如果你希望从本版中学到知识的话,请进来(防火墙)

4、防火墙也搞“体验式营销”

　　3月25日，金山宣布抛出300万套毒霸的免费下载;3月29日，瑞星发布了下载的“瑞星杀毒软件2005网络版”;江民科技网上下载业务也全面展开，宣布免费杀毒。于是有人询问，什么时候防火墙也能搞搞“免费试用”。

　　网络游戏在中国近两年得到了巨大的成功。从网络游戏中，杀毒厂商悟出了一个全新的软件发展商业模式:那就是利用网络让用户下载自己的软件，再通过网络游戏运营之道改变软件的生产、营销和消费模式。IDC公布的一份研究报告显然支持了杀毒厂商的意见，由于消费者和投资者需求的变化，历史悠久的一次性销售模式被售后不断提供升级服务支持所取代。IDC在这份研究报告中得出结论:至2010年前，大部分软件供应商的主要财务收入将来源于更新许可证而不是永久性许可证。

　　尽管几乎所有的国内厂商都用的是Linux的免费防火墙，但还真没有一个向用户免费提供防火墙的厂商。如果一旦有人免费提供防火墙，还真不知道防火墙市场会变成什么样子。不过有一点可以肯定，就向IDC的报告所说的那样，用户还是需要不断提供升级和安全服务，这些服务还是要收费，可能收的一点也不少。

　　不过，杀毒厂商集体跳向免费服务市场，还是让一些防火墙厂商开始动心。已经有一些厂商的老总开始向业界咨询这类问题。这往往是一个苗头。如果有一天，防火墙厂商也搞免费试用，提供服务来收取费用，对目前市场的影响有多大，只有天知道。
5、规则配置向微软学习

　　要问用户对防火墙最害怕什么?用户一定说最害怕给防火墙配规则。为什么?因为规则配错了，防火墙的功能就不正确，安全出了问题，一定是用户负责。所以用户说，什么都愿意干，就是不愿意配规则。而规则恰恰是防火墙的灵魂，也是防火墙最大的难点。

　　为什么说配规则是防火墙的最大难点?因为单独配一条规则很容易，配多条规则要保证其正确性却很难，因为规则与顺序有关。ABC，ACB，BCA，BAC，CAB，CBA的结果，可能相同，也可能不同，在规则很多的情况下，要检查和验证也很难。当然，如果你只配一条规则，这个问题就不存在。

　　记得一位行业的用户朋友询问，有没有卖安全规则的?如果有卖安全规则的，他就愿意去买规则，这样他就不再担心规则配置错误。到现在为止，确实还没有卖安全规则的。即使一些公司提供安全服务，帮助用户配置一些规则，这同卖规则还是完全不同的两码事。

　　如果有一天，防火墙厂商把安全规则与厂商的防火墙分离，安全规则可能真的成为一个独立的市场。也许那个时候，上面的朋友才能买到安全规则。这一点倒是很像医和药分离的制度，即看病和卖药是完全分开的。医生不准买药。药店不准开处方。如果是处方药，必须要得到医生的处方，药店才能卖。

　　买不到规则，那位朋友还不死心，继续询问有没有验证防火墙规则配置是否正确的验证工具。朋友很失望，唠叨说，怎么不做一个这样的工具?用户都会花钱买这样的工具。

　　在防火墙规则配置的问题上，防火墙厂商应该向微软公司学习。微软公司的一大优点，就是配置和使用简单，而且结果所见即所得。什么时候防火墙厂商能够像微软那样，让防火墙配置和使用简单，那一定是防火墙的发展趋势。

6、防火墙价格向彩电学习

　　防火墙市场的竞争已经白热化，没有理由不打防火墙的价格战。原来老以为打价格战就一定是低端防火墙。现在看来，高端的防火墙也开始价格战。其实价格战没有什么不好，把水份挤干净，总是让用户受益。说白了，价格战一开始，就不是成本定价，而是市场定价。Cisco推出1万元以下的防火墙。国产厂商要打赢思科，一定得推出低价的高端防火墙，才能站稳脚。只有当低价防火墙市场流行以后，安全市场才能高度国产化。

　　从目前国外的市场来看，有PC上的免费个人防火墙，有收费的个人防火墙，有开放源码的免费防火墙(Linux)，也有收服务费的开源防火墙。我们注意到一些国外的防火墙厂商，在美国的价格要比其在国内的价格低的多得多。这种现象显然不正常。

　　最近的一些行业投标中，笔者惊喜地发现防火墙价格正在向彩电学习，这是一个好兆头。说明防火墙市场成熟了。总有人担心，价格低了没有好东西，现在的彩电价格低，东西难道没有原来好?市场这只看不见的手，管用的很。价廉物美，市场才成熟。

防火墙技术现状

　　自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，提出了防火墙的概念，防火墙技术得到了飞速的发展。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展，新一代的功能更强大、安全性更强的防火墙已经问世，这个阶段的防火墙已超出了原来传统意义上防火墙的范畴，已经演变成一个全方位的安全技术集成系统，我们称之为第四代防火墙，它可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。

　　防火墙的定义和描述

　　“防火墙”这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙，用来隔离不同的公司或房间，尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而，多数防火墙里都有一个重要的门，允许人们进入或离开大楼。因此，虽然防火墙保护了人们的安全，但这个门在提供增强安全性的同时允许必要的访问。

　　在计算机网络中，一个网络防火墙扮演着防备潜在的恶意的活动的屏障，并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来，一个防火墙是由一个单独的机器组成的，放置在你的私有网络和公网之间。近些年来，防火墙机制已发展到不仅仅是”firlwall box”，更多提及到的是堡垒主机。它现在涉及到整个从内部网络到外部网络的区域，由一系列复杂的机器和程序组成。简单来说，今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙，需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。

防火墙的任务

　　防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标，而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标

　　实现一个公司的安全策略

　　防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子，也许你的安全策略只需对MAIL服务器的SMTP流量作些限制，那么你要直接在防火墙强制这些策略。

　　创建一个阻塞点

　　防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点，系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。

记录Internet活动

　　防火墙还能够强制日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。

　　限制网络暴露

　　防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查，以限制从外部发动的攻击。
　　防火墙术语

　　在我们继续讨论防火墙技术前，我们需要对一些重要的术语有一些认识

　　网关

　　网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。这个术语是非常常见的，而且在本课会用于一个防火墙组件里，在两个不同的网络路由和处理数据。

　电路级网关

　　电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。有两种方法来实现这种类型的网关，一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。

　　应用级网关

　　应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。

　　包过滤

　　包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包，典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一，在本课后面我们将做详细地讨论。

　代理服务器

　　代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关，虽然电路级网关也可作为代理服务器的一种。

　　网络地址翻译(NAT)

　　网络地址解释是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制，以下地址作为保留地址:

　　10.0.0.0 - 10.255.255.255

　　172.16.0.0 - 172.31.255.255

　　192.168.0.0 - 192.168.255.255

　　如果你选择上述例表中的网络地址，不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。

堡垒主机

　　堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。从堡垒主机的定义我们可以看到，堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。你可以使用单宿主堡垒主机。多数情况下，一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由，反之亦然。在一个应用级的网关里，你想使用的每一个应用程协议都需要一个进程。因此，你想通过一台堡垒主机来路由Email，Web和FTP服务时，你必须为每一个服务都提供一个守护进程。

　　强化操作系统

　　防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性，防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品，包括Axent Raptor(http://www.axent.com)，CheckPoint(w...com)和Network Associates Gauntlet (http://www.networkassociates.com)都...行。如Axent Raptor防火墙就可以安装在Windows NT Server4.0，Solaris及HP-UX操作系统上。理论上来讲，让操作系统只提供最基本的功能，可以使利用系统BUG来攻击的方法非常困难。最后，当你加强你的系统时，还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。

非军事化区域(DMZ)

　　DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立，有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做Service Network，因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。

　　筛选路由器

　　筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的，如Internet。它是对进出内部网络的所有信息进行分析，并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便，但安全性能差，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。

　　阻塞路由器

　　阻塞路由器(也叫内部路由器)保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。

防火墙默认的配置

　　默认情况下，防火墙可以配置成以下两种情况:

　　·拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

　　·允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

　　可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
　　防火墙的一些高级特性

　　今天多数的防火墙系统组合包过滤，电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包，然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时，这三种防火墙类型可能都需要。更高级的防火墙提供额外的功能可以增强你的网络的安全性。尽管不是必需，每个防火墙都应该实施日志记录，哪怕是一些最基本的。

　　认 证

　　防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌(firewall token)，或反向查询一个IP地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP四层的每一层上。多数的代理服务器提供完整的用户帐号数据库。结合使用这些用户帐号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些帐号数据库来提供更详细的日志。