如果你希望从本版中学到知识的话,请进来(防火墙)

防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户，认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢？以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比，来阐述为什么用户网络中有了路由器还需要防火墙。

　　一、两种设备产生和存在的背景不同

　　1、两种设备产生的根源不同

　　路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。

　　防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个（一系列）数据包是否应该通过、通过后是否会对网络造成危害。

　　2、根本目的不同

　　路由器的根本目的是：保持网络和数据的“通”。

　　防火墙根本的的目的是：保证任何非允许的数据包“不通”。

　二、核心技术的不同

　　Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。

　　一个最为简单的应用:企业内网的一台主机，通过路由器对内网提供服务（假设提供服务的端口为tcp 1455）。为了保证安全性，在路由器上需要配置成:外-〉内 只允许client访问 server的tcp 1455端口，其他拒绝。

　　针对现在的配置，存在的安全脆弱性如下:

　　1、IP地址欺骗（使连接非正常复位）

　　2、TCP欺骗（会话重放和劫持）

　　存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的脆弱性。同时，防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。

　　虽然，路由器的“Lock-and-Key”功能能够通过动态访问控制列表的方式，实现对用户的认证，但该特性需要路由器提供Telnet服务，用户在使用使也需要先Telnet到路由器上，使用起来不很方便，同时也不够安全（开放的端口为黑客创造了机会）。

三、安全策略制定的复杂程度不同

　　路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。

　　防火墙的默认配置既可以防止各种攻击，达到既用既安全，安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置简单、出错率低。

　　四、对性能的影响不同

　　路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器的CPU和内存的需要都非常大，而路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。

　　防火墙的硬件配置非常高（采用通用的INTEL芯片，性能高且成本低），其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。

　　由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。

五、审计功能的强弱差异巨大

　　路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器（如syslog，trap）等来完成对日志、事件的存储；路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言；路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。


　　六、防范攻击的能力不同

　　对于像Cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级IOS为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本，而且很多厂家的路由器不具有这样的高级安全功能。可以得出：

　　·具有防火墙特性的路由器成本 > 防火墙 + 路由器

　　·具有防火墙特性的路由器功能 < 防火墙 + 路由器

　　·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器

　　综上所述，可以得出结论：用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准，决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求！

　　即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必需的和必要的；如果用户的环境、应用比较复杂，那么防火墙将能够带来更多的好处，防火墙将是网络建设中不可或缺的一部分，对于通常的网络来说，路由器将是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。

RedHat Linux 为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网络之间，用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。
为你的系统选择恰当的安全级别。

「高级」

如果你选择了「高级」 ，你的系统就不会接受那些没有被你具体指定的连接（除了默认设置外）。只有以下连接是默认允许的：

DNS回应

DHCP — 任何使用 DHCP 的网络接口都可以被相应地配置。

如果你选择「高级」，你的防火墙将不允许下列连接：

1.活跃状态FTP（在多数客户机中默认使用的被动状态FTP应该能够正常运行。）

2.IRC DCC 文件传输

3.RealAudio

4.远程 X 窗口系统客户机

如果你要把系统连接到互联网上，但是并不打算运行服务器，这是最安全的选择。如果需要额外的服务，你可以选择 「定制」 来具体指定允许通过防火墙的服务。

注记:如果你在安装中选择设置了中级或高级防火墙，网络验证方法（NIS 和 LDAP）将行不通。

「中级」

如果你选择了「中级」，你的防火墙将不准你的系统访问某些资源。访问下列资源是默认不允许的：

1.低于1023 的端口 — 这些是标准要保留的端口，主要被一些系统服务所使用，例如： FTP 、 SSH 、 telnet 、 HTTP 、和 NIS 。

2.NFS 服务器端口（2049）— 在远程服务器和本地客户机上，NFS 都已被禁用。

3.为远程 X 客户机设立的本地 X 窗口系统显示。

4.X 字体服务器端口（ xfs 不在网络中监听；它在字体服务器中被默认禁用）。

如果你想准许到RealAudio之类资源的访问，但仍要堵塞到普通系统服务的访问，选择 「中级」 。你可以选择 「定制」 来允许具体指定的服务穿过防火墙。

注记:如果你在安装中选择设置了中级或高级防火墙，网络验证方法（NIS 和 LDAP）将行不通。

「无防火墙」

无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。建议你只有在一个可信任的网络（非互联网）中运行时，或者你想稍后再进行详细的防火墙配置时才选此项。

选择 「定制」 来添加信任的设备或允许其它的进入接口。

「信任的设备」

选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通；它不受防火墙规则的限制。例如，如果你在运行一个局域网，但是通过PPP拨号连接到了互联网上，你可以选择「eth0」，而后所有来自你的局域网的交通将会被允许。把「eth0」选为“信任的”意味着所有这个以太网内的交通都是被允许的，但是ppp0接口仍旧有防火墙限制。如果你想限制某一接口上的交通，不要选择它。

建议你不要将连接到互联网之类的公共网络上的设备定为 「信任的设备」 。

「允许进入」

启用这些选项将允许具体指定的服务穿过防火墙。注意：在工作站类型安装中，大多数这类服务在系统内没有被安装。

「DHCP」

如果你允许进入的 DHCP 查询和回应，你将会允许任何使用 DHCP 来判定其IP地址的网络接口。DHCP通常是启用的。如果DHCP没有被启用，你的计算机就不能够获取 IP 地址。

「SSH」

Secure（安全）SHell（SSH）是用来在远程机器上登录及执行命令的一组工具。如果你打算使用SSH工具通过防火墙来访问你的机器，启用该选项。你需要安装openssh-server 软件包以便使用 SSH 工具来远程访问你的机器。

「Telnet」

Telnet是用来在远程机器上登录的协议。Telnet通信是不加密的，几乎没有提供任何防止来自网络刺探之类的安全措施。建议你不要允许进入的Telnet访问。如果你想允许进入的 Telnet 访问，你需要安装 telnet-server 软件包。

「WWW (HTTP)」

HTTP协议被Apache（以及其它万维网服务器）用来进行网页服务。如果你打算向公众开放你的万维网服务器，请启用该选项。你不需要启用该选项来查看本地网页或开发网页。如果你打算提供网页服务的话，你需要安装 httpd 软件包。

启用 「WWW (HTTP)」 将不会为 HTTPS 打开一个端口。要启用 HTTPS，在 「其它端口」 字段内注明。

「邮件 (SMTP)」

如果你需要允许远程主机直接连接到你的机器来发送邮件，启用该选项。如果你想从你的ISP服务器中收取POP3或IMAP邮件，或者你使用的是fetchmail之类的工具，不要启用该选项。请注意，不正确配置的 SMTP 服务器会允许远程机器使用你的服务器发送垃圾邮件。

「FTP」

FTP 协议是用于在网络机器间传输文件的协议。如果你打算使你的 FTP 服务器可被公开利用，启用该选项。你需要安装 vsftpd 软件包才能利用该选项。

「其它端口」

你可以允许到这里没有列出的其它端口的访问，方法是在 「其它端口」 字段内把它们列出。格式为： 端口:协议 。例如，如果你想允许 IMAP 通过你的防火墙，你可以指定 imap:tcp 。你还可以具体指定端口号码，要允许 UDP 包在端口 1234 通过防火墙，输入 1234:udp 。要指定多个端口，用逗号将它们隔开。

窍门:要在安装完毕后改变你的安全级别配置，使用 安全级别配置工具 。 在 shell 提示下键入 redhat-config-securitylevel 命令来启动 安全级别配置工具 。如果你不是根用户，它会提示你输入根口令后再继续。

防火墙已经是目前最成熟的网络安全技术，也是市场上最常见的网络安全产品。在网上Google一下“防火墙”，找到2540000个匹配项;Google一下“firewall”，找到44200000个匹配项。可以想象，防火墙资料之多如汪洋大海。面对这么多的信息，想对防火墙说三道四，还真不容易。目前，网络入侵、网络攻击、网络病毒、垃圾邮件、网络陷阱，网页被篡改的新闻太多，以致于公众对“狼来了”已经麻木、没有反应了。众多的防火墙厂商，琳琅满目的防火墙产品，五花八门的防火墙新技术，充斥着网络安全界。现在网络安全产业，不是用户有什么问题，而是厂商有问题。防火墙技术已经成熟，为广大用户所认可，但是防火墙存在的问题被暴露出来，而且还很严重。用户现在是在看防火墙厂商，看他们怎么办。一位信息中心的老总在一次安全大会上叫板说，我已经买了不少防火墙，别跟我来虚的，跟我说点有新意的东西。现在不缺经费，就缺管用的东西。

　　现在的防火墙技术到底有什么问题?用户到底要什么管用的东西?


　　1、向下看，别老向上看
业界流行的观点是，高性能防火墙是防火墙未来发展的趋势。高性能防火墙简直就是防火墙硬件结构不用X86。而对于高端防火墙的技术实现，不外乎基于NP技术或ASIC芯片技术。NP在网络底层转发和处理数据，可二次开发，但性能比ASIC差一点。ASIC技术难度大，很难开发，但性能好一点。NP和ASIC还没有争论完，有些聪明的厂商已经找到诀窍，推出NP+ASIC的综合方案，总算找到“最佳”的搭配方案。至于工控机架构，明眼人一眼就看出了，搞NP和ASIC的人联手，就说它性能不好，说多了就让它淘汰。

　　真实的情况到底是什么?用户到底是要安全还是要速度?安全和速度可是一对矛盾。在发生安全事故的时候，慢比快安全。如发生相撞事件，行人比骑自行车安全，骑自行车比开汽车安全，开汽车比坐飞机要强。不发生安全事故，当然是效率越高越好，能坐火箭当然不坐飞机。从这个意义上，如果是选择路由器，当然是速度和效率;如果是选择安全设备，要是你是安全负责人的话，选慢的，别选快的。安全总是需要时间来处理，速度越快，效率越高，安全事故发生的时候就越没救。哥仑比亚航天飞机下来的时候出了故障，连人影都找不着;飞机失事，人影还有，就是残缺不全;两个人走路相撞，生气归生气，但基本不会有事。

　　这个道理用户懂，可路由器和交换机已经买了千兆的，怎么办?怎么办，买千兆防火墙!挑不挑NP或ASIC或X86，是你的事。其实，把安全问题放在千兆出口来解决，本身就不是一种理想的选择。能在计算机上解决的，不要交给网络;能在10M口上解决的，不要交给100M;能在100M口上解决的不要交给1000M;如果你还打算把安全问题交给10000M口上去解决，那基本上就是不解决。

　2、向内看，别老向外看

　　来自网络外部的安全问题当然存在。黑客也罢，敌对势力也罢，外部威胁还在。但是现在90%的安全问题在内部，重点在内部，不在外部。病毒发作，往往是内部传染的。扫描，往往是内部的主机干的。要解决内部的问题，现在的防火墙架构形同虚设。一个只防外不管内的防火墙，怎么管内部的安全问题。再说，防火墙也管不着不经过防火墙的流量。

　　现有的防火墙架构是一种粗颗粒度的访问控制，把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求，不能解决内网的安全问题，因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度，总是好事。

　　要说向内看，思科的网络访问控制(NAC)和微软的网络访问保护(NAP)，都在向内看。最近注意到华为也开始向内看。无论是微软还是思科，尽管有各自的算盘，但在向内看这个问题上，倒是达成一致共识。分布式防火墙，全网安全，网格防火墙(Grid Firewall)，这三样也是典型的向内看的安全架构。

　　无论是思科还是其它的公司，都从去年的SARS事件中得到启发。如果网络的某个主机不安全，在没有有效办法去解决的前提下，最好的办法就是隔离。思科说，我从交换机上将其隔离。分布式防火墙说，我在每一个分布式防火墙上把这个IP和MAC给封了。总之，给隔离了。

　　向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度，目前还没有明确的说法。如果能对每一个用户，每一个IP，每一个MAC地址，都进行访问控制，可以肯定这是目前最细颗粒度的访问控制。这样的网络，是一个强制访问控制网络。听听，这个名词，强制访问控制网络(MACNET)，一听就知道是安全的。如果你的网络，每一个用户都有防火墙，每一个IP都有防火墙，每一个MAC地址都有防火墙，你的内网一定相当安全。

3、来实的，别老来虚的

　　防火墙给人的感觉就是没技术。要不然，怎么一下就好几百个防火墙厂商，而且每家的功能都差不多。如今非要说防火墙还有什么技术的话，对其进行DDoS攻击，看看就知道了。Linux的防火墙家家都会，但Linux上的抗DDoS攻击软件的效果不是很好。解决DDoS攻击是防火墙必须解决的问题。俗话说，养兵千日，用兵一时。敌人要打仗，你有什么办法，对抗是唯一的办法。在治理和封堵不能解决问题的情况下，对抗就是最后的办法。

　　前不久看到一则消息，一家国内的厂商的抗DDoS攻击的防火墙，被国内一名技术人员研制出一种专门针对该厂商的DDoS攻击软件。该厂商很生气，对软件的作者进行了谴责。我倒觉得这不是什么坏事，该厂商也很争气，马上给出一个改进版本。这就对了，证明了自己的实力。这才叫打硬仗。那位程序人员也是了得，针对一个公司的产品给出相应的攻击工具，先不管做法对不对，对安全产业肯定会有帮助。

　　别说抗DDoS该怎么做，先给出抗DDoS的防火墙再说。现在网上DDoS的攻击工具多的是，你不用，别人可没说不用，还是测一测比较放心。听说一些安全公司现在都有专门自制的DDoS测试工具，不妨向他们要一个，这也反映一个公司的技术实力。以子之矛攻子之盾，是最好的方法。用别人的矛攻子之盾，也是常见的方法。

　　边界防火墙的发展趋势，现在看来，可能就是一个支持IPS功能和抗DDoS攻击的包过滤防火墙。就这点功能就够了，别的事情，边界防火墙管不好也管不了。