保密园地

随着国内信息安全行业的逐步发育，各种网络安全产品在市场上被炒得火热,其中最引人注目的当属防火墙。据统计，全球至少有千种以上的防火墙产品，各路商家的角逐已进入战*国时代。“防火墙*不是万能的，但没有防火墙是万万不能的”，这种说法有不少夸张的成分，但它从一个侧面反映了防火墙产品在网络安防设备中的突出地位。
　　实践表明，防火墙对网络安全能起到重要的保护作用，但并非万无一失。值得注意的有以下几点：
　　1.正确选用、合理配置防火墙并不容易，直接影响防火墙发挥效能
　　防火墙作为网络安全的一种防护手段，有多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：a.风险分析；b.需求分析；c.确立安全政策；d.选择准确的防护手段，并使之与安全政策保持一致。
　　然而，多数防火墙的设立没有或很少进行充分的风险分析和需求分析，而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙，这样的防火墙能否“防火”是个问题。
　　2.需要正确评估防火墙的失效状态
　　评价防火墙性能如何及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如何。许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此必然存在安全隐患。
　　3.防火墙必须进行动态维护
　　防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护、修补和升级。
　　4.目前很难对防火墙进行测试验证
　　防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大：
　　a.防火墙性能测试目前还是一种新技术，可用的工具和软件寥寥无几。据了解，目前只有美国ISS公司提供有防火墙性能测试的工具软件。
　　b.防火墙测试技术尚不先进，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。
　　c.选择“谁”进行公正的测试也是一个问题。
　　5.非法攻击防火墙的“招数”
　　a.通常情况下，有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。
　　b.破坏防火墙的另一种方式是攻击与干扰相结合，也就是在攻击期间使防火墙始终处于应接不暇的状态，有时会导致它忘记履行安全防护的职能，处于失效状态。
　　c.需要特别注意的是，防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了，这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行的操作系统，因此不仅涉及网络安全，还涉及主机安全问题。
　　以上分析表明，防火墙的安全防护性能依赖的因素很多。防火墙并非万能，它最多只能防护经过其本身的非法访问和攻击，而对不经防火墙的访问和攻击则无能为力。从技术来讲，绕过防火墙进入网络并非不可能。
　　防火墙技术的致命弱点在于数据在防火墙之间的更新，如果延迟太大将无法支持实时服务请求，额外的管理负担也是一个不能回避的问题。此外，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。一个普通路由器不足4000美元，而一个高速路由器的价格可能在20,000美元以上，这使滤波器无法广泛应用。而且，只装有滤波器往往还不足以保证安全，尤其无法防止防火墙内侧的攻击。因此，防火墙技术往往只作为辅助安全策略。这又应了我们常说的一句话：关键在人，关键在管理。
　　在理想情况下，一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看，这还是个遥远的梦想。目前我们还只能在各种利弊之间寻求平衡。***