科技 Sina Ads.

   首页> 科技> >新闻内容


电脑网络:防火墙薄了还是厚了

http://www.sina.com.cn 1999年3月15日 15:43 科技日报

    据美国《未来与电脑》杂志透露,包括英特网在内的
三家电脑公司,将在未来的几个月中,投资近12亿美元,
专门用于网络特殊防火墙的研制。

    随着INTERNET上掀起电子商务、电子支付的应用热潮,
如何提高INTERNET网的安全便成了近期人们普遍关心的问
题,如何在物理意义上开放的网络环境下构造逻辑意义上
封闭的专用网络,就成为电子商务应用的前提。众所周知,
INTERNET网是基于TCP/IP协议的, 在这个协议的支持
下,INTERNET 网才得到了如此迅速的发展。 但是,由于
INTERNET网服务访问的脆弱性直接造成了网上信息安全的
脆弱性。如今,在网络上传输、存储、处理的电子信息,
甚至还没有传统的邮政通信的信封保护、签字盖章,信息
的来源、去向是否真实,内容是否被改动,不该泄露的信
息是否泄漏了等等,这一切在应用层支持服务的信息协议
中都还是凭着君子协定来维系。在目前的环境下,网络犯
罪日趋严重,INTERNET网上的风险成倍增长,加强信息安
全的保护工作势在必行。 许多公司开始了防火墙 (fire
wall)产品的研究。

    从广义上讲,防火墙是一个系统或系统组,它在两个
网络之间实施相应的访问控制策略。狭义上说,防火墙是
部件和系统的汇集器,它置于两个网络之间,并且具有如
下特性:(1)所有从内部通向外部或从外部通向内部的
通信业务都必须经过它;(2)只有经过授权的通信业务
才允许通过它;(3)系统自身对入侵是免疫的。从另外
意义上说,防火墙是被用于保护一个可信网络的装置,以
防止来自一个不可信网络的攻击。

    去年7月中旬,美国专刊信息部发言人说,5名年龄在
16-19岁之间的黑客(HACKERS)进入该部电脑主页,并更
改了二个交流站的网页。黑客声称,他们通过该部域名的
服务器登录,穿过英国BARC网络的防火墙,改变了与军事
发明有关的主页面,以此抗议军事科学家为军备而贡献出
的“努力”。还有一群黑客穿过防火墙,想获取项目信息。
《网上采访》杂志称,近年来,网上黑客利用防火墙的一
些弱点进入一些网络主页,获取自己所需,已成为家常便
饭的事。美国防部陆军电脑的主页, 在3名穿过防火墙的
青年黑客眼中一览无余,他们改变WEB主页面, 以此抗议
核试验,他们后来进入印度全国安全网络,偷走了敏感的
核子武器秘密,见到了印度核子科学家和以色列政府之间
相互寄出的电子邮件,同时将其记忆系统内的敏感性的文
件转送到另一记忆系统,还更改了印度核子的中枢--巴赫
原子能研究中心的网页(www.barc.ernetin)。

    电脑里,黑客穿过防火墙的行动中,80% 是为了寻求
或破坏商业信息,26% 是对军事进行干预,其余的则带着
游戏成份, 但对网络用户的损失却不可低估。 在美国,
1998年第二季度,因防火墙失效导致黑客入侵而损失达40
余亿美元。正因为如此,加强防火墙的“构筑”已被网络
公司列入议事日程。至今研究者已经从最初的网络服务访
问控制策略逐步发展到信息完整性检验策略、信息加密策
略、跟踪审计策略、可信计算机策略,使得防火墙的安全
保护能力不断提高。在这些安全策略的指导下,一个防火
墙应该具有什么功能来达到起码的安全要求呢?美国国家
技术标准研究所提出了如下建议:(1) 防火墙在即使没
有其它安全策略的情况下也应该支持“除非特别许可,否
则拒绝所有的服务”的设计原则;(2) 防火墙应该忠实
地支持您的安全性策略;(3) 防火墙应该能够灵活地容
纳新的服务和机构,改变所需要的安全策略;(4) 防火
墙应该包含先进的鉴别措施;(5) 防火墙应该采用过滤
技术,根据主机的需要来允许或拒绝某些服务;(6) 防
火墙过滤语言应该是灵活的,具有施工可能的过滤属性,
包括源和目的的IP地址、协议类型、源和目的的TCP/UDP
端口,及进入和跑出接口;(7)防火墙应该对如同FTP、
TELNET等服务使用代理服务,这样就可以采用先进的鉴别
措施,并且可以集中于防火墙进行;(8) 防火墙应该包
含集中化的SMTP访问能力,以简化本地与远程系统的SMTP
连续,实现本地电子邮件的集中处理;(9) 防火墙应该
接纳对本网的公共访问,这样,公共信息服务被防火墙所
保护,如果不需要某些访问,可以从本地系统分离出去;
(10)防火墙应该包含集中处理和过滤拨号访问的能力;
(11)防火墙应该包含登记电信业务和可疑活动的方法,
并且简化到要可读、可懂的程度;(12)防火墙可以在任
何相应的操作系统中更新,并且用合适的方法解决故障。

    但是,由于防火墙要保证信息安全,采取了许多访问
控制机制,从而限制了用户称心如意的访问,加之现在的
防火墙很少防护来自内部的攻击,所以,尽管新的防火墙
产品层出不穷,但是他们还远未达到完美的地步。防火墙
结合其他的安全工具才能更好地保障电子商务的实现。    
木华