防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結構和運行狀況，有選擇地接受外部訪問，對內(nèi)部強化設備監(jiān)管、控制對服務器與外部網(wǎng)絡的訪問，在被保護網(wǎng)絡和外部網(wǎng)絡之間架起一道屏障，以防止發(fā)生不可預測的、潛在的破壞性侵入。防火墻有兩種，硬件防火墻和軟件防火墻，他們都能起到保護作用并篩選出網(wǎng)絡上的攻擊者。在這里主要給大家介紹一下我們在企業(yè)網(wǎng)絡安全實際運用中所常見的硬件防火墻。
 

 

　　一、防火墻基礎原理

 

 

　　1、防火墻技術

 

 

　　防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務。下面，我們將介紹這些手段的工作機理及特點，并介紹一些防火墻的主流產(chǎn)品。

 

 

　　包過濾技術是一種簡單、有效的安全控制技術，它通過在網(wǎng)絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全控制，對于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

 

 

　　狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種方式的好處在于：由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù)包）通過散列算法，直接進行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使得安全性得到進一步地提高。

 

 

　　2、防火墻工作原理

 

 

　　（1）包過濾防火墻

 

 

　　包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。

 

圖1：包過濾防火墻工作原理圖

 

 

　?。?）應用網(wǎng)關防火墻

 

 

　　應用網(wǎng)關防火墻檢查所有應用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡的安全性。然而，應用網(wǎng)關防火墻是通過打破客戶機／服務器模式實現(xiàn)的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網(wǎng)關防火墻具有可伸縮性差的缺點。（圖2）

 

 

 

 

 

圖2：應用網(wǎng)關防火墻工作原理圖

 

 

　?。?）狀態(tài)檢測防火墻

 

 

　　狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包，不關心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。（圖3）

 

 

 

 

 

圖3：狀態(tài)檢測防火墻工作原理圖

（4）復合型防火墻

 

 

　　復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡流量里的攻擊，在網(wǎng)絡界面對應用層掃描，把防病毒、內(nèi)容過濾與防火墻結合起來，這體現(xiàn)了網(wǎng)絡與信息安全的新思路。它在網(wǎng)絡邊界實施OSI第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護、內(nèi)容過濾等應用層服務措施。（圖4）

 

 

 

 

 

圖4：復合型防火墻工作原理圖

 

 

　　3、四類防火墻的對比

 

 

　　包過濾防火墻：包過濾防火墻不檢查數(shù)據(jù)區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報文無關，應用層控制很弱。

 

 

　　應用網(wǎng)關防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網(wǎng)絡層保護比較弱。

 

 

　　狀態(tài)檢測防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關，應用層控制很弱。

 

 

　　復合型防火墻：可以檢查整個數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡層保護強，應用層控制細，會話控制較弱。

 

 

　　4、防火墻術語

 

 

　　網(wǎng)關：在兩個設備之間提供轉發(fā)服務的系統(tǒng)。網(wǎng)關是互聯(lián)網(wǎng)應用程序在兩臺主機之間處理流量的防火墻。這個術語是非常常見的。

 

 

　　DMZ非軍事化區(qū)：為了配置管理方便，內(nèi)部網(wǎng)中需要向外提供服務的服務器往往放在一個單獨的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū)。防火墻一般配備三塊網(wǎng)卡，在配置時一般分別分別連接內(nèi)部網(wǎng)，internet和DMZ。

 

 

　　吞吐量：網(wǎng)絡中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，防火墻對每個數(shù)據(jù)包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。這是測量防火墻性能的重要指標。

 

 

　　最大連接數(shù)：和吞吐量一樣，數(shù)字越大越好。但是最大連接數(shù)更貼近實際網(wǎng)絡情況，網(wǎng)絡中大多數(shù)連接是指所建立的一個虛擬通道。防火墻對每個連接的處理也好耗費資源，因此最大連接數(shù)成為考驗防火墻這方面能力的指標。

 

 

　　數(shù)據(jù)包轉發(fā)率：是指在所有安全規(guī)則配置正確的情況下，防火墻對數(shù)據(jù)流量的處理速度。

 

 

　　SSL：SSL（Secure Sockets Layer）是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。

 

 

　　網(wǎng)絡地址轉換：網(wǎng)絡地址轉換（NAT）是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態(tài)網(wǎng)絡地址轉換、動態(tài)網(wǎng)絡地址轉換、網(wǎng)絡地址及端口轉換、動態(tài)網(wǎng)絡地址及端口轉換、端口映射等。NAT常用于私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后，可以隱藏受保護網(wǎng)絡的內(nèi)部拓撲結構，在一定程度上提高網(wǎng)絡的安全性。如果反向NAT提供動態(tài)網(wǎng)絡地址及端口轉換功能，還可以實現(xiàn)負載均衡等功能。

 

 

　　堡壘主機：一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內(nèi)部網(wǎng)絡的一個檢查點，以達到把整個網(wǎng)絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。

 

 

　　二、市場上常見的硬件防火墻

 

 

　?。?）NetScreen 208 Firewall

 

 

　　NetScreen科技公司推出的NetScreen防火墻產(chǎn)品是一種新型的網(wǎng)絡安全硬件產(chǎn)品。NetScreen采用內(nèi)置的ASIC技術，其安全設備具有低延時、高效的IPSec加密和防火墻功能，可以無縫地部署到任何網(wǎng)絡。設備安裝和操控也是非常容易，可以通過多種管理界面包括內(nèi)置的WebUI界面、命令行界面或NetScreen中央管理方案進行管理。NetScreen將所有功能集成于單一硬件產(chǎn)品中，它不僅易于安裝和管理，而且能夠提供更高可靠性和安全性。由于NetScreen設備沒有其它品牌產(chǎn)品對硬盤驅動器所存在的穩(wěn)定性問題，所以它是對在線時間要求極高的用戶的最佳方案。采用NetScreen設備，只需要對防火墻、VPN和流量管理功能進行配置和管理，減省了配置另外的硬件和復雜性操作系統(tǒng)的需要。這個做法縮短了安裝和管理的時間，并在防范安全漏洞的工作上，省略設置的步驟。NetScreen-100 Firewall比適合中型企業(yè)的網(wǎng)絡安全需求。

　（2）Cisco Secure PIX 515-E Firewall

 

 

　　Cisco Secure PIX防火墻是Cisco防火墻家族中的專用防火墻設施。Cisco Secure PIX 515-E防火墻系通過端到端安全服務的有機組合，提供了很高的安全性。適合那些僅需要與自己企業(yè)網(wǎng)進行雙向通信的遠程站點，或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的Web服務的情況。Cisco Secure PIX 515-E與普通的CPU密集型專用代理服務器(對應用級的每一個數(shù)據(jù)包都要進行大量處理)不同，Cisco Secure PIX 515-E防火墻采用非UNIX、安全、實時的內(nèi)置系統(tǒng)?？商峁U展和重新配置IP網(wǎng)絡的特性，同時不會引起IP地址短缺問題。NAT既可利用現(xiàn)有IP地址，也可利用Internet指定號碼機構[IANA]預留池[RFC.1918]規(guī)定的地址來實現(xiàn)這一特性。Cisco Secure PIX 515-E還可根據(jù)需要有選擇性地允許地址是否進行轉化。CISCO保證NAT將同所有其它的PIX防火墻特性(如多媒體應用支持)共同工作。Cisco Secure PIX 515-E Firewall比適合中小型企業(yè)的網(wǎng)絡安全需求。

 

 

　?。?）天融信網(wǎng)絡衛(wèi)士NGFW4000-S防火墻

 

 

　　北京天融信公司的網(wǎng)絡衛(wèi)士是我國第一套自主版權的防火墻系統(tǒng),目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。網(wǎng)絡衛(wèi)士NGFW4000-S防火墻是我國首創(chuàng)的核檢測防火墻，更加安全更加穩(wěn)定。網(wǎng)絡衛(wèi)士NGFW4000-S防火墻系統(tǒng)集中了包過濾防火墻、應用代理、網(wǎng)絡地址轉換(NAT)、用戶身份鑒別、虛擬專用網(wǎng)、Web頁面保護、用戶權限控制、安全審計、攻擊檢測、流量控制與計費等功能,可以為不同類型的Internet接入網(wǎng)絡提供全方位的網(wǎng)絡安全服務。網(wǎng)絡衛(wèi)士防火墻系統(tǒng)是中國人自己設計的，因此管理界面完全是中文化的，使管理工作更加方便，網(wǎng)絡衛(wèi)士NGFW4000-S防火墻的管理界面是所有防火墻中最直觀的。網(wǎng)絡衛(wèi)士NGFW4000-S防火墻比適合中型企業(yè)的網(wǎng)絡安全需求。

 

 

　?。?）東軟NetEye 4032防火墻

 

 

　　NetEye 4032防火墻是NetEye防火墻系列中的最新版本，該系統(tǒng)在性能，可靠性，管理性等方面大大提高。其基于狀態(tài)包過濾的流過濾體系結構，保證從數(shù)據(jù)鏈路層到應用層的完全高性能過濾，可以進行應用級插件的及時升級，攻擊方式的及時響應，實現(xiàn)動態(tài)的保障網(wǎng)絡安全。NetEye防火墻4032對流過濾引擎進行了優(yōu)化，進一步提高了性能和穩(wěn)定性，同時豐富了應用級插件、安全防御插件，并且提升了開發(fā)相應插件的速度。網(wǎng)絡安全本身是一個動態(tài)的，其變化非常迅速，每天都有可能有新的攻擊方式產(chǎn)生。安全策略必須能夠隨著攻擊方式的產(chǎn)生而進行動態(tài)的調(diào)整，這樣才能夠動態(tài)的保護網(wǎng)絡的安全?；跔顟B(tài)包過濾的流過濾體系結構，具有動態(tài)保護網(wǎng)絡安全的特性，使NetEye防火墻能夠有效的抵御各種新的攻擊，動態(tài)保障網(wǎng)絡安全。東軟NetEye 4032防火墻比適合中小型企業(yè)的網(wǎng)絡安全需求。

 

 

　　三、防火墻的基本配置

 

 

　　下面我以國內(nèi)防火墻第一品牌天融信NGFW 4000為例給各位講解一下在一個典型的網(wǎng)絡環(huán)境中應該如何來配置防火墻。

 

 

 

 

 

圖5：網(wǎng)絡拓撲結構

 

 

　　NGFW4000有3個標準端口，其中一個接外網(wǎng)（Internet網(wǎng)），一個接內(nèi)網(wǎng)，一個接DMZ區(qū)，在DMZ區(qū)中有網(wǎng)絡服務器。安裝防火墻所要達到的效果是：內(nèi)網(wǎng)區(qū)的電腦可以任意訪問外網(wǎng)，可以訪問DMZ中指定的網(wǎng)絡服務器，Internet網(wǎng)和DMZ的電腦不能訪問內(nèi)網(wǎng)；Internet網(wǎng)可以訪問DMZ中的服務器。

 

 

　　1、配置管理端口

 

 

　　天融信網(wǎng)絡衛(wèi)士NGFW4000防火墻是由防火墻和管理器組成的，管理防火墻都是通過網(wǎng)絡中的一臺電腦來實現(xiàn)的。防火墻默認情況下，3個口都不是管理端口，所以我們先要通過串口把天融信網(wǎng)絡衛(wèi)士NGFW4000防火墻與我們的電腦連接起來，給防火墻指定一個管理端口，以后對防火墻的設置就可以通過遠程來實現(xiàn)了。

 

 

　　使用一條串口線把電腦的串口（COM1）與NGFW4000防火墻的console口連接起來，啟動電腦的"超級終端"，端口選擇COM1，通信參數(shù)設置為每秒位數(shù)9600，數(shù)據(jù)位8，奇偶校驗無，停止位1，數(shù)據(jù)流控制無。進入超級終端的界面，輸入防火墻的密碼進入命令行格式。

 

 

　　定義管理口：if eth1 XXX.XXX.XXX.XXX 255.255.255.0

 

 

　　修改管理口的GUI登錄權限： fire client add topsec -t gui -a 外網(wǎng) -i 0.0.0.0-255.255.255.255

　2、使用GUI管理軟件配置防火墻

 

 

　　安裝天融信防火墻GUI管理軟件"TOPSEC集中管理器"，并建立NGFW4000管理項目，輸入防火墻管理端口的IP地址與說明。然后登錄進入管理界面。

 

 

　?。?）定義網(wǎng)絡區(qū)域

 

 

　　Internet（外網(wǎng)）：接在eth0上，缺省訪問策略為any（即缺省可讀、可寫），日志選項為空，禁止ping、GUI、telnet。

 

 

　　Intranet（內(nèi)網(wǎng)）：接在eth1上，缺省訪問策略為none（不可讀、不可寫），日志選項為記錄用戶命令，允許ping、GUI、telnet。

 

 

　　DMZ區(qū)：接在eth2上， 缺省訪問策略為none（不可讀、不可寫），日志選項為記錄用戶命令，禁止ping、GUI、telnet。

 

 

　?。?）定義網(wǎng)絡對象

 

 

　　一個網(wǎng)絡節(jié)點表示某個區(qū)域中的一臺物理機器。它可以作為訪問策略中的源和目的，也可以作為通信策略中的源和目的。網(wǎng)絡節(jié)點同時可以作為地址映射的地址池使用，表示地址映射的實際機器，詳細描述見通信策略。

 

 

 

 

 

圖6

 

 

　　子網(wǎng)表示一段連續(xù)的IP地址?？梢宰鳛椴呗缘脑椿蚰康模€可以作為NAT的地址池使用。如果子網(wǎng)段中有已經(jīng)被其他部門使用的IP，為了避免使用三個子網(wǎng)來描述技術部使用的IP地址，可以將這兩個被其他部門占用的地址在例外地址中說明。

 

 

 

 

 

圖7

 

 

　　為了配置訪問策略，先定義特殊的節(jié)點與子網(wǎng)：

 

 

　　FTP_SERVER：代表FTP服務器，區(qū)域=DMZ，IP地址= XXX.XXX.XXX.XXX。

 

 

　　HTTP_SERVER：代表HTTP服務器，區(qū)域=DMZ，IP地址= XXX.XXX.XXX.XXX。

 

 

　　MAIL_SERVER：代表郵件服務器，區(qū)域=DMZ，IP地址= XXX.XXX.XXX.XXX。

 

 

　　V_SERVER：代表外網(wǎng)訪問的虛擬服務器，區(qū)域=Internet，IP=防火墻IP地址。

 

 

　　inside：表示內(nèi)網(wǎng)上的所有機器，區(qū)域=Intranet，起始地址=0.0.0.0，結束地址=255.255.255.255。

 

 

　　outside：表示外網(wǎng)上的所有機器，區(qū)域=Internet，起始地址=0.0.0.0，結束地址=255.255.255.255。

（3）配置訪問策略

 

 

　　在DMZ區(qū)域中增加三條訪問策略：

 

 

　　A、訪問目的=FTP_SERVER，目的端口=TCP 21。源=inside，訪問權限=讀、寫。源=outside，訪問權限=讀。這條配置表示內(nèi)網(wǎng)的用戶可以讀、寫FTP服務器上的文件，而外網(wǎng)的用戶只能讀文件，不能寫文件。

 

 

　　B、訪問目的=HTTP_SERVER，目的端口=TCP 80。源=inside+outside，訪問權限=讀、寫。這條配置表示內(nèi)網(wǎng)、外網(wǎng)的用戶都可以訪問HTTP服務器。

 

 

　　C、訪問目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=inside+outside，訪問權限=讀、寫。這條配置表示內(nèi)網(wǎng)、外網(wǎng)的用戶都可以訪問MAIL服務器。

 

 

　?。?）通信策略

 

 

　　由于內(nèi)網(wǎng)的機器沒有合法的IP地址，它們訪問外網(wǎng)需要進行地址轉換。當內(nèi)部機器訪問外部機器時，可以將其地址轉換為防火墻的地址，也可以轉換成某個地址池中的地址。增加一條通信策略，目的=outside，源=inside，方式=NAT，目的端口=所有端口。如果需要轉換成某個地址池中的地址，則必須先在Internet中定義一個子網(wǎng)，地址范圍就是地址池的范圍，然后在通信策略中選擇NAT方式，在地址池類型中選擇剛才定義的地址池。

 

 

　　服務器也沒有合法的IP地址，必須依靠防火墻做地址映射來提供對外服務。增加通信策略。

 

 

　　A、目的=V_SERVER，源=outside，通信方式=MAP，指定協(xié)議=TCP，端口映射21->21，目標機器=FTP_SERVER。

 

 

　　B、目的=V_SERVER，源=outside，通信方式=MAP，指定協(xié)議=TCP，端口映射80->80，目標機器=HTTP_SERVER。

 

 

　　C、目的=V_SERVER，源=outside，通信方式=MAP，指定協(xié)議=TCP，端口映射25->25，目標機器=MAIL_SERVER。

 

 

　　D、目的=V_SERVER，源=outside，通信方式=MAP，指定協(xié)議=TCP，端口映射110->110，目標機器=MAIL_SERVER。

 

 

　?。?）特殊端口

 

 

　　在防火墻默認的端口定義中沒有我們所要用到的特殊端口，就需要我們手工的添加這些特殊端口了。在防火墻集中管理器中選擇"高級管理">"特殊對象">"特殊端口"，將彈出特殊端口的定義界面，點"定義新對象"，輸入特殊端口號與定義區(qū)域即可。

 

 

　　（6）其他配置

 

 

　　最后進入"工具"選項，定義防火墻的管理員、權限以及與IDS的聯(lián)動等。（圖8）

 

 

 

 

 

圖8

 

 

　　四、防火墻對比

 

 

　　在了解了防火墻的工作原理及基本配置之后，下面給大家介紹一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032這四款市場上最常見的硬件防火墻在基本性能、操作管理與市場價格上的比較。