防火墙的优点与缺点

防火墙(Firewall)是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合、使互联网(Internet)与内部网(Intranet)之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入。防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成，其基本工作原理如图所示。
    
    防火墙方法有助于提高计算机主系统总体的安全性，因而可使联网用户获得许多好处。
 
    1.集中安全性
    对一个机构来说，防火墙实际上可能并不昂贵，因为所有的或大多数经过修改的软件和附加的安全性软件都放在防火墙系统上，而不是分散在很多主系统上。尤其是一次性口令系统和其他附加验证软件都可以放在防火墙上，而不是放在每个需要从Internet访问的系统上。
    其他的网络安全性解决方案，如Kerberos(NIST94C)要对每个主系统进行修改。尽管Kerberos和其他技术有许多优点值得考虑，而且在某些情况下比防火墙适实用，但是防火墙往往更便于实施，因为只有防火墙需要运行专门的软件。
    2.防止易受攻击的服务
    防火墙通过包过滤路由器过滤不安全的服务来降低子网上主系统所冒的风险。因为包过滤路由器只允许经过选择的协议通过防火墙，因此，子网网络环境可经受较少的外部攻击。
    例如，防火墙可以禁止某些易受攻击的服务（如NFS）进入或离开受保护的子网。这样得到的好处是可以防护这些服务不会被外部攻击者利用，而同时允许在大大降低外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到共用，并用来减轻主系统的管理负担。
    防火墙还可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向，然后把偶发事件通知管理人员。
    3.控制访问网点系统
    防火墙还有能力控制对网点系统的访问。例如，某些主系统可以由外部网络访问，而其他主系统则能有效地封闭起来，防止非法访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对其主系统的访问。其他的访问政策也都可以通过防火墙程序的设计加以执行。
    4.增强的保密
    保密对某些网点是非常重要的，因为一般被认为无关大局的信息实际上常含有对攻击者有用的线索。使用防火墙后，某些网点希望封锁某些服务，如Finger和域名服务。Finger显示有关用户的信息，如最后注册时间、邮件有没有被访问等等。但是，Finger也可能把有关用户的信息泄露给攻击者，所以，防火墙系统不可缺少。
    防火墙还可以用来封锁有关网点系统DNS信息。因此，网点系统名字和IP地址都不必提供给Internet主系统。有些网点认为，通过封锁这种信息，它们正在把对攻击者有用的信息隐藏起来。
    5.有关网络使用、滥用的记录和统计
    如果对Internet的往返访问都通过防火墙，那么，防火墙可以记录各次访问，并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响警报，则还可以提供防火墙和网络是否受到试探或攻击的细节，并确定防火墙上的控制措施是否得当。网络使用率统计数字之所以重要，还因为它可作为网络需求研究和风险分析的依据。  
           三、防火墙的缺点
    尽管防火墙方案有上述这些优点，但它不一定是Internet安全性问题的灵丹妙药，因为其本身也存在许多缺点，而且有很多事情是防火墙所不能防护的。
    1.限制利用合乎需要的服务
    防火墙最明显的缺点是它可能封锁用户所需的某些服务，如TELNET、FTP、XWindows、NFS等。但这一缺点并不是防火墙所独有的。对主系统的多级限制也会产生这个问题。一个能使安全性要求同用户需要保持平衡的、规划得当的安全性政策可以大大有助于缓解与减少利用服务有关的问题。
    2.后门访问的广泛可能性
    防火墙不能防护从后门进入网点。例如，如果对调制解调器不加限制，仍然许可访问由防火墙保护的网点，那么，攻击者可以有效地跳过防火墙。调制解调器的速度现在快到足以使SLIP（串行线IP）和PPP（点对点协议）切实可行。在受保护子网内SLIP和PPP连接在本质上是另一个网络连接点和潜在的后门。如果允许调制解调器从后门访问，那么，前门的防火墙又有什么用呢？
    3.几乎不能防护内部人员的攻击
    虽然防火墙可以用来防护局外人获取灵敏的数据，但它不能防止内部人员将数据拷贝到磁带上，并把数据带出设施。因此，认为有了防火墙就可以防护内部人员的攻击是错误的。如果忽略其他窃取数据或攻击系统的手段，把大量资源存放在防火墙上也是不明智的。
    4.其他问题
    新的信息服务器和客户机——新的信息服务器和客户机，如World Wide Web(WWW)、Gopher、WAIS等，不宜实施防火墙政策，很有可能遭到数据驱动的攻击。因为这些微机处理的数据可能包含发出的各种指令，这些指令可能告诉攻击者更改访问控制和主系统上与安全有关的重要文件。
    MBONE——视频和话音用多址IP传输封装在其他信息包内，防火墙一般在不检查包内容的情况下将这些信息包转发出去。如果信息包含有更改安全性控制措施并认可入侵者的命令的话，那么，MBONE传输就是一种潜在的威胁。
    病毒——防火墙不能防止用户从Internet归档文件中下装受病毒感染的个人机程序，或把这些程序附加到电子函件上传输出去。由于这些程序可能以各种方法编码或压缩，因而防火墙不能精确地对这些程序进行扫描来搜寻病毒特征。病毒问题仍然存在，而且必须用其他政策和抗病毒控制措施进行处理。吞吐量——防火墙是一种潜在的瓶颈，所有的连接都必须通过防火墙，许多信息都要经过检查，信息的传递可能要受到传输速
率的影响。
    集中性——防火墙系统把安全性集中在一点上，而不是把它分布在各系统间，防火墙受损可能会对子网上其他保护不力的系统造成巨大的损害。