伴随着互联网行业的迅速发展和互联网的快速普及,网络安全问题已经成为企业和个人电脑用户最为关注的焦点问题之一,采取必要的安全防范措施成为共识。网络安全卫士——防火墙已经成为我们身边不可或缺的网络安全工具。目前企业和个人电脑使用的Windows操作系统其实已经内置有防火墙,而像瑞星、金山这样的知名防火墙厂商世人也已经耳熟能详。
网络安全防火墙与杀毒软件有什么区别?企业防火墙和我们个人使用的防火墙又有何异同?防火墙的市场规模较杀毒软件相比究竟会是怎样?带着这些问题,记者采访了网络安全方面的专业人士——北京华安普特网络科技有限公司项目经理李林,让他来为我们深入浅出地讲解网络防火墙知识。
杀毒软件不可代替防火墙
“防火墙就是一个或一组系统,它在网络之间执行访问控制策略。”对于防火墙的定义,李林这样描述道:“其实用通俗点的说法来说,防火墙顾名思义,是一道墙,它最主要的作用就是把可信任和不可信任的数据隔离开来,从而预防黑客的攻击,以此来实现对网络的安全保护。”
据李林介绍,防火墙根据各种不同标准可以有多种的分类方式。比如从技术角度上分,可以分为“分组过滤型防火墙”和“应用代理型防火墙”两大类;从实现方式上来分类,可分为软件防火墙和硬件防火墙(包括芯片级防火墙);从应用范围上分,则可以分为个人防火墙和企业防火墙等。
分组过滤型防火墙是防火墙的初级产品,它是根据数据的目的地址、源地址、端口号、协议类型等来确定是否能让数据通过。只有满足了一些过滤条件的合格的数据包最终才能被转移到相应的目的地,而其余数据包则被阻挡。另外,系统管理员也可以根据实际情况的需要来灵活制订判断规则。分组过滤防火墙的优点是简单易用,成本较低。在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但是它无法识别基于应用层的恶意入侵,比如恶意的Java小程序和电子邮件中附带的病毒。
应用代理型防火墙是工作在OSI的最高层,即应用层。应用代理型防火墙的特点是完全“隔离”了网络通信流,通过对每种应用服务编制专门的代理程序,来实现监视和控制应用层通信流的作用。代理型防火墙也称为代理服务器,他的安全性要高于分组过滤型防火墙产品。在结构上,代理服务器由代理的服务器部分和代理的客户机两部分组成;从客户机来看,代理服务器相当于一台真正的服务器,而从服务器来看,代理服务器是一台真正的客户机。代理型防火墙的优点是安全性高,可以对应用层进行检测扫描,对付基于应用层的入侵的病毒都十分有效。它的缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,这样就大大增加了系统管理的复杂性。
一般来说,软件防火墙的应用是基于现有的操作系统,比如Windows等。它的特点是安装方便灵活,可以随时改写升级,个人用户和小企业都使用软件防火墙;而硬件防火墙是自带操作系统的内嵌式,有界面,可以进行有针对性的配置。硬件防火墙价格比较高,一般都价值几万到十几万元,但是其抗攻击能力很强,因此使用硬件防火墙的均为大中型企业。我们日常生活中最常见的就是个人用户使用的软件防火墙,它的主要作用是保护个人计算机在连接Internet时数据的安全,避免受到入侵者的攻击。
目前,由于许多个人用户对防火墙的原理并不是十分了解,记者随机询问了一些个人用户,绝大多数用户都表示自己的电脑在连入Internet时,只安装了杀毒软件而没有安装防火墙。对此,李林说:“这是相当危险的,杀毒软件绝对不可以代替防火墙的,它们的功能不一样,防御的隐患不一样,杀毒软件主要针对木马病毒,而防火墙针对防御类似黑客的攻击。不安装防火墙可能会导致本机敏感信息的泄漏和非授权的控制,也就是我们常说的木马后门式的攻击。”他解释说,就像两个武林高手比武一样,两人比试的不光是拳脚,还要用上内力、暗器。如果只使用防火墙来进行防御,而没有杀毒软件,没有被隔离掉的恶意程序就不能被查杀;同样,如果只有杀毒软件,许多木马病毒就会通过网络进入计算机当中,破坏主机的系统安全。所以这种情况下就需要借助防火墙的帮助。
安装了防火墙软件以后,就会自动开户防火墙基本模块,可以限制非授权的访问,保护本机端口不被外网扫描到,审核应用程序访问权限。木马拦截功能可以根据木马特征码进行拦截,能够实时搜索、分析、预测未来木马技术可能发展方向,自动在线更新,使系统更加安全的运行。而许多病毒、木马在入侵用户电脑后,都会修改注册表,使其随着系统的启动而自动运行,所以保护注册表不被恶意修改,也是防止病毒、木马的一个关键问题。注册表常用启动项保护功能,可以禁止注册表被恶意程序修改,当有软件恶意修改电脑的注册表时,将会有修改的提示。
而企业防火墙与个人防火墙的区别是在于企业防火墙一般采用硬件防火墙,一般置于外部网络和内部网络之间,审核所有进出的通信流量。这是一种具有特殊功能的路由器,它一般具有内嵌式的操作系统,可以为用户提供交互式的配置界面,可以根据企业的需求,制定防火墙策略。它的优点在于软件逻辑基本由硬件代替了,处理速度大大地提高,可以实现千兆以上级别的流量过滤,是大中型企和IDC机房必备的基础设备之一。而它们的价格,动辄就达到几十万,这也就是为什么目前防火墙的市场远远大于杀毒软件的市场。
国内防火墙整体技术水平亟待提高
当然防火墙也不是万能的,它也有一些局限性存在。举个例子来说,主流的DDos防火墙所采用的方式是“堵”而不是“疏”。李林举了一个十分浅显的例子,就象大禹治水之前,尧和舜之所以治水不成功就是因为他们都采用的是“堵”的方法,而不能因势力导去疏通。
另外,安装了防火墙软件也并不能绝对保证主机的绝对安全,因为防火墙也是有一定的局限性,就像杀毒软件只能查杀已经发现的病毒一样,对于新出现的病毒或变种病毒并不能有效查杀,必须要经常更新病毒库才可以。防火墙也是一样的道理,只能过滤一些规则里已经设置的分组,而对一些没有意识到的漏洞是无法过滤的,并且如果设置了很严格的过滤策略,就必然会影响计算机的运行速度,会让系统的运行变慢,甚至可能会影响到一些正常访问的分组到达,从而影响到用户正常的访问,比如常见的软件不能连接到服务器等。
虽然企业级防火墙大多采用了硬件防火墙,某种程度上可以避免个人软件防火墙的一些弊端,但硬件防火墙一旦生产完成,升级就成为困难,因受制于硬件限制,也难以增加新的功能。而国内有能力生产芯片级防火墙的厂商屈指可数,电子制造业集成水平也存在缺陷目前,整体的技术水平与国外企业有一定的差距,所以至今没有一家企业有非常完善的产品线,只能是在某一个或几个方面有所建树。而国外知名网络安全产品价格不菲,并且也不一定适合国内的网络环境,这是目前企业级防火墙产业的主要问题。
防火墙市场前景一片光明
因为李林对各家防火墙厂商的产品都非常了解,所以他介绍说:“防火墙市场作为一个远远大于杀毒软件市场的安全产品市场,一直都是处于非常旺盛的发展态势。”
据他预测,在短期内,流量型DDos防火墙仍然是热点,DDos(Distributed Denial of Service)攻击的全称是分布式拒绝服务攻击,它通过精心构造的分组,用巨大的流量持续不断的朝目标发送,导致其不能响应正常的服务请求。而目前在国内,黑客拥有超过30万台主机的僵尸网络已经超过5个,大规模的职业黑客趋利性攻击持续不断,而TCP/IP协议存在的漏洞迟迟没有实质的解决方案,主流的流量型DDos防火墙价格依然居高不下,种种因素都表明防DDos防火墙市场依然紧俏。
而CC防火墙是目前大有前途的一类产品,它主要是针对Web服务器的防护,它可以判断正常访问与恶意访问,并做出相应的处理,目前这方面的软件产品并不多见,硬件产品更是寥寥可数,而Web应用却是占互联网应用60%以上的应用。所以CC防火墙的前景一片光明。
而针对于内网的ARP防火墙呼之欲出,最近大规模爆发的ARP攻击给很多大中型企业带来巨大的损失,甚至是一些隔离做得不好的IDC机房也深受其害,ARP攻击的原理就是欺骗网关——冒充局域网内其他主机,通过诱导访问,以达到偷梁换柱的效果。这样的后果是相当严重的,而目前除了AntiARP(彩影)防火墙等极少数厂商有解决方案,其他公司鲜有涉及,所以市场基本还处于空白状态,极具发展前途。”
另外,李林还对企业和个人用户在网络安全防卫工作中选用防火墙方面提出了一些建议。
企业用户可通过专业网络安全公司做技术支持
李林告诉记者,首先,企业用户最好选用硬件防火墙,这样做远远要比在每台主机上都安装软件防火墙要安全得多。其次,企业用户在使用防火墙等技术手段保护的同时,也要注意内部行政政策的制定,有些时候最大的危害并不来自于技术高深莫测的黑客,而是来自于企业内部没有安全意识的工作人员。第三,企业用户应该为防火墙和安全措施设置专门的信息安全员,但是没有必要安排专人。信息安全员可以由网管兼任,但是一定要写入岗位职责,以保证各项安全措施可以得到落实。第四,企业里负责信息安全的安全员应该及时关注最新防火墙厂商和技术类网站,以便修补最新的漏洞,升级和重新配置企业防火墙。最后,如果企业的安全需求比较高,最好请专业的网络安全公司来帮助管理。因为专业的网络安全公司会从企业的网络设计阶段开始介入,以帮助企业建立一个更加合理安全的网络环境。
个人用户应及时更新防火墙版本
个人用户在使用防火墙时,应该作到以下几点:首先,最好给个人电脑安装第三方的防火墙软件,如果因系统运行慢等原因便不使用第三方防火墙软件,也应该至少打开Windows自带的防火墙。其次,如果有条件使用第三方的防火墙软件,就要保证防火墙软件及时更新到最高的版本。再次,要注意正确的设置防火墙软件,尽可能让它们运行在较高的安全级别。第四,为了节约系统资源,可以在断网以后关闭防火墙。但重新连网前,请不要忘记打开防火墙。最后,除非明确知道程序的用途,否则就要拒绝其连接网路,万一阻止了正常程序,用户依然可以在防火墙的规则里找到它,并允许它访问网络。
随着互联网行业和技术的不断发展壮大,网络安全防卫工作已经进入严峻时刻,防火墙行业发展也将进入快行道,而防火墙行业的蓬勃发展,也必将给互联网秩序带来新的变革,网络安全防火墙势必也会成为一件如同计算机系统一样必不可少的互联网生存工具,在保障企业与用户安全信息不被恶意窃取和破坏的同时,网络安全卫士——防火墙将在网络安全防卫工作的最前沿为用户撑起网络安全坚盾。