防火墙和系统安全防护和优化

防火墙和系统安全防护和优化：

防火墙
防火墙(Firewall)，也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。[2]

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

作用
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

分类
网络层防火墙

网络层防火墙[3]可视为一种 IP 封包过滤器（允许或拒绝封包资料通过的软硬结合装置），运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段…等属性来进行过滤。

应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。
策略配置与优化

防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产
生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量
保证统一规划以提高设置效率，提高可读性，降低维护难度。
策略配置与维护需要注意地方有：
试运行阶段最后一条 策略定义为所有访问允许并记录日志，以便在不影响业务的情况下
找漏补遗；当确定把所有的业务流量都调查清楚并放行后，可将最后-条定义为所有访问禁止
并记录8志，以便在试运行阶段观察非法流量行踪。试运行阶段结束后，再将最后一条“禁止
所有访问”策略删除。
防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，
建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的
策略上面。
策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作，但启用此功能会耗用
部分资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。
简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则
越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。
策略用于区域间单方向网络访问控制。如果源区域和目的区域不同，则防火墙在区域间
策略表中执行策略查找。如果源区域和目的区域相同并启用区域内阻断，则防火墙在区域内部
策略表中执行策略查找。如果在区域间或区域内策略表中没有找到匹配策略，则安全设备会检
查相关区域的缺省访问权限以查找匹配策略。

策略变更控制。组织好策略规则后，应写上注释并及时更新。注释可以帮助管理员了解
每条策略的用途，对策略理解得越全面，错误配置的可能性就越小。如果防火墙有多个管理员，
建议策略调整时，将变更者、变更具体时间、变更原因加入注释中，便于后续跟踪维护。

攻击防御
防火墙利用入侵防护功能抵御互联网上流行的DoS/DDoS的攻击，
些流行的攻击手法
有Synflood， Udpflood， Smurf， Ping of Death， Land Attack等，当网络确实存在这些类型的
攻击数据流时，我们可以适当开启这些抗攻击选项，可以有效的保护各种应用服务器。如果希
望开启其它选项，在开启这些防护功能前有几个因素需要考虑：
自行开发的一：些应用程序中，可能存在部分不规范的数据包格式；
如果因选择过多的防攻击选项而大幅降低了防火墙处理能力，则会影响正常网络处理的
性能；如果自行开发的程序不规范，可能会被IP数据包协议异常的攻击选项屏蔽；非常规的
网絡设计也会出现合法流量被屏蔽问题。
要想有效发挥防火墙的攻击防御功能，需要对网络中流量和协议类型有比较充分的认识，
同时要理解每一个防御选项的具体含义，避免引发无谓的网络故障。防攻击选项的启用需要采
用逐步逼近的方式，-次仅启用一个防攻击选项，然后观察设备资源占用情况和防御结果，在
确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项：
根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范DDoS的
选项_上添加20%的余量作为阀值。
如果要设置防范IP协议层的选项，需在深入了解网络环境后，再将IP协议和网络层{ C
下你主诜而诼牛诜中