2.4 防黑防盜不防火的防火墻

1.什么是防火墻

初聽“防火墻”這個(gè)名字，各位可不要往房屋、建筑的安全方面去想，這個(gè)“墻”是一道邏輯墻，而非實(shí)體墻。當(dāng)然，這也的確是一道墻！一道不能擋盜賊卻可以擋黑客，不能防寒暑卻可以保護(hù)內(nèi)網(wǎng)隱私的銅墻鐵壁！

防火墻的作用，就是防止未獲得授權(quán)的數(shù)據(jù)包進(jìn)入私有領(lǐng)地。

一般來說，防火墻是一個(gè)物理盒子，用以協(xié)助人們排查非法進(jìn)入的信息，或者協(xié)助人們過濾掉不必要的信息。總之，它扮演的角色，是防竊聽、防竊取、防黑客。

防火墻可以是一臺(tái)計(jì)算機(jī)，也可以是一臺(tái)路由器。

說它是一臺(tái)計(jì)算機(jī)，是因?yàn)樗鼡碛泻鸵慌_(tái)計(jì)算機(jī)一樣的CPU、操作系統(tǒng)、軟件等，只是它的作用非常單一。

說它是一臺(tái)路由器，是因?yàn)樗邆浠镜穆酚晒δ堋?/p>

防火墻一般情況下至少擁有2至3個(gè)以太網(wǎng)接口，防火墻“串”在互聯(lián)網(wǎng)（外網(wǎng)）和企業(yè)內(nèi)網(wǎng)之間。

防火墻與路由器是同時(shí)代出現(xiàn)的，我們稱最早的防火墻為第一代防火墻，采用了包過濾技術(shù)。

1989年，貝爾實(shí)驗(yàn)室推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

1992年，USC信息科學(xué)院的鮑勃·巴登開發(fā)出了基于動(dòng)態(tài)包過濾技術(shù)的第四代防火墻，后來演變?yōu)槟壳傲餍械摹盃顟B(tài)監(jiān)視技術(shù)”；1994年，以色列的著名防火墻公司CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。

1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，并在其產(chǎn)品中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

前五代防火墻技術(shù)，也稱為傳統(tǒng)防火墻，它們采用逐一匹配方法，計(jì)算量太大，只能機(jī)械地執(zhí)行安全策略，不能解決目前網(wǎng)絡(luò)安全的三大主要問題，即以拒絕訪問（DDOS）為主要目的的網(wǎng)絡(luò)攻擊，以蠕蟲（Worm）為主要代表的病毒傳播，以垃圾電子郵件（SPAM）為代表的內(nèi)容控制。

下一代防火墻，也稱為智能防火墻，是相對(duì)傳統(tǒng)的防火墻而言的，顧名思義，它更聰明、更智能。傳統(tǒng)的防火墻對(duì)包的檢查，就像對(duì)人的相貌的識(shí)別，采用圖像識(shí)別一樣。把一個(gè)人的相貌轉(zhuǎn)換為圖像，對(duì)圖像的每一個(gè)像素進(jìn)行記憶，然后進(jìn)行匹配檢查。通過檢查上千萬個(gè)像素之后，告訴你這是誰。人不是這樣來識(shí)別相貌的。人幾乎沒有計(jì)算就可以實(shí)時(shí)地識(shí)別你是誰。這就是智能識(shí)別。智能防火墻無須海量計(jì)算就可以輕松找到網(wǎng)絡(luò)行為的特征值來識(shí)別網(wǎng)絡(luò)行為，從而輕松的執(zhí)行訪問控制。

2.防火墻有哪些功能部件

防火墻是在外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）和內(nèi)部網(wǎng)絡(luò)（Intranet）之間的一堵墻。當(dāng)然，這堵墻必須得有一扇門，否則它將把內(nèi)外網(wǎng)完全隔絕——這違背互連的初衷，因此并不是我們所希望看到的。

門有兩個(gè)基本狀態(tài)：開和關(guān)，防火墻也會(huì)說兩個(gè)詞：YES（接受）或者NO（拒絕）。最簡單的防火墻是以太網(wǎng)橋，用來隔離兩個(gè)網(wǎng)段；但這種原始的防火墻管不了多大用處。

那么，這道門怎么設(shè)置，才能讓防火墻起到作用呢？也就是說，這道門什么時(shí)候開，什么時(shí)候關(guān)呢？

我們先從這道門必須具備的4個(gè)基本功能部件說起。

第一，這道門需要訪問原則。放哪些數(shù)據(jù)包進(jìn)來？放哪些數(shù)據(jù)包出去？哪些數(shù)據(jù)包需要特殊處理？這些原則，組成了服務(wù)訪問規(guī)則。

第二，這道門必須有有效的驗(yàn)證工具，以保證其驗(yàn)證結(jié)果的正確性。這有點(diǎn)像門禁系統(tǒng)。門禁系統(tǒng)一般采用射頻卡，刷卡時(shí)，卡內(nèi)信息與后臺(tái)數(shù)據(jù)庫的賬號(hào)列表進(jìn)行對(duì)比，確認(rèn)后會(huì)發(fā)出“嘟”的一聲，就說明驗(yàn)證通過。

第三，對(duì)于那些沒有驗(yàn)證通過的數(shù)據(jù)包，這道門必須知道如何將他們過濾掉，因此防火墻必須具備包過濾機(jī)制。

第四，對(duì)于應(yīng)用層的各種病毒，防火墻也應(yīng)該有一定的防范能力。這種功能部件叫作“應(yīng)用網(wǎng)關(guān)”。

3.防火墻的技術(shù)原理

防火墻采用的技術(shù)五花八門，形式也多種多樣：有的取代系統(tǒng)上已經(jīng)安裝的TCP/IP協(xié)議棧，有的在已經(jīng)有的協(xié)議棧上建立自己的軟件模塊，有的干脆就是一套獨(dú)立的操作系統(tǒng)，還有一些應(yīng)用型防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)，另外有一些基于硬件的防火墻產(chǎn)品，有些人稱之為“安全路由器”。

如下的一幅圖，就是防火墻最典型的應(yīng)用場景。

這張圖中，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有一臺(tái)LINUX服務(wù)器，另一個(gè)網(wǎng)段則擺了一臺(tái)PC機(jī)。

當(dāng)PC機(jī)向LINUX主機(jī)發(fā)起某種請(qǐng)求，PC的客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包中，然后通過PC機(jī)的TCP/IP協(xié)議棧所定義的路徑將它發(fā)送給LINUX主機(jī)。在這個(gè)例子中，該IP包必須經(jīng)過橫在PC和LINUX主機(jī)中的防火墻才能到達(dá)LINUX主機(jī)里。

現(xiàn)在我們“命令”防火墻把所有發(fā)給LINUX主機(jī)的數(shù)據(jù)包都給拒絕掉。完成這項(xiàng)工作后，防火墻出于憐憫，還會(huì)告訴客戶程序一聲——“Hi，我把你的數(shù)據(jù)給拒絕了啊”。接下來，只有和LINUX主機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問這臺(tái)主機(jī)。

當(dāng)然，我們也可以“命令”防火墻專門給那臺(tái)可憐的PC機(jī)“找茬”，別人的數(shù)據(jù)包都被允許順利通過，就它發(fā)出的不行。這正是防火墻的基本功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但到了大場面，這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)，就可以穿越信任這個(gè)地址的防火墻了。

僅僅靠地址進(jìn)行數(shù)據(jù)過濾在實(shí)際應(yīng)用中是不可行的，原因是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)。大多數(shù)情況下，不能因?yàn)橐^濾掉某臺(tái)計(jì)算機(jī)發(fā)來的某一種應(yīng)用的數(shù)據(jù)包，而拒絕掉這臺(tái)計(jì)算機(jī)發(fā)出來的所有數(shù)據(jù)包。

比如很多公司不希望員工上班登錄QQ，那么就需要在防火墻上做相應(yīng)的配置，使QQ無法正常登錄到騰訊服務(wù)器上。其實(shí)這種配置非常簡單，只需要關(guān)閉QQ的端口號(hào)即可。不可能因?yàn)椴蛔尩卿決Q而拋棄所有的數(shù)據(jù)包，否則這就是典型的“因噎廢食”了。

4.其實(shí)，到處都是防火墻

當(dāng)然，我們也可以以一種寬松的方式定義出廣義的防火墻。目前的操作系統(tǒng)、路由器上，都帶有一定的數(shù)據(jù)過濾機(jī)制。那么可以說，當(dāng)前的計(jì)算機(jī)、路由器，甚至一些多媒體網(wǎng)關(guān)，也都可以做防火墻。

在企業(yè)局域網(wǎng)組網(wǎng)中，很多出口路由器（接入路由器）就承擔(dān)了防火墻的功能。