采用防火墙的必要性

　　引入防火墙是因为传统的子网系统会把自身暴露给NFS或NIS等先天不安全的服务，并受到网络上其他地方的主系统的试探和攻击。在没有Firewall的环境中，网络安全性完全依赖主系统安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同安全性水平上的可管理能力就越小。随着安全性的失误和失策越来越普遍，闯入时有发生，这不是因为受到多方的攻击，而仅仅是因为配置错误、口令不适当而造成的。防火墙能提高主机整体的安全性，因而给站点带来了众多的好处。以下是使用防火墙的好处：

　　1.防止易受攻击的服务

　　防火墙可以大大提高网络安全性，并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此，子网网络环境可经受较少的风险，因为只有经过选择的协议才能通过Firewall。For example, Firewall 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。这样得到的好处是可防护这些服务不会被外部攻击者利用。而同时允许在大大降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到公用，并用来减轻主系统管理负担。

　　防火墙还可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向，然后把偶发事件通知管理人员。

　　2.控制访问网点系统

　　防火墙还有能力控制对网点系统的访问。例如，某些主系统可以由外部网络访问，而其他主系统则能有效地封闭起来，防护有害的访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对其主系统的访问。

　　这就把防火墙特别擅长执行的访问政策置于重要地位：不访问不需要访问的主系统或服务。当不用访问或不需要访问时，为什么要提供能由攻击者利用的主系统和服务访问呢?例如，如果用户几乎不需要通过网络访问他的台式工作站，那么，防火墙就可执行这一政策。

　　3.集中安全性

　　如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中，而不是分散到每个主机中，这样防火墙的保护就相对集中一些，也相对便宜一点。尤其对于密码口令系统或其他的身份认证软件等等，放在防火墙系统中更是优于放在每个Internet能访问的机器上. 当然，还有一些关于网络安全的出来方法，比如Kerberos,包含了每个主机系统的改动。也许，在某些特定场合，Kerberos或其他类似的技术比防火墙系统更好一些。但有一点不容忽视，由于只需在防火墙上运行特定的软件，防火墙系统实现起来要简单的多。

　　4.增强的保密、强化私有权

　　对一些站点而言，私有性是很重要的，因为，某些看似不甚重要的信息往往回成为攻击者灵感的源泉。使用防火墙系统，站点可以防止finger 以及DNS域名服务。finger会列出当前使用者名单，他们上次登录的时间，以及是否读过邮件等等。但finger同时会不经意地告诉攻击者该系统的使用频率，是否有用户正在使用，以及是否可能发动攻击而不被发现。

　　防火墙也能封锁域名服务信息，从而是Internet外部主机无法获取站点名和Ip地址。通过封锁这些信息，可以防止攻击者从中获得另一些有用信息。

　　5.有关网络使用、滥用的记录和统计

　　如果对Internet的往返访问都通过防火墙，那么，防火墙可以记录各次访问，并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响报警，则还提供防火墙和网络是否受到试探或攻击的细节。

　　采集网络使用率统计数字和试探的证据是很重要的，这有很多原因。最为重要的是可知道防火墙能否抵御试探和攻击，并确定防火墙上的控制措施是否得当。网络使用率统计数字也很重要的，因为它可作为网络需求研究和风险分析活动的输入。

　　6.政策执行

　　最后，或许最重要的是,防火墙可提供实施和执行网络访问政策的工具。事实上，防火墙可向用户和服务提供访问控制。因此，网络访问政策可以由防火墙执行，如果没有防火墙，这样一种政策完全取决于用户的协作。网点也许能依赖其自己的用户进行协作，但是，它一般不可能，也不依赖Internet 用户。

虽然如今Web应用已经越来越多，传统防火墙早已力不从心，但作为最基本的安全防护设备，防火墙依然是必不可少的，而随着下一代防火墙的普及，其防护核心地位将回归。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课