防火墙的技术与应用-选购和应用(14)

　　公元前12世纪，希腊与特洛伊的一场战争，造就了荷马(Homer)史诗中的两位英雄人物Achilles与Odysseus；而这场战争最终决定性的胜利竟然是一只木马，这样富戏剧性的结局更让人不可思议，除了具军事教训意味外，着实也多了许多趣味性。如今这场战争却活生生地搬上了Internet舞台，虽然少了美女Helen助阵，不过精采的程度却不下于3000多年前的盛况，只不过整个场景都虚拟于网络之中。。

　　 据荷马史诗记载，希腊联军共围剿特洛伊城达十年之久，当时没有现代的空中部队，因此整个防卫所依靠的都是城墙！据说当时特洛依城城墙厚度达五公尺，在这么坚固城墙防卫下，希腊一直都无法将特洛依城攻下。

　　相对于特洛依城墙的厚度，到底一道网络的城墙要多“厚”才安全呢？在Internet中的城墙，我们称之Firewall或是防火墙，主要的作用是进行网络交通过滤与管制。

　　这道网络虚拟的城墙强度虽然不能以实体厚度来衡量，但打造这道城墙同样要考虑到“是否地基够稳？”、“是否有钢筋结构？”、“城门卫兵是否尽职？”，此外这一整套控管机构“是否有品质保证？”，如此才能评判防火墙是否足以抵御外侮。

打造一道网络城墙

1、以安全的角度出发，来设计操作系统

　　一般操作系统的设计是用来满足所有的应用环境，因此出发点是以“弹性”考虑，在此前提下，操作系统呈现的是“多而杂”，样样都可以做，不过却不见得都一定用得上；而以“安全”角度来设计的操作系统，设计的用途是专供防火墙用的，是个“小而美”的操作系统，因此可与防火墙紧密搭配，当然可以有效提升防火墙的强度。

2、删除不需要的功能与指令

　　系统存在的程序与指令愈多，漏洞也就相对地增加，黑客常常会利用操作系统上运作程序的漏洞，作为入侵的途径，并利用系统上可用的指令来破坏系统的运作。因此将不必要的程序与指令删除，黑客的攻击目标自然减少了。

3、删除所有操作系统上既存的程序的漏洞

　　有些程序是必须存在操作系统上以利系统运作，而这些程序本身仍然可能遭受到黑客攻击，因此作为一个防火墙上的操作系统，就不能沿用一般操作系统上的运作程序，必须重新审视程序内容是否隐藏漏洞，一一删除漏洞后再重新设计，然后才供系统运作使用。