全方位讲解硬件防火墙的选择

防火墙是指设置在不同网路（如可信任的企业内部网和不可信的公共网）或网路安全域之间的一系列部件的组合。它是不同网路或网路安全域之间信息的惟一出入口，通过检测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网路内部的信息、结构和运行状况，有选择地接受外部访问，对内部加强设备监管、控制对服务器与外部网路的访问，在被保护网路和外部网路之间架起一道屏障，以避免发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，她们都能起到保护作用并筛选出网路上的功击者。在这儿主要给你们介绍一下我们在企业网路安全实际运用中所常见的硬件防火墙。

一、防火墙基础原理

1、防火墙技术

防火墙一般使用的安全控制手段主要有包过滤、状态监测、代理服务。下边，我们将介绍这种手段的工作机理及特性，并介绍一些防火墙的主流产品。

包过滤技术是一种简单、有效的安全控制技术，它通过在网路间互相联接的设备上加载容许、禁止来自个别特定的源地址、目的地址、TCP端标语等规则，对通过设备的数据包进行检测，限制数据包进出内部网路。包过滤的最大优点是对用户透明，传输性能高。但因为安全控制层次在网路层、传输层，安全控制的力度也只限于源地址、目的地址和端标语，因此只能进行较为初步的安全控制，对于恶意的串扰功击、内存覆盖攻击或病毒等高层次的功击手段，则无能为力。

状态检查是比包过滤更为有效的安全控制方式。对新建的应用联接，状态检查检测预先设置的安全规则，容许符合规则的联接通过，并在显存中记录下该联接的相关信息，生成状态表。对该联接的后续数据包，只要符合状态表，就可以通过。这些方法的用处在于：因为不须要对每位数据包进行规则检测，而是一个联接的后续数据包（一般是大量的数据包）通过散列算法，直接进行状态检测，进而促使性能得到了较大提升；并且，因为状态表是动态的，因此可以有选择地、动态地开通1024号以上的端口，致使安全性得到进一步地增强。

2、防火墙工作原理

（1）包过滤防火墙

包过滤防火墙通常在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网路层检测数据包，与应用层无关。这样系统就具有挺好的传输性能，可扩充能力强。并且，包过滤防火墙的安全性有一定的缺陷，由于系统对应用层信息无感知，也就是说，防冰锥不理解通讯的内容，所以可能被黑客所攻占。

图1：包过滤防火墙工作原理图

（2）应用网段防火墙

应用网段防火墙检测所有应用层的信息包，并将检测的内容信息装入决策过程，因而提升网路的安全性。但是，应用网段防火墙是通过打破顾客机／服务器模式实现的。每位顾客机／服务器通讯须要两个联接：一个是从顾客端到防火墙，另一个是从防火墙到服务器。另外，每位代理须要一个不同的应用进程，或一个后台运行的服务程序，对每位新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网段防火墙具有可伸缩性差的缺点。（图2）

图2：应用网段防火墙工作原理图

（3）状态监测防火墙

状态监测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了急剧提高。这些防火墙革除了简单包过滤防火墙仅仅考察进出网路的数据包，不关心数据包状态的缺点，在防火墙的核心部份构建状态联接表，维护了联接，将进出网路的数据当作一个个的风波来处理。可以这样说，状态监测包过滤防火墙规范了网路层和传输层行为，而应用代理型防火墙则是规范了特定的应用合同上的行为。（图3）

图3：状态监测防火墙工作原理图

（4）复合型防火墙

复合型防火墙是指综合了状态监测与透明代理的新一代的防火墙，进一步基于ASIC构架，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能避免隐蔽在网路流量里的功击，在网路界面对应用层扫描，把防病毒、内容过滤与防火墙结合上去，这彰显了网路与信息安全的新思路。它在网路边界施行OSI第七层的内容扫描，实现了实时在网路边沿部署病毒防护、内容过滤等应用层服务举措。（图4）

图4：复合型防火墙工作原理图

3、四类防火墙的对比

包过滤防火墙：包过滤防火墙不检测数据区，包过滤防火墙不完善联接状态表，前后报文无关，应用层控制很弱。

应用网段防火墙：不检测IP、TCP报头，不完善联接状态表，网路层保护比较弱。

状态监测防火墙：不检测数据区，构建联接状态表，前后报文相关，应用层控制很弱。

复合型防火墙：可以检测整个数据包内容，依据须要构建联接状态表，网路层保护强，应用层控制细，会话控制较弱。

4、防火墙术语

网段：在两个设备之间提供转发服务的系统。网段是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是十分常见的。

DMZ非军事化区：为了配置管理便捷，内部网中须要向外提供服务的服务器常常置于一个单独的网关，这个网关便是非军事化区。防火墙通常配备三块网卡，在配置时通常分别分别联接内部网，和DMZ。

吞吐量：网路中的数据是由一个个数据包组成，防火墙对每位数据包的处理要花费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数目。这是检测防火墙性能的重要指标。

最大联接数：和吞吐量一样，数字越大越好。并且最大联接数更紧贴实际网路情况，网路中大多数联接是指所构建的一个虚拟通道。防火墙对每位联接的处理也好花费资源，因而最大联接数成为考验防火墙这方面能力的指标。

数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速率。

ssl：SSL（Layer）是由公司开发的一套数据安全合同，当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身分认证和加密数据传输。SSL合同坐落TCP/IP合同与各类应用层合同之间，为数据通信提供安全支持。

网路地址转换：网路地址转换（NAT）是一种将一个IP地址域映射到另一个IP地址域技术，进而为终端主机提供透明路由。NAT包括静态网路地址转换、动态网路地址转换、网络地址及端口转换、动态网路地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址短缺问题。在防火墙上实现NAT后，可以隐藏受保护网路的内部拓扑结构，在一定程度上提升网路的安全性。假如反向NAT提供动态网路地址及端口转换功能，还可以实现负载均衡等功能。

堡垒主机：一种被加强的可以防御逼抢的计算机，被曝露于因特网之上，作为步入内部网路的一个检测点，以达到把整个网路的安全问题集中在某个主机上解决，因而省时省力，不用考虑其它主机的安全的目的。

二、市场上常见的硬件防火墙

（1）208

科技公司推出的防火墙产品是一种新型的网路安全硬件产品。采用外置的ASIC技术，其安全设备具有低延时、高效的IPSec加密和防火墙功能，可以无缝地布署到任何网路。设备安装和操控也是十分容易，可以通过多种管理界面包括外置的WebUI界面、命令行界面或中央管理方案进行管理。将所有功能集成于单一硬件产品中，它除了便于安装和管理，并且还能提供更高可靠性和安全性。因为设备没有其它品牌产品对硬碟驱动器所存在的稳定性问题，所以它是对在线时间要求极高的用户的最佳方案。采用设备，只须要对防火墙、VPN和流量管理功能进行配置和管理，减省了配置另外的硬件和复杂性操作系统的须要。这个做法减短了安装和管理的时间，并在防范安全漏洞的工作上，省略设置的步骤。-100比适宜小型企业的网路安全需求。

（2）CiscoPIX515-E

CiscoPIX防火墙是Cisco防火墙家族中的专用防火墙设施。CiscoPIX515-E防火墙系通过端到端安全服务的有机组合，提供了很高的安全性。适宜这些仅须要与自己企业网进行单向通讯的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。CiscoPIX515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同，CiscoPIX515-E防火墙采用非UNIX、安全、实时的外置系统。可提供扩充和重新配置IP网路的特点，同时不会造成IP地址过剩问题。NAT既可借助现有IP地址，也可借助指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特点。CiscoPIX515-E还可依据须要有选择性地准许地址是否进行转化。CISCO保证NAT将同所有其它的PIX防火墙特点(如多媒体应用支持)共同工作。CiscoPIX515-E比适宜中大型企业的网路安全需求。

（3）天融信网路卫士-S防火墙

急速动力的网路卫士是我国第一套自主版权的防火墙系统,目前在我国铁通、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网路卫士-S防火墙是我国首创的核监测防火墙，愈发安全愈发稳定。网路卫士-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身分鉴定、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检查、流量控制与计费等功能,可以为不同类型的接入网路提供全方位的网路安全服务。网路卫士防火墙系统是中国人自己设计的，因而管理界面完全是英文化的，使管理工作愈加便捷，网路卫士-S防火墙的管理界面是所有防火墙中最直观的。网路卫士-S防火墙比适宜小型企业的网路安全需求。

（4）东软4032防火墙

4032防火墙是防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面大大增强。其基于状态包过滤的流过滤体系结构，保证从数据链路层到应用层的完全高性能过滤，可以进行应用级插件的及时升级，功击形式的及时响应，实现动态的保障网路安全。防火墙4032对流过滤引擎进行了优化，进一步提升了性能和稳定性，同时丰富了应用级插件、安全防御插件，而且提高了开发相应插件的速率。网路安全本身是一个动态的，其变化十分迅速，每天都有可能有新的功击形式形成。安全策略必须才能随着功击形式的形成而进行动态的调整，这样才才能动态的保护网路的安全。基于状态包过滤的流过滤体系结构，具有动态保护网路安全的特点，使防火墙才能有效的抗击各类新的功击，动态保障网路安全。东软4032防火墙比适宜中大型企业的网路安全需求。

三、防火墙的基本配置

下边我以国外防火墙第一品牌天融信NGFW4000为例给诸位讲解一下在一个典型的网路环境中应当怎样来配置防火墙。

图5：网路拓扑结构

有3个标准端口，其中一个接内网（网），一个接外网，一个接DMZ区，在DMZ区中有网路服务器。安装防火墙所要达到的疗效是：外网区的笔记本可以任意访问内网，可以访问DMZ手指定的网路服务器，网和DMZ的笔记本不能访问外网；网可以访问DMZ中的服务器。

1、配置管理端口

天融信网路卫士防火墙是由防火墙和管理器组成的，管理防火墙都是通过网路中的一台笔记本来实现的。防火墙默认情况下，3个口都不是管理端口，所以我们先要通过并口把天融信网路卫士防火墙与我们的笔记本联接上去，给防火墙指定一个管理端口，之后对防火墙的设置就可以通过远程来实现了。

使用一条并口线把笔记本的并口（COM1）与防火墙的口联接上去，启动笔记本的"超级终端"，端口选择COM1，通讯参数设置为每秒位数9600，数据位8，奇偶校准无，停止位1，数据流控制无。步入超级终端的界面，输入防火墙的密码步入命令行格式。

定义管理口：ifeth1XXX.XXX.XXX.XXX255.255.255.0

更改管理口的GUI登入权限：fireadd-tgui-a内网-i0.0.0.0-255.255.255.255

2、使用GUI管理软件配置防火墙

安装天融信防火墙GUI管理软件"集中管理器"，并完善管理项目，输入防火墙管理端口的IP地址与说明。之后登陆步入管理界面。

（1）定义网路区域

（内网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，严禁ping、GUI、。

（外网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，容许ping、GUI、。

DMZ区：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，严禁ping、GUI、。

（2）定义网路对象

一个网路节点表示某个区域中的一台数学机器。它可以作为访问策略中的源和目的，也可以作为通讯策略中的源和目的。网路节点同时可以作为地址映射的地址池使用，表示地址映射的实际机器，详尽描述见通讯策略。

图6

子网表示一段连续的IP地址。可以作为策略的源或目的，还可以作为NAT的地址池使用。如果子网关中有早已被其他部门使用的IP，为了防止使用三个子网来描述技术部使用的IP地址，可以将这两个被其他部门占用的地址在例外地址中说明。

图7

为了配置访问策略，先定义特殊的节点与子网：

：代表ftp服务器，区域=DMZ，IP地址=XXX.XXX.XXX.XXX。

：代表HTTP服务器，区域=DMZ，IP地址=XXX.XXX.XXX.XXX。

：代表短信服务器，区域=DMZ，IP地址=XXX.XXX.XXX.XXX。

：代表内网访问的虚拟服务器，区域=，IP=防火墙IP地址。

：表示外网上的所有机器，区域=，起始地址=0.0.0.0，结束地址=255.255.255.255。

：表示内网上的所有机器，区域=，起始地址=0.0.0.0，结束地址=255.255.255.255。

（3）配置访问策略

在DMZ区域中降低三条访问策略：

A、访问目的=，目的端口=TCP21。源=，访问权限=读、写。源=，访问权限=读。这条配置表示外网的用户可以读、写FTP服务器上的文件，而内网的用户只能读文件，不能写文件。