安全是一个整体
需要指出的是,与存储以及其他的安全产品一样,防火墙只是确保信息安全的一个必要的技术环节。信息安全涉及到企业管理制度、员工培训、业务模式等企业方方面面的问题,远远不是一个防火墙可以解决得了的。甚至仅仅从技术层面来讲,信息安全产品还包括反病毒、入侵检测产品和安全扫描等等。各类产品只有相互协作,才能有效地从技术上保证信息安全。例如,一旦网络遭受攻击,则入侵检测系统应立即报警,并根据预先定义的策略来启动某种应急措施,如停止某种服务或自动修改防火墙的安全策略等。结合病毒扫描模块,防火墙可以从二、三层之间或者应用层制止病毒从Internet向内部网络传播。
但仅仅有技术措施是不够的,必须有相应的管理制度和执行手段来保证企业的安全策略实施。例如,如果企业设置了严密的防火墙,但同时默许员工在企业内部拨号连接外部网络,则相当于开通了一条不设防的通途,给企业信息安全造成极大威胁。如果系统管理员随意将管理员口令告诉别人,则安全机制可能会形同虚设。不能允许可能无法约束的例外存在,是企业安全策略和防火墙设置的一个基本原则。
Internet自诞生以来一直是自由多于秩序的世界,企业必须对网络的使用加以约束。安全与方便在很大程度上是对立的,一款好的防火墙产品,能够有效地帮助用户处理好这个矛盾,辅助企业安全策略顺利实施。
防火墙之所以重要,是因为防火墙把守着网络信息安全的第一道关口,也是形势最有利的一道关口,防火墙在整个网络信息安全中起着基础作用。
NAT的使用
网络地址转换(Network Address Translation,NAT)技术已经受到了多数防火墙产品的支持。按照所转换IP地址的不同,NAT主要可分为两类。改变源IP地址的,称为源网络地址转换(Source NAT),用来屏蔽内部网络的保留IP地址,实现日渐捉襟见肘的IP地址资源的共享应用。而改变目的IP地址称为目的网络地址转换(Destination NAT),用来实现Internet对内部网络的访问,通常的应用形式为端口转发(Port Forwarding)。这两种技术都在防火墙中得到了普遍应用。源网络地址转换具有与生俱来的拒绝来自Internet主动连接的能力,而目的网络地址转换能够使内部网络中的服务器可以接受来自Internet的访问,同时受到防火墙的监控。在防火墙中,两种NAT通常都与包过滤功能配合使用。现在在内部网络中使用真实IP地址的用户已经不多了,绝大多数用户会使用不参与Internet路由的保留IP地址。因此在这次测试中,我们使用了NAT方式。
软件和硬件的区别
关于软硬件防火墙孰优孰劣,已经有不少争论。甚至关于两者的区分也有很多不同的观点,比如,较极端的观点认为,防火墙归根到底都是软件,不存在软硬的区别。这些概念的混乱导致用户在选择产品时也往往不知所从。根据主要特点,我们可以把运行在通用系统平台上的产品看做是软件防火墙,而运行在专有系统平台或基于硬件逻辑的产品看做是硬件防火墙。这样用户可以比较容易看清两者各自的优势与不足。硬件防火墙基于专门设计的系统平台和优化过的硬件,因此往往可以达到较高的效率,虽然用途单一,但使用起来也比较简单。更重要的是,硬件防火墙基于专门的设计和优化,比较容易保证自身的安全。同时,硬件防火墙的功能往往比较有限,受专有平台的限制,灵活性欠佳,在升级、修补安全漏洞等方面也不尽如人意。
相比之下,软件防火墙功能强大,灵活性高,能够与现有系统紧密集成,但是系统自身的安全不如硬件防火墙容易保证,对系统配置的要求相对较高。因此,用户选择哪一种类型的防火墙产品,应充分考虑自身的条件和需求,对系统安全要求较高,自身有一定的实施和维护能力的用户,比较适于使用软件防火墙; 而对于对吞吐量要求较高或者应用水平相对较低甚至没有专职网络管理人员的用户,硬件防火墙是比较好的选择。需要用户注意的是,硬件防火墙之间的区别很大,有些产品可能是基于通用的IA平台,简单地将开放源代码系统进行定制改造后,装入"黑匣子"中得到的,功能和性能都很有限,用户在购买时应注意鉴别。
本次我们测试的CheckPoint VPN-1/Firewall-1、Microsoft ISA Server 2000以及Turbo Linux PowerGuard(PowerGuard)等产品都是软件防火墙。
您的系统安全吗?
把机器连接到Internet,就是去接受全世界黑客的考验,这话毫不为过,甚至可以说,现在Internet骨干容量不断扩展,正为黑客进行各种攻击试验创造了更好的环境,从这个意义上讲,Internet带宽与系统的安全是成反比的。我们在一台具有Internet IP的机器上安装了Black ICE主机防火墙产品,在24小时之内,Black ICE记录了来自上百个地址的上千次攻击,其中包括各种代理扫描、端口扫描、CodeRed和NetBus等后门扫描以及拒绝服务攻击。在CodeRed盛行的日子,HTTP服务器的记录中充满着各种变体的CodeRed GET请求,一旦系统被攻陷,马上会成为黑客隐匿行踪,进行攻击试验的新平台,成为传播蠕虫的傀儡。无论是Windows还是Linux/Unix系统,都不可避免地不断暴露出新的安全漏洞,一旦稍不留心,就有可能被黑客攻击得手。如果您的机器直接连接在Internet没有任何防护措施,请不要心存侥幸,请立即安装个人防火墙或说服您的网络管理员为整个网络安装防火墙。
常见的安全误区
除了前面提到的允许员工在企业拨号上网以外,一个常见的安全误区是将防火墙的内外网络接口接到同一个二层网络(例如由二层交换机或没有对内外网划分VLAN的三层交换机组成的网络)上。这是非常危险的,这使得内、外网的用户都可以自行设置IP地址来绕过防火墙,使防火墙形同虚设。在没有划分VLAN的情况下,防火墙内外网络接口必须接至不同的交换机。另一个常见的安全误区是使用IP地址来代替用户身份验证。因为在防火墙的设置中,不为用户添加用户名,而通过IP地址控制访问的方法比较易行,但这是不可取的,即使将IP与MAC地址绑定,用户也可以通过技术手段来冒用他人的身份。方便与安全的矛盾,在这里又一次体现出来,我们也又一次看到,实施安全策略是一个系统工程,防火墙仅仅是其中的一个环节。