作為近年來(lái)新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，防火墻（FireWall）是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。防火墻是一種被動(dòng)防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此對(duì)內(nèi)部的非法訪問(wèn)難以進(jìn)行有效的控制。因此，防火墻最適合相對(duì)獨(dú)立、與外部網(wǎng)絡(luò)的互聯(lián)途徑有限、網(wǎng)絡(luò)服務(wù)種類相對(duì)集中的單一網(wǎng)絡(luò)。事實(shí)上，在Internet上的Web網(wǎng)站中，超過(guò)1／3的Web網(wǎng)站都由某種形式的防火墻加以保護(hù)，這是對(duì)黑客防范較嚴(yán)、安全性較強(qiáng)的一種方式，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。任何對(duì)關(guān)鍵服務(wù)器的訪問(wèn)都必須通過(guò)代理服務(wù)器，這雖然降低了服務(wù)器的交互能力，但保證了網(wǎng)絡(luò)安全。

1.防火墻的基本概念

在計(jì)算機(jī)領(lǐng)域，所謂“防火墻”，實(shí)際上是一種隔離控制技術(shù)，即在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn)。換句話說(shuō)，防火墻是一道門(mén)檻，控制進(jìn)出兩個(gè)方向的通信。簡(jiǎn)單地說(shuō)，防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的Internet之間）的軟件或硬件設(shè)備的組合。它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問(wèn)，以達(dá)到保護(hù)系統(tǒng)安全的目的。

2.防火墻的功能

防火墻位于網(wǎng)絡(luò)的邊界，是網(wǎng)絡(luò)安全的第一道防線，是關(guān)卡點(diǎn)，可強(qiáng)迫所有進(jìn)出信息都通過(guò)這個(gè)唯一的檢查點(diǎn)，便于集中實(shí)施強(qiáng)制的網(wǎng)絡(luò)安全策略，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)，其作用如圖2?3所示。

圖2?3 防火墻的作用

防火墻的主要作用包括過(guò)濾信息、管理進(jìn)程、封堵服務(wù)、審計(jì)監(jiān)測(cè)等。具體表現(xiàn)在以下幾個(gè)方面：

（1）保護(hù)網(wǎng)絡(luò)上脆弱的服務(wù)。通過(guò)過(guò)濾掉一些先天就不安全的服務(wù)，防火墻能極大地增強(qiáng)網(wǎng)絡(luò)的安全性，降低內(nèi)部網(wǎng)絡(luò)中主機(jī)被攻擊的危險(xiǎn)性。例如，防火墻能防止諸如NFS服務(wù)出入內(nèi)部網(wǎng)絡(luò)，這就避免了外部網(wǎng)絡(luò)攻擊者探測(cè)這些服務(wù)進(jìn)而實(shí)施攻擊的可能性，同時(shí)又允許這種服務(wù)在較小范圍內(nèi)（如內(nèi)部網(wǎng)絡(luò)）使用，這既減少了危險(xiǎn)性，又減少了安全管理的負(fù)擔(dān)。

（2）集中和簡(jiǎn)化安全管理。網(wǎng)絡(luò)的安全性在防火墻上得到了加固，而不是分散在內(nèi)部網(wǎng)絡(luò)的各個(gè)主機(jī)上。這樣相對(duì)來(lái)說(shuō)，使用防火墻可以節(jié)省一個(gè)機(jī)構(gòu)在網(wǎng)絡(luò)安全管理方面的開(kāi)支。因?yàn)樗谢虼蠖鄶?shù)修正的軟件和附加的安全軟件都可以安裝在防火墻上，而不需要分布在內(nèi)部網(wǎng)絡(luò)的許多主機(jī)上。

（3）方便監(jiān)視網(wǎng)絡(luò)的安全性。對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，重要的問(wèn)題并不是網(wǎng)絡(luò)是否受到攻擊，而是何時(shí)會(huì)受到攻擊。防火墻可以在網(wǎng)絡(luò)受到攻擊時(shí)報(bào)警，提醒網(wǎng)絡(luò)管理員及時(shí)響應(yīng)并審查常規(guī)記錄。

（4）增強(qiáng)網(wǎng)絡(luò)的保密性。所謂保密性，是指保證信息不會(huì)被非法泄露與擴(kuò)散。保密性在一些網(wǎng)絡(luò)中是首先要考慮的問(wèn)題，因?yàn)橥ǔ１徽J(rèn)為無(wú)害的信息實(shí)際上包含著對(duì)攻擊者有用的線索。一些網(wǎng)絡(luò)使用防火墻來(lái)阻止諸如Finger和DNS服務(wù)。

（5）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控、審計(jì)。如果通過(guò)防火墻訪問(wèn)內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，防火墻就會(huì)記錄訪問(wèn)情況，并提供關(guān)于網(wǎng)絡(luò)使用的價(jià)值的統(tǒng)計(jì)信息。當(dāng)可疑活動(dòng)發(fā)生時(shí)，防火墻會(huì)以適當(dāng)方式報(bào)警，同時(shí)也能提供關(guān)于網(wǎng)絡(luò)和防火墻本身受到的探測(cè)和攻擊的細(xì)節(jié)。

（6）強(qiáng)化網(wǎng)絡(luò)安全策略。防火墻提供了實(shí)現(xiàn)和加強(qiáng)網(wǎng)絡(luò)安全策略的手段。實(shí)際上，防火墻向用戶提供了對(duì)服務(wù)的訪問(wèn)控制方式，起到了強(qiáng)化網(wǎng)絡(luò)對(duì)用戶訪問(wèn)控制策略的作用。

3.防火墻的局限性

前面敘述了防火墻的優(yōu)點(diǎn)，但是防火墻也存在著以下一些缺陷和不足：

（1）防火墻不能防范惡意的知情者。防火墻可以禁止用戶通過(guò)網(wǎng)絡(luò)傳輸機(jī)密信息，但如果用戶通過(guò)網(wǎng)絡(luò)，比如將數(shù)據(jù)復(fù)制到磁盤(pán)或磁帶上，然后放在公文包中帶出去，或者入侵者是在防火墻內(nèi)部，那么防火墻是無(wú)能為力的。內(nèi)部用戶可以不通過(guò)防火墻而偷竊數(shù)據(jù)、破壞硬件和軟件等。對(duì)于來(lái)自內(nèi)部的威脅只能通過(guò)加強(qiáng)管理來(lái)防范，如主機(jī)安全防范和用戶教育等。

（2）防火墻不能防范不通過(guò)它的連接。防火墻能有效地防止通過(guò)它進(jìn)行信息傳輸?shù)倪B接，但它不能防止不通過(guò)它的信息傳輸。例如，如果允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。

（3）防火墻不能防備全部的威脅。防火墻被用來(lái)防備已知的威脅，一個(gè)很好的防火墻設(shè)計(jì)方案可以防備新的威脅，但沒(méi)有一個(gè)防火墻能自動(dòng)地防御所有新的威脅。

4.防火墻的選擇和使用

防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手段得到了廣泛的應(yīng)用，有多種實(shí)現(xiàn)方式，但正確選用、合理配置防火墻并不容易，必須遵循一定的原則并按照合理的步驟進(jìn)行。

1）防火墻設(shè)計(jì)應(yīng)滿足的基本原則

（1）由內(nèi)到外或由外到內(nèi)的業(yè)務(wù)流均經(jīng)過(guò)防火墻；

（2）只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過(guò)防火墻；

（3）盡可能控制外部用戶訪問(wèn)專用網(wǎng)，應(yīng)當(dāng)嚴(yán)格限制外部人員進(jìn)入專用網(wǎng)；

（4）具有足夠的透明性，保證正常業(yè)務(wù)流通；

（5）具有抗穿透攻擊能力，強(qiáng)化記錄、審計(jì)和報(bào)警功能。

2）防火墻設(shè)計(jì)的步驟

建立合理的防護(hù)系統(tǒng)，配置有效的防火墻應(yīng)遵循以下幾個(gè)步驟：

（1）風(fēng)險(xiǎn)分析；

（2）需求分析；

（3）確立安全政策；

（4）選擇正確的防護(hù)手段，并使之與安全政策保持一致。

目前的防火墻產(chǎn)品分為個(gè)人、政府部門(mén)和企業(yè)使用的產(chǎn)品，常見(jiàn)的有Checkpoint、Fire?wall－1、NetScreenFirewall、NAIGauntlet防火墻。