浅谈防火墙技术的合理使用

张　澄

摘要：防火墙是近几年发展起来的一种保护计算机网络安全的技术措施，也是目前使用最广泛的一种网络安全防护技术。本文提出了防火墙的配置在网络安全中的重要性，阐释了防火墙规则集是防火墙产品安全的重要措施。

关键词：防火墙；配置；网络；安全

如今，Internet遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们可以通过网络获得信息，共享资源。但随着网络的延伸，安全问题受到人们越来越多的关注。在构建安全的网络环境的过程中，防火墙作为第一道安全防线，人们总是把防火墙的使用放在网络安全建设的首位。

1 防火墙配置及安全功能

目前，防火墙已经成为世界上用得最多的网络安全产品之一。防火墙是网络安全中非常重要的一环，大多数的单位不惜重金购买防火墙，但却忽视了防火墙的配置。防火墙功能的强大与否，除了防火墙本身的性能外，主要是取决对防火墙的正确配置。在与许多使用防火墙的用户接触中，发现常常由于防火墙配置的错误，而留下一些系统安全漏洞，让入侵者有机可趁。

当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵。通常被保护的网络属于我们自己或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全。防火墙是位于两个信任程度不同的网络之间，如企业内部网络和Internet之间的软件或硬件设备的组合，对网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源进行非法存取和访问，达到保护系统安全的目的。防火墙处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络进行访问并具备管理内部用户访问外界网络的权限。能有效地监控内部网和Internet之间的活动，保证内部网络的安全，使企业的网络规划清晰明了，识别并屏蔽非法请求，有效防止跨越权限的数据访问。它既可以是非常简单的过滤器，也可能是精心配置的网关，监测并过滤所有内部网和外部网之间的信息交换，防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。

2 安全、可靠的防火墙的实现

实现防火墙产品安全的非常关键的一步是建立一个条理清楚的防火墙规则集。安全、可靠防火墙的实现取决于以下的过程：

2.1 制定安全策略，搭建安全体系结构

安全策略要靠防火墙的规则集来实现的，防火墙是安全策略得以实现的技术工具。所以，必须首先来制定安全策略，也就是说防火墙要保护的是什么，要防止的是什么，并将要求细节化，使之全部转化成防火墙规则集。

2．2 制定规则的合理次序

一般防火墙产品在缺省状态下有两种默认规则：一种是没有明确允许，一律禁止；另一种是没有明确禁止，一律允许。因此用户首先要理解自己所用产品的默认状态，这样才能开始配置其它的规则。

在防火墙产品规则列表中，最一般的规则被列在最后，而最具体的规则被列在最前面。在列表中每一个列在前面的规则都比列在后面的规则更加具体，而列表中列在后面的规则比列在前面的规则更加一般。

按以上规则要求，规则放置的次序是非常关键的。同样的规则，以不同的次序放置，可能会完全改变防火墙产品的运行状况。大部分防火墙产品以顺序方式检查信息包，当防火墙接收到一个信息包时，它先与第一条规则相比较，然后才是第二条、第三条……，当它发现一条匹配规则时，就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配的规则，那么默认的规则将起作用，这个信息包便会被拒绝。另外有些防火墙产品专门将对防火墙本身的访问列出规则，这要比一般的包过滤规则严格的多，通过这一规则的合理配置，阻塞对防火墙的任何恶意访问，提高防火墙本身的安全性。

2．3 详细的注释，帮助理解

恰当地组织好规则之后，还建议写上注释并经常更新它们。注释可以帮助明白哪条规则做什么，对规则理解的越好，错误配置的可能性就越小。同时建议当修改规则时，把规则更改者的名字、规则变更的日期、时间、规则变更的原因等信息加入注释中，这可以帮助你跟踪谁修改了哪条规则，以及修改的原因。

2．4 做好日志工作

日志的记录内容由防火墙管理员制定，可记录在防火墙制定，也可放置在其它的主机。建议防火墙管理员定期的查看日志的内容，归档，便于分析。同时要将被规则阻塞的包及时的通报管理员，以便及时了解网络攻击的状况，采取应急措施，保护网络的安全。

3 防火墙配置三大误区

3.1 误区一：使用通用的操作系统

购置了防火墙后，许多人犯的第一个错误是：安装防火墙前没有对通用操作系统加强保护。许多企业未认识到通用操作系统的不安全性，常使用供应商预先安装的操作系统，或者在装防火墙软件之前，只按照默认方式安装。通用操作系统通常是一个多用户系统，方便员工访问系统资源，但是，同时也是不安全的，强烈建议企业不要将防火墙安装在通用操作系统上。

3．2 误区二：采用默认防火墙配置

事实上，没有一种商业防火墙在默认配置时是安全的，以下是默认配置不安全的三个因素：其一它允许所有DSN自由出人防火墙，其二允许路由信息协议(RIP)进出防火墙，其三，允许各种因特网控制消息协议(ICMP)进出防火墙。在部署防火墙之前，应该知道哪些特殊的默认设置需要变更。配置防火墙前需要确定，限制哪些IP地址，删除任何默认用户名和口令，禁止从外部(不可靠的)网络实行管理，禁止利用不安全协议管理防火墙，铲除不安全的策略配置。

3．3 误区三：配置测试不够全面

安全系统的测试与其他系统正好相反，判断安全配置的标准是不允许哪些协议包能通过，而是能否准确无误地丢弃包。测试防火墙配置的简便方法就是运用端口扫描程序。端口扫描程序的目的在于迅速连接到系统所有可能的TCP或UDP端口，在进行简单的端口扫描后，也可以尝试一些较复杂的扫描方法。

4 结束语

由于防火墙产品的实施相对简单，因此它是维护网络安全普遍采用的安全产品之一。但是防火墙产品仅是给用户提供了一套安全防范的技术手段，只有合理的使用和良好的配置，才能使用户的安全策略很好的融入到防火墙产品之中，使其真正起到保护用户网络安全的作用。

参考文献

[1]杨子江．合理实施防火墙配置[J]．软件世界，2007，11．

[2]网络安全与防火墙的合理使用[J]．计算机与信息技术，2007，10．