例如X.25或ATM都可以。防火牆的批評

者們一般關注的是防火牆的使用不便之處, 例如: 需要多次登入及其他不

受約束的機制, 影響Internet的使用甚至影響Internet的生存。他們聲

稱: 防火牆給人制造一種虛假的安全感, 導致在防火牆內部放鬆安全警

惕。　 他們也注意到, 許多攻擊是內部犯罪, 這是任何基於隔離的防範

措施都無能為力的。同樣, 防火牆也不能解決進入防火牆的資料帶來的所

有安全問題。如果使用者抓來一個程式在本地執行, 那個程式很可能就包含

一段惡意的程式碼, 或洩露敏感資訊, 或對之進行破壞。隨著Java、

JavaScript和Active X控制元件及其相應瀏覽器的大量持續推廣, 這一問題

變得更加突出和尖銳。防火牆的另一個缺點是很少有防火牆製造商推出簡

便易用的 "監獄看守 "型的防火牆, 大多數的產品還停留在需要網路管

理員手工建立的水平上。當然, 這一方面馬上會出現重大的變化。 儘管

存在這些爭議, 防火牆的擁護者和批評者都承認, 防火牆不能替代牆內的

謹慎的安全措施。防火牆在當今Internet世界中的存在是有生命力的。它

是一些對高階別的安全性有迫切要求的機構出於實用的原因建造起來的,

因此, 它不是解決所有網路安全問題的萬能藥方, 而只是網路安全政策和

策略中的一個組成部分