目錄

1.防火墻是什么?

2.防火墻設備

3.防火墻功能

1)出色的控制能力，過濾掉不安全服務

2)過濾非法用戶和訪問特殊站點

3)它能夠對網(wǎng)絡存取和訪問進行監(jiān)控審計

4.防火墻的局限

(1)防火墻有可能是可以繞過的

(2)防火墻不能防止內部出賣性攻擊或者內部誤操作

(3)防火墻不能防止對開放端口或服務的攻擊

(4)防火墻可以阻斷攻擊，但是不能消滅攻擊源

(5)防火墻本身也會出現(xiàn)問題，也會遭到攻擊

---

大家在上網(wǎng)的過程中應該都見過這樣一個安全提示:windows防火墻已阻止此程序。

1.防火墻是什么?

在古代建筑中，防火墻(Fire Wall)是用來防止火災蔓延的防護構筑物。而在計算機網(wǎng)絡中，防火墻是設置在可信任的內部網(wǎng)絡和不可信任的外界(如因特網(wǎng))之間的一道保 護屏障，用來保護內部網(wǎng)免受外部網(wǎng)上非法用戶的入侵，這是目前實現(xiàn)網(wǎng)絡安全最有效的 措施之一。

安裝防火墻以后，所有內部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻，防火墻 允許授權“同意”的用戶和數(shù)據(jù)進入到內部網(wǎng)絡中，同時將“不同意”的用戶和數(shù)據(jù)拒之 門外，最大限度地阻止網(wǎng)絡中的黑客來訪問內部網(wǎng)絡。

在電影《防火墻》中，盜匪利用綁架電腦專家杰克的家人，威脅杰克利用自己的電腦 強項，來突破杰克自己編寫的防火墻程序，以達到從銀行的賬戶上竊取客戶資料、獲得金錢的非法目的。如果杰克不幫助盜匪通過防火墻，盜匪就無法訪問銀行內部的網(wǎng)絡。

2.防火墻設備

防火墻的發(fā)展歷經(jīng)三代:簡單包過濾、應用代理、狀態(tài)檢測防火墻，目前最新的主流技術是具有數(shù)據(jù)流過濾功能的防火墻。

早期的防火墻一般是直接安裝在計算機上的一套軟件，是一個應用軟件，代表的產品 有checkpoint公司的防火墻，還有一些用于個人計算機的防火墻，如瑞星、360ARP，金山網(wǎng)盾等。

后來采用PC硬件結構，基于Unix、LINUX等操作系統(tǒng)內核開發(fā)安全防護的一些基本特性所構成的硬件防火墻，是軟件和硬件的結合體，如天融信公司的早期防火墻產品。

現(xiàn)在則是采用獨立設計的asic芯片，基于專門的硬件平臺，沒有操作系統(tǒng)，在CPU, 電源、風扇、總線、擴展插卡等方面優(yōu)化結構，保證防火墻產品得到最優(yōu)的處理性能，比 較有名的是華為、思科、H3C、juniper等公司的防火墻產品

3.防火墻功能

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，入侵者必須首先穿越防 火墻的安全防線，才能接觸目標計算機。

1)出色的控制能力，過濾掉不安全服務

防火墻作為一個阻塞點、控制點，能封鎖所有的信息流，通過服務控制(確定哪些服 務可以被訪問)、方向控制(對于特定的服務，可以確定允許哪個方向能夠通過防火 墻)、用戶控制(根據(jù)用戶來控制對服務的訪問)、行為控制(控制一個特定的服務的行 為)，對希望提供的安全服務逐項開放，把不安全的服務或可能有安全隱患的服務一律扼 殺在萌芽之中，從而極大地提高內部網(wǎng)絡的安全性。

2)過濾非法用戶和訪問特殊站點

通過以防火墻為中心的網(wǎng)絡安全方案配置，能將所有安全軟件(口令、加密、身份認 證、審計等)配置在防火墻上，以強化網(wǎng)絡安全策略。如是否允許所有用戶和站點對內部 網(wǎng)絡進行訪問，是否按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。

3)它能夠對網(wǎng)絡存取和訪問進行監(jiān)控審計

所有的外部訪問都經(jīng)過防火墻時，防火墻就能記錄下這些訪問，為網(wǎng)絡使用情況提供統(tǒng) 計數(shù)據(jù)。當發(fā)生可疑信息時防火墻能發(fā)出報警，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。

除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系VPN(虛擬專用網(wǎng))。

4.防火墻的局限

防火墻并不是萬能的

(1)防火墻有可能是可以繞過的

防火墻一旦被攻擊者擊穿或者繞過，防火墻就失去作用了。實際上由于防火墻依賴于口 令，所以防火墻不能防范黑客對口令的攻擊。幾年前，兩個在校學生編了一個簡單程序， 通過對波音公司的口令字的排列組合試出了開啟內部網(wǎng)的要求，從內部網(wǎng)中搞到了一張授 權的波音公司的口令表，將口令一一出賣。所以美國馬里蘭州的一家計算機安全咨詢機構 負責人諾爾.馬切特說:“防火墻不過是一道較矮的籬笆墻”。黑客像耗子一樣，能從這 道籬笆墻上的窟窿中自由出入。

(2)防火墻不能防止內部出賣性攻擊或者內部誤操作

顯然，當內部人員將敏感數(shù)據(jù)或者文件復制到U盤等移動設備上提供給外部攻擊者時，防 火墻是無能為力的。當內部一個帶有木馬的機器主動和攻擊者連接，這時像鐵壁一樣的防 火墻瞬間就會被破壞掉。此外，內部網(wǎng)中各個主機之間的攻擊行為，防火墻也只有如旁觀 者一樣冷視而愛莫能助。

(3)防火墻不能防止對開放端口或服務的攻擊

如WEB服務要開放80端口，MAIL服務要開放25端口，這時防火墻不能防止對80端口、25端 口的攻擊。

(4)防火墻可以阻斷攻擊，但是不能消滅攻擊源

防火墻是一種被動防衛(wèi)機制，不是主動安全機制。因特網(wǎng)上的各種攻擊源源不斷，設置得 當?shù)姆阑饓梢宰钃跛麄?#xff0c;但是無法消除這些攻擊源，這些攻擊仍然會源源不斷的向防火 墻發(fā)出攻擊嘗試。

(5)防火墻本身也會出現(xiàn)問題，也會遭到攻擊

防火墻不能干涉還沒有到達防火墻的數(shù)據(jù)包，如果這個數(shù)據(jù)包是攻擊防火墻的，只有已經(jīng) 發(fā)生了攻擊，防火墻才可以對抗。并且防火墻也是一個系統(tǒng)，也有自己的缺陷，也會受到 攻擊，這是許多防御措施就會失靈的。

是的，防火墻是網(wǎng)絡安全的重要一環(huán)，但不代表設置了防火墻，就一定能保證網(wǎng)絡絕 對安全，但是設置得當?shù)姆阑饓?#xff0c;至少會使得網(wǎng)絡更為堅固一些，并能提供更多的攻擊信息供分析用。

“真正的安全是一種意識，而非技術!”? ? ?請牢記這句話。