谈防火墙带来的安全问题

防火墙算得上是与黑客作战的“常规武器”，到目前为止，与Internet相连接的网络没有安装防火墙的可以说是凤毛麟角。但是这些防火墙都在发挥着应有的作用吗？它们都很好地保护了自身的网络吗？

防火墙简介

提到了防火墙的概念，应当明确的是防火墙是一类防范措施的总称，是一种技术。我们在现实网络环境中见到的机架上方方正正像路由器一样的硬盒子只不过是这种技术的应用形式。此外，还有的防火墙可以做为应用软件安装在一台普通的计算机上。它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访来保护内部网络。防火墙简单的可以只用路由器加访问列表就可以实现，复杂的可以用主机甚至一个子网来实现。设置防火墙的目的一般总是为了在内部网与外部网之间设立唯一的通道，集中而且简化网络的安全管理。

防火墙常见问题及对策

很遗憾地提醒大家，在我们实施安全工程的过程中，发现大多数防火墙都没有被正确地设置、使用。这样的防火墙不是安全屏障，而是更大安全隐患的主要原因之一。它制造出一个似乎是安全环境的假象，让客户放心地使用其实不安全的网络。同样是不安全，客户却比没有防火墙时更缺少防备心理，出了问题时受到的损失就会更大。

下面是一些常见的使用问题：

1、规则设置。这是最常见的问题。
通常一个FW应该有访问控制的规则，比如说允许来自某个IP地址段的用户访问我的网络的某个IP地址上的WWW服务，这就是一个访问规则。根据所保护网络的复杂程度，一个防火墙的规则可以从两三条到几百条不等。其实不必有几百条规则，我经常遇到用户被二十多条规则搞得昏头转向，弄出一些错误。这是由于对防火墙原理与运行方式不了解造成的。

防火墙检查规则是按顺序的。在一个访问者由201.87.62.19这个IP来访问A服务器的WWW服务时，防火墙会依次序1、2、3...检索每一条规则，直到遇到一个设置条件相同的规则为止，然后根据这条规则是允许还是禁止来决定拦截或者放行。在这里根据第一条规则设置201.87.62.19计算机的访问会被允许通过，如果这一条设置条件的信息不符合，防火墙会继续查找后面的规则直到有一条符合为止。如果最后还是没有合适的规则来决定是否放行，防火墙会根据自身的缺省允许或者缺省禁止设置来做出“最终判决”。

规则是有顺序的，这被很多防火墙使用者所忽略。在找到一条适用的规则后，防火墙不会再向下继续检查其他规则。这就要求你想禁止一台主机的访问时，注意不要在前面的规则允许它。再来看下面这个错误的例子：
允许：1.1.1.10至1.1.1.20这个IP地址段的计算机访问我的A主机的任何服务
禁止：1.1.1.7这台计算机访问我的A主机的任何服务

这时1.1.1.7能够访问A主机吗？毫无疑问是可以的，第一条规则把它放过去了，虽然第二条明确禁止它的访问，但防火墙在已经找到合适规则的情况下不理会了，第二条规则实际上是无用的。
在明白这个道理的时候，还是有很多管理员因为疏忽而犯这个错误。有一个类似的实例就是我的一个湖北客户在他的防火墙上禁止了某个IP地址对公司邮件服务器的所有访问，但还是不断地接到这个IP的垃圾邮件，我上去一看，这个防火墙的第一道规则就是“允许外部任意IP地址的计算机访问邮件服务器”，任意IP当然包括原意是想禁止的那个IP，这样虽然后面禁止，但第一条却先放行了。
其他防火墙规则的问题还有：规则设置重复，本来五个规则就可完成的功能却弄出二十多条，造成列表太长，影响防火墙效率；对内部网过于信任，没有设置好由内到外的限制等。设置规则时，要仔细又仔细。

2、网络结构旁路
这是另一个堪称经典的错误。在实施防火墙时，要非常注意的是应该使你的防火墙成为内外部网络通讯的唯一通道，就象你在金库大门口安装了防盗门之后，也应该把窗子封死一样。但也有不少管理员没有做到，使得某些通讯可以不经防火墙而从其他通道进入网络，最终被黑客发现而利用。
在一个局域网接入Internet时，一般都只有一条链路，在这个关口安装防火墙就可以了；而大型网络或者可靠性要求高的网络与外部连接的链路是可能是两条或多条，这就需要在每个链路上都安装防火墙。这是防止防火墙被旁路的基本原则。同时要注意杜绝内部用户私自向外连接Internet，最常见的形式是拨号。可能由于防火墙限制了用户上网，限制了使用QQ，一个用户就会用拨号上网，不经过防火墙自由地使用Internet。他确实方便了，但整体的安全被破坏了，在Internet上每时每刻都会有黑客利用扫描器来寻找肉鸡的，一旦这个用户在拨号上网的时候被黑客扫描到漏洞而攻陷的话，这个局域网就很危险了：虽然你防住了大门，但黑客从一扇破窗子钻进来了。

3、防火墙本身漏洞
防火墙在软件设计时，也不可避免地会发生错误。同另外一些应用一样，防火墙在发布之后也会有各种各样的漏洞被公布出来，尤其是那些著名的防火墙（众矢之的嘛）。