文档介绍：1 / 10
防火墙的安全性分析
近年来，网络犯罪的递增、大量黑客的诞生，促使人们 思考网络的安全性问题。各种网络安全工具也跟着在市场上 被炒得火热。其中最受人注目的当属网络安全工具中最早成 熟，也是最早产品化的网络防火墙产品了。目前防火墙产品 已经进入战国时代，在全球至少有千种以上的防火墙，那么 防火墙到底是一种什么东西？它有那些技术指标？我们应 该怎样选择一个合适的防火墙呢？本文试图就这些问题对 防火墙进行探讨。
--防火墙是什么？
所谓“防火墙”，是指一种将内部网和公众访问网(如 Internet)分开的方法，它实际上是一种隔离技术。防火墙是在 两个网络通讯时执行的一种访问控制尺度，它能允许你“同 意”的人和数据进入你的网络，同时将你“不同意”的人和 数据拒之门外，最大限度地阻止网络中的黑客来访问你的网 络，防止他们更改、拷贝、毁坏你的重要信息。

防火墙对网络的安全起到了一定的保护作用，但并非万 无一失。通过对防火墙的基本原理和实现方式进行分析和研 究，我对防火墙的安全性有如下几点认识。
.正确选用、合理配置防火墙非常不容易
防火墙作为网络安全的一种防护手段，有多种实现方式。 建立合理的防护系统，配置有效的防火墙应遵循这样四个基 本步骤：
;
；
2 / 10
；
，并使之与安全政策保持一致。
然而，多数防火墙的设立没有或很少进行充分的风险分 析和需求分析，而只是根据不很完备的安全政策选择了一种 似乎能“满足”需要的防火墙，这样的防火墙能否“防火” 还是个问题。
.需要正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用，不仅要 看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问 的蛛丝马纪，而且要看到一旦防火墙被攻破，它的状态如何? 按级别来分，它应有这样四种状态： 常工作；，同时恢复到正常工作状态；c. 关闭并禁止所有的数据通行；。
前两种状态比较理想，而第四种最不安全。但是许多防 火墙由于没有条件进行失效状态测试和验证，无法确定其失 效状态等级，因此网络必然存在安全隐患。 行动态维护
防火墙安装和投入使用后，并非万事大吉。要想充分发 挥它的安全防护作用，必须对它进行跟踪和维护，要与商家 保持密切的联系，时刻注视商家的动态。因为商家一旦发现 其产品存在安全漏洞，就会尽快发布补救(Patch)产品，此时 应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件 进行更新。
.目前很难对防火墙进行测试验证
防火墙能否起到防护作用，最根本、最有效的证明方法 是对其进行测试，甚至站在“黑客”的角度采用各种手段对 防火墙进行攻击。然而具体执行时难度较大：
，尚无正 式出版刊物，可用的工具和软件更是寥寥无几。据了解目前 只有美国ISS公司提供有防火墙性能测试的工具软件。
3 / 10
，与防火墙设计并非完全 吻合，使得测试工作难以达到既定的效果。
“谁”进行公正的测试也是一个问题。
可见，防火墙的性能测试决不是一件简单的事情，但这 种测试又相当必要，进而提出这样一个问题：不进行测试, 何以证明防火墙安全？
.非法攻击防火墙的基本“招数”
，有效的攻击都是从相关的子网进行的。 因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于 机遇等其他因素，但对攻击者而言很值得一试。下面我们以 数据包过滤防火墙为例，简要描述可能的攻击过程。
这种类型的防火墙以IP地址作为鉴别数据包是否允许 其通过的条件，而这恰恰是实施攻击的突破口。许多防火墙 软件无法识别数据包到底来自哪个网络接口，因此攻击者无 需表明进攻数据包的真正来源，只需伪装IP地址，取得目标 的信任，使其认为来自网络内部即可。IP地址欺骗攻击正是 基于这类防火墙对IP地址缺乏识别和验证的机制。
通常主机A与主机B的TCP连接（中间有或无防火墙） 是通过主机A向主机B提出请求建立起来的，而其间A和 B的确认仅仅根据由主机A产生并经主机B验证的初始序列 号ISN。具体分三个步骤：
.主机A产生它的ISN,传送给主机B,请求建立连
接;
. B接收到来自A的带有SYN标志的ISN后，将自 己本身的ISN连同应答信息ACK 一同返回给A；
.A再将B传送来的ISN及应答信息ACK返回给B。
4 / 10
至此，正常情况，主机A与B的TCP连接就建立起来 了。IP地址欺骗攻击的第一步是切断可信赖主机。这样可以 使用TCP淹没攻击