网络安全讲座之3：防火墙技术(4)

　　默认情况下，防火墙可以配置成以下两种情况：

　　·拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

　　·允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

　　可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

　　防火墙的一些高级特性

　　今天多数的防火墙系统组合包过滤，电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包，然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时，这三种防火墙类型可能都需要。更高级的防火墙提供额外的功能可以增强你的网络的安全性。尽管不是必需，每个防火墙都应该实施日志记录，哪怕是一些最基本的。

　　认 证

　　防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌（firewall token），或反向查询一个IP地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP四层的每一层上。多数的代理服务器提供完整的用户帐号数据库。结合使用这些用户帐号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些帐号数据库来提供更详细的日志。

　　日志和警报

　　包过滤或筛选路由器一般在默认情况下为了不降低性能是不进行日志记录的。永远不要认为你的防火墙会自动地对所有活动创建日志。筛选路由器只能记录一些最基本的信息，而电路级网关也只能记录相同的信息但除此之外还包括任何NAT解释信息。因为你要在防火墙上创建一个阻塞点，潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术，那么你有可能捕获到所有用户的活动包括那些黑客。你可以确切地知道黑客在做些什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做何响应。防火墙两种最普通的活动是中断TCP/IP连接或自动发出警告。相关的警报机制包括可见的和可听到的警告。