需要指出的是,與存儲以及其他的安全產(chǎn)品一樣,防火墻只是確保信息安全的一個必要的技術(shù)環(huán)節(jié)。信息安全涉及到企業(yè)管理制度、員工培訓、業(yè)務(wù)模式等企業(yè)方方面面的問題,遠遠不是一個防火墻可以解決得了的。甚至僅僅從技術(shù)層面來講,信息安全產(chǎn)品還包括反病毒、入侵檢測產(chǎn)品和安全掃描等等。各類產(chǎn)品只有相互協(xié)作,才能有效地從技術(shù)上保證信息安全。例如,一旦網(wǎng)絡(luò)遭受攻擊,則入侵檢測系統(tǒng)應立即報警,并根據(jù)預先定義的策略來啟動某種應急措施,如停止某種服務(wù)或自動修改防火墻的安全策略等。結(jié)合病毒掃描模塊,防火墻可以從二、三層之間或者應用層制止病毒從Internet向內(nèi)部網(wǎng)絡(luò)傳播。
  
  但僅僅有技術(shù)措施是不夠的,必須有相應的管理制度和執(zhí)行手段來保證企業(yè)的安全策略實施。例如,如果企業(yè)設(shè)置了嚴密的防火墻,但同時默許員工在企業(yè)內(nèi)部撥號連接外部網(wǎng)絡(luò),則相當于開通了一條不設(shè)防的通途,給企業(yè)信息安全造成極大威脅。如果系統(tǒng)管理員隨意將管理員口令告訴別人,則安全機制可能會形同虛設(shè)。不能允許可能無法約束的例外存在,是企業(yè)安全策略和防火墻設(shè)置的一個基本原則。
  
  Internet自誕生以來一直是自由多于秩序的世界,企業(yè)必須對網(wǎng)絡(luò)的使用加以約束。安全與方便在很大程度上是對立的,一款好的防火墻產(chǎn)品,能夠有效地幫助用戶處理好這個矛盾,輔助企業(yè)安全策略順利實施。
  
  防火墻之所以重要,是因為防火墻把守著網(wǎng)絡(luò)信息安全的第一道關(guān)口,也是形勢最有利的一道關(guān)口,防火墻在整個網(wǎng)絡(luò)信息安全中起著基礎(chǔ)作用。
  
  NAT的使用
  網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation,NAT)技術(shù)已經(jīng)受到了多數(shù)防火墻產(chǎn)品的支持。按照所轉(zhuǎn)換IP地址的不同,NAT主要可分為兩類。改變源IP地址的,稱為源網(wǎng)絡(luò)地址轉(zhuǎn)換(Source NAT),用來屏蔽內(nèi)部網(wǎng)絡(luò)的保留IP地址,實現(xiàn)日漸捉襟見肘的IP地址資源的共享應用。而改變目的IP地址稱為目的網(wǎng)絡(luò)地址轉(zhuǎn)換(Destination NAT),用來實現(xiàn)Internet對內(nèi)部網(wǎng)絡(luò)的訪問,通常的應用形式為端口轉(zhuǎn)發(fā)(Port Forwarding)。這兩種技術(shù)都在防火墻中得到了普遍應用。源網(wǎng)絡(luò)地址轉(zhuǎn)換具有與生俱來的拒絕來自Internet主動連接的能力,而目的網(wǎng)絡(luò)地址轉(zhuǎn)換能夠使內(nèi)部網(wǎng)絡(luò)中的服務(wù)器可以接受來自Internet的訪問,同時受到防火墻的監(jiān)控。在防火墻中,兩種NAT通常都與包過濾功能配合使用。現(xiàn)在在內(nèi)部網(wǎng)絡(luò)中使用真實IP地址的用戶已經(jīng)不多了,絕大多數(shù)用戶會使用不參與Internet路由的保留IP地址。因此在這次測試中,我們使用了NAT方式。
  
  軟件和硬件的區(qū)別
  關(guān)于軟硬件防火墻孰優(yōu)孰劣,已經(jīng)有不少爭論。甚至關(guān)于兩者的區(qū)分也有很多不同的觀點,比如,較極端的觀點認為,防火墻歸根到底都是軟件,不存在軟硬的區(qū)別。這些概念的混亂導致用戶在選擇產(chǎn)品時也往往不知所從。根據(jù)主要特點,我們可以把運行在通用系統(tǒng)平臺上的產(chǎn)品看做是軟件防火墻,而運行在專有系統(tǒng)平臺或基于硬件邏輯的產(chǎn)品看做是硬件防火墻。這樣用戶可以比較容易看清兩者各自的優(yōu)勢與不足。硬件防火墻基于專門設(shè)計的系統(tǒng)平臺和優(yōu)化過的硬件,因此往往可以達到較高的效率,雖然用途單一,但使用起來也比較簡單。更重要的是,硬件防火墻基于專門的設(shè)計和優(yōu)化,比較容易保證自身的安全。同時,硬件防火墻的功能往往比較有限,受專有平臺的限制,靈活性欠佳,在升級、修補安全漏洞等方面也不盡如人意。
  
  相比之下,軟件防火墻功能強大,靈活性高,能夠與現(xiàn)有系統(tǒng)緊密集成,但是系統(tǒng)自身的安全不如硬件防火墻容易保證,對系統(tǒng)配置的要求相對較高。因此,用戶選擇哪一種類型的防火墻產(chǎn)品,應充分考慮自身的條件和需求,對系統(tǒng)安全要求較高,自身有一定的實施和維護能力的用戶,比較適于使用軟件防火墻; 而對于對吞吐量要求較高或者應用水平相對較低甚至沒有專職網(wǎng)絡(luò)管理人員的用戶,硬件防火墻是比較好的選擇。需要用戶注意的是,硬件防火墻之間的區(qū)別很大,有些產(chǎn)品可能是基于通用的IA平臺,簡單地將開放源代碼系統(tǒng)進行定制改造后,裝入"黑匣子"中得到的,功能和性能都很有限,用戶在購買時應注意鑒別。
  
  本次我們測試的CheckPoint VPN-1/Firewall-1、Microsoft ISA Server 2000以及Turbo Linux PowerGuard(PowerGuard)等產(chǎn)品都是軟件防火墻。
  
  您的系統(tǒng)安全嗎?
  把機器連接到Internet,就是去接受全世界黑客的考驗,這話毫不為過,甚至可以說,現(xiàn)在Internet骨干容量不斷擴展,正為黑客進行各種攻擊試驗創(chuàng)造了更好的環(huán)境,從這個意義上講,Internet帶寬與系統(tǒng)的安全是成反比的。我們在一臺具有Internet IP的機器上安裝了Black ICE主機防火墻產(chǎn)品,在24小時之內(nèi),Black ICE記錄了來自上百個地址的上千次攻擊,其中包括各種代理掃描、端口掃描、CodeRed和NetBus等后門掃描以及拒絕服務(wù)攻擊。在CodeRed盛行的日子,HTTP服務(wù)器的記錄中充滿著各種變體的CodeRed GET請求,一旦系統(tǒng)被攻陷,馬上會成為黑客隱匿行蹤,進行攻擊試驗的新平臺,成為傳播蠕蟲的傀儡。無論是Windows還是Linux/Unix系統(tǒng),都不可避免地不斷暴露出新的安全漏洞,一旦稍不留心,就有可能被黑客攻擊得手。如果您的機器直接連接在Internet沒有任何防護措施,請不要心存僥幸,請立即安裝個人防火墻或說服您的網(wǎng)絡(luò)管理員為整個網(wǎng)絡(luò)安裝防火墻。
  
  常見的安全誤區(qū)
  除了前面提到的允許員工在企業(yè)撥號上網(wǎng)以外,一個常見的安全誤區(qū)是將防火墻的內(nèi)外網(wǎng)絡(luò)接口接到同一個二層網(wǎng)絡(luò)(例如由二層交換機或沒有對內(nèi)外網(wǎng)劃分VLAN的三層交換機組成的網(wǎng)絡(luò))上。這是非常危險的,這使得內(nèi)、外網(wǎng)的用戶都可以自行設(shè)置IP地址來繞過防火墻,使防火墻形同虛設(shè)。在沒有劃分VLAN的情況下,防火墻內(nèi)外網(wǎng)絡(luò)接口必須接至不同的交換機。另一個常見的安全誤區(qū)是使用IP地址來代替用戶身份驗證。因為在防火墻的設(shè)置中,不為用戶添加用戶名,而通過IP地址控制訪問的方法比較易行,但這是不可取的,即使將IP與MAC地址綁定,用戶也可以通過技術(shù)手段來冒用他人的身份。方便與安全的矛盾,在這里又一次體現(xiàn)出來,我們也又一次看到,實施安全策略是一個系統(tǒng)工程,防火墻僅僅是其中的一個環(huán)節(jié)。

分享到

yajing

相關(guān)推薦