防火墙 怎么防

2003年12月02日 13:01   来源：    作者：ccgpnet    字号： ¦

●          本报记者 朱　毅 综合报道
互联网信息技术的发展，使得众多企业组织的内部网络开始连接到inter-net上，这样企业在实现访问外部世界并与之通信的同时，外部世界也同样可以访问企业内部网络并与之交互。这时为了保证企业组织的信息安全，企业就必须对其重要信息进行保护。
为了安全起见，企业开始在该网络和internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是提供扼守本网络的安全和审计的惟一关卡，可阻断来自外部通过网络对本网络的威胁和入侵。
这个屏障的作用与古时寓所的防火砖墙有类似之处，因此就被形象地称作“防火墙”。
防火墙通常处于企业的内部局域网与internet之间，可限制internet用户对内部网络的访问以及管理内部用户访问外界的权限。换言之，防火墙可以很好地保护专用和封闭的网络或网段，例如企业内部的局域网络。
认识防火墙
网络安全专家赛门铁克认为，防火墙是网络安全政策的有机组成部分，一个好的防火墙能够通过控制和检测从互联网或外部网络试图进入受保护网络或网段的所有信息和访问行为，来实现对网络安全的有效管理。
从总体上看，防火墙应具有以下5大基本功能：
● 过滤进、出网络的数据；
● 管理进、出网络的访问行为；
● 封堵某些禁止的业务；
● 记录通过防火墙的信息内容和活动；
● 对网络攻击进行检测和报警。
赛门铁克中国区技术经理郭训平说，实现防火墙功能的技术包括3大类型：包过滤（pf）、状态检测防火墙、应用代理防火墙。根据是否允许两侧通信主机直接建立链路，应用代理防火墙又可以分为网关和代理两种。目前在市场上流行的防火墙大多属于包过滤（pf）级防火墙。
应用代理防火墙
说到安全细化分析，应用代理的防火墙最好，应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。该类型防火墙能够进行更加细化复杂的安全访问控制，并做精细的注册和稽核。包过滤（pf）、状态检测防火墙则只能检测数据包的包头内容，不能检测其他内容，
状态检测防火墙
就速度而言，状态检测防火墙和包过滤具有最佳的数据流通量。而应用代理防火墙由于对信息的检查过于严格，所以最弱。
这就是说，如果您对网络速度的要求高的话，比如说电信就应该首选包过滤防火墙，而公安、财政等对安全要求高的系统则要应用代理防火墙。
3com的技术人员告诉记者，以上提到的都是边界防火墙，它只能防止外部的入侵，仍不能防止心怀不轨的员工在网络内部从事盗窃破坏活动。因此，内部威胁仍然是政府面临的一个严重危险，特别是政府设施通常要对公众实行开放。
为了在政府局域网内部实现他们需要的纵深安全性，为了真正提供强有力的保护，政府应该在设备级部署防火墙。例如，3com的嵌入式防火墙就是安装到服务器、台式系统、笔记本电脑等设备的网络接口卡（nic）和pc卡，其目的是提供防火墙功能。它们只允许设备访问那些它们拥有授权的服务器和应用系统。因此，这种创新模式允许政府严格执行安全策略，同时又有利于政府雇员处理各种事务和共享数据。
萝卜白菜各有所爱
运用防火墙的单位成百上千，但不外乎3种应用环境：小型办公室、需求一般的大中型办公室、需求复杂的大型办公室。
小型办公室
小型办公室要管理的用户和机器显然比较少。它们通常不大容易成为攻击目标。而且只需要访问极少量的因特网服务：电子邮件、web以及有时需要的流媒体。在这种情形下，几乎任何防火墙都能够胜任。因为一般说来，办公室规模越小，用户数就越少，面临的风险也就越低。
因此，就小型办公室而言，简单的包过滤防火墙就足够了，譬如许多宽带路由器（其中包括d-link、3com、netgear和linksys等公司出品的宽带路由器）随机自带的那些防火墙。另外，watch-guard的firebox soho、赛门铁克的firewall 100、global科技公司的gnat、netscreen以及sonicwall soho等防火墙也完全适用于这种环境。check point和cisco分别提供小型办公室版本的firewall-1和pix，不过价格要贵一点。
需求一般的大中型办公室
应用状态检测防火墙，如cyberguard、firebox、pix、netscreen、si