壹般防火墻具有以下特征:
廣泛的服務支持。通過將應用層的動態過濾能力與認證相結合,可以實現WWW瀏覽、HTIP服務和FIP服務。通過對私有數據的加密支持,保證虛擬專用網通過互聯網的業務活動不被破壞;客戶端身份驗證僅允許指定用戶訪問內部網絡或選擇服務,這是企業的本地網絡與分支機構、業務合作夥伴和移動用戶之間安全通信的附加部分。反作弊。欺騙是從外部獲取網絡訪問權的常用手段,它使數據包看起來像是來自網絡內部。防火墻可以監控此類數據包並將其丟棄。
防火墻的設置有兩個原則:壹是“凡是不允許的,壹律禁止”。另壹種策略則相反,堅持“凡是不被禁止的都是允許的”。防火墻首先轉發所有信息。起初,這堵墻幾乎不起作用,就像壹個假人。然後逐項刪除有害內容。禁止的內容越多,防火墻的作用就越大。在這種策略下,網絡的靈活性被完全保留。但又怕信息泄露太多,增加安全風險,網絡管理人員往往疲憊不堪,工作量增加。
因為安全領域存在許多變化的因素,所以安全策略的制定不應基於靜態條件。在制定防火墻安全規則時,應符合“適應性安全管理”模式的原則,即:
安全=風險分析+執行策略+系統實施+漏洞監控+實時響應滿足集成性和完整性要求。
現有的防火墻技術主要有兩種:包過濾技術和代理服務技術。第壹類是PacketFilter技術。它在網絡層實現數據包的選擇性釋放。第二類是ProXyService技術。這是壹種基於代理服務器的防火墻技術,通常由兩部分組成——客戶端與代理服務器相連,代理服務器與外部服務器相連,但內部網絡與外部網絡之間沒有直接連接。
防火墻有其局限性:
防火墻無法防止繞過防火墻的攻擊。比如企業內網安裝了防火墻,但是網絡的壹個用戶因為某種原因直接與網絡服務提供商連接,繞過了企業內網的保護,給人留下了攻擊的後門,成為了潛在的安全隱患。
防火墻經不起人為因素的攻擊。由於防火墻對網絡安全實行單點挖掘,可能會像企業內網因管理原因被人為破壞壹樣,受到黑客攻擊,防火墻無能為力。
防火墻不能保證數據的保密性,不能識別數據,不能保證網絡免受病毒攻擊。任何防火墻都不可能對通過的數據流中的每個文件進行病毒掃描。
目前市場上很多流行的安全設備都屬於靜態安全技術的範疇,比如防火墻和系統外殼等外圍保護設備。外圍保護設備是針對來自系統外部的攻擊。壹旦外部入侵者進入系統,他們不會被阻止。認證方法是相似的。壹旦入侵者欺騙了認證系統,入侵者將成為系統的內部人員。傳統防火墻的缺點是不能同時提高安全性和速度。壹旦考慮到安全因素對網絡數據流進行深度檢測和分析,網絡傳輸速度就會受到影響。
靜態安全技術的缺點是需要人工實現和維護,不能主動跟蹤入侵者。傳統的防火墻產品是這類產品的典型。其高昂的維護成本和對網絡性能的影響是任何人都無法回避的。系統管理員需要專門的安全分析軟件和技術來判斷防火墻是否受到攻擊。
針對靜態安全技術的不足,世界上許多網絡安全和管理專家都提出了自己的解決方案。比如NAI對傳統防火墻技術做了重要的補充和加固,其最新推出的Windows NT防火墻系統gauntle firewall 113.0就包含了NAI技術專家多年的研究成果,比如“自適應代理技術”。