防火墙系统分析

　　近年来随着Internet的飞速发展，很多局域网采用了防火墙系统保护内部网络安全。防火墙就是一个位于计算机和其所连接的网络之间的软硬件体系，从计算机流人流出的所有网络信息均要经此防火墙的检测和过滤。

　　3．1 防火墙的功能及类型

　　防火墙限制对被保护网络的非法访问，它是设置在被保护内网和外部网络之间的一道屏障，用来检查网络入口点通讯，根据设定的安全规则，对通过防火墙的数据流进行监测、限制和修改，这样可过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可关闭未用的端口，禁止特定端口的流出通信，封锁特洛伊木马，禁止来自特殊站点的访问，从而防止不明入侵者的所有通信。

　　防火墙具有不同类型，它可以是硬件自身的一部分，可以将因特网连接和计算机都插入其中；也可以在一个独立的机器上运行，该机器作为其背后网络中所有计算机的代理和防火墙，而直接连在因特网的机器可使用个人防火墙。

　　3．2 防火墙的局限性

　　个人防火墙并不是专为防范恶意攻击而设计的，微软的IE和AQL的NETSCAPE浏览器均存在黑客可以利用的安全漏洞，从而导致用户的个人数据遭到窃取。防火墙存在以下局限性：

　　(1)防火墙深入检测和分析网络数据流量的同时，网络的传输速度势必会受到影响；如果防火墙过于严格，可能会影响为合法用户提供连接的性能；

　　(2)传统的防火墙需要人工实施和维护，不能主动跟踪入侵者；

　　(3)不是所有的Internet访问都需经过防火墙，如内网用户为方便使用，Modem直接与Internet相连，这样防火墙就无法提供安全保护，且此连接可能会成为攻击者的后门，从而使其绕过防火墙；

　　(4)不是所有的威胁都来自外部网络，防火墙仅能到内网与Internet边界的流量，无法检测到网络内的流量。

　　(5)防火墙自身容易遭受攻击，最令人烦恼的攻击是隧道攻击和基于应用的攻击。隧道攻击是指由于防火墙根据网络协议决定数据包是否通过。然而把一种协议的信息封装在另外一种允许通过协议的信息中时，禁止通过的流量就穿越防火墙。此种攻击采用的手段类似于VPN中的隧道机制，故称隧道攻击。而基于应用的攻击指通过发送包直接与应用通信，利用这些应用的漏洞。如通过发送HTTP命令在Web应用中执行缓冲区溢出攻击来利用Web软件的漏洞。如果防火墙配置成允许HTTP流量，包含此攻击的包将通过。

　　总之，防火墙不是一种动态的防卫系统，对来自内部的攻击和拨号上网无能为力，也已存在许多技术优于防火墙(如IPSpoofing，IP Fragmentation)。积极的方法是主动测试系统的安全性能，及早发现安全漏洞并改进系统。