全方位講解硬件防火墻的選擇

防火墻是指設置在不同網(wǎng)絡(luò )（如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò )安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò )或網(wǎng)絡(luò )安全域之間信息的唯一出入口，通過(guò)監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網(wǎng)絡(luò )內部的信息、結構和運行狀況，有選擇地接受外部訪(fǎng)問(wèn)，對內部強化設備監管、控制對服務(wù)器與外部網(wǎng)絡(luò )的訪(fǎng)問(wèn)，在被保護網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間架起一道屏障，以防止發(fā)生不可預測的、潛在的破壞性侵入。防火墻有兩種，硬件防火墻和軟件防火墻，他們都能起到保護作用并篩選出網(wǎng)絡(luò )上的攻擊者。在這里主要給大家介紹一下我們在企業(yè)網(wǎng)絡(luò )安全實(shí)際運用中所常見(jiàn)的硬件防火墻。

　　一、防火墻基礎原理

　　1、防火墻技術(shù)

　　防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測、代理服務(wù)。下面，我們將介紹這些手段的工作機理及特點(diǎn)，并介紹一些防火墻的主流產(chǎn)品。

　　包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過(guò)在網(wǎng)絡(luò )間相互連接的設備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號等規則，對通過(guò)設備的數據包進(jìn)行檢查，限制數據包進(jìn)出內部網(wǎng)絡(luò )。包過(guò)濾的最大優(yōu)點(diǎn)是對用戶(hù)透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò )層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進(jìn)行較為初步的安全控制，對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無(wú)能為力。

　　狀態(tài)檢測是比包過(guò)濾更為有效的安全控制方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規則，允許符合規則的連接通過(guò)，并在內存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對該連接的后續數據包，只要符合狀態(tài)表，就可以通過(guò)。這種方式的好處在于：由于不需要對每個(gè)數據包進(jìn)行規則檢查，而是一個(gè)連接的后續數據包（通常是大量的數據包）通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開(kāi)通1024號以上的端口，使得安全性得到進(jìn)一步地提高。

　　2、防火墻工作原理

　?。?）包過(guò)濾防火墻

　　包過(guò)濾防火墻一般在路由器上實(shí)現，用以過(guò)濾用戶(hù)定義的內容，如IP地址。包過(guò)濾防火墻的工作原理是：系統在網(wǎng)絡(luò )層檢查數據包，與應用層無(wú)關(guān)。這樣系統就具有很好的傳輸性能，可擴展能力強。但是，包過(guò)濾防火墻的安全性有一定的缺陷，因為系統對應用層信息無(wú)感知，也就是說(shuō)，防火墻不理解通信的內容，所以可能被黑客所攻破。

圖1：包過(guò)濾防火墻工作原理圖

　?。?）應用網(wǎng)關(guān)防火墻

　　應用網(wǎng)關(guān)防火墻檢查所有應用層的信息包，并將檢查的內容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò )的安全性。然而，應用網(wǎng)關(guān)防火墻是通過(guò)打破客戶(hù)機／服務(wù)器模式實(shí)現的。每個(gè)客戶(hù)機／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶(hù)端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應用進(jìn)程，或一個(gè)后臺運行的服務(wù)程序，對每個(gè)新的應用必須添加針對此應用的服務(wù)程序，否則不能使用該服務(wù)。所以，應用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。（圖2）

圖2：應用網(wǎng)關(guān)防火墻工作原理圖

　?。?）狀態(tài)檢測防火墻

　　狀態(tài)檢測防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò )的數據包，不關(guān)心數據包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進(jìn)出網(wǎng)絡(luò )的數據當成一個(gè)個(gè)的事件來(lái)處理?？梢赃@樣說(shuō)，狀態(tài)檢測包過(guò)濾防火墻規范了網(wǎng)絡(luò )層和傳輸層行為，而應用代理型防火墻則是規范了特定的應用協(xié)議上的行為。（圖3）

圖3：狀態(tài)檢測防火墻工作原理圖

（4）復合型防火墻

　　復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進(jìn)一步基于A(yíng)SIC架構，把防病毒、內容過(guò)濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規的防火墻并不能防止隱蔽在網(wǎng)絡(luò )流量里的攻擊，在網(wǎng)絡(luò )界面對應用層掃描，把防病毒、內容過(guò)濾與防火墻結合起來(lái)，這體現了網(wǎng)絡(luò )與信息安全的新思路。它在網(wǎng)絡(luò )邊界實(shí)施OSI第七層的內容掃描，實(shí)現了實(shí)時(shí)在網(wǎng)絡(luò )邊緣布署病毒防護、內容過(guò)濾等應用層服務(wù)措施。（圖4）

圖4：復合型防火墻工作原理圖

　　3、四類(lèi)防火墻的對比

　　包過(guò)濾防火墻：包過(guò)濾防火墻不檢查數據區，包過(guò)濾防火墻不建立連接狀態(tài)表，前后報文無(wú)關(guān)，應用層控制很弱。

　　應用網(wǎng)關(guān)防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網(wǎng)絡(luò )層保護比較弱。

　　狀態(tài)檢測防火墻：不檢查數據區，建立連接狀態(tài)表，前后報文相關(guān)，應用層控制很弱。

　　復合型防火墻：可以檢查整個(gè)數據包內容，根據需要建立連接狀態(tài)表，網(wǎng)絡(luò )層保護強，應用層控制細，會(huì )話(huà)控制較弱。

　　4、防火墻術(shù)語(yǔ)

　　網(wǎng)關(guān)：在兩個(gè)設備之間提供轉發(fā)服務(wù)的系統。網(wǎng)關(guān)是互聯(lián)網(wǎng)應用程序在兩臺主機之間處理流量的防火墻。這個(gè)術(shù)語(yǔ)是非常常見(jiàn)的。

　　DMZ非軍事化區：為了配置管理方便，內部網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區。防火墻一般配備三塊網(wǎng)卡，在配置時(shí)一般分別分別連接內部網(wǎng)，internet和DMZ。

　　吞吐量：網(wǎng)絡(luò )中的數據是由一個(gè)個(gè)數據包組成，防火墻對每個(gè)數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時(shí)間內通過(guò)防火墻的數據包數量。這是測量防火墻性能的重要指標。

　　最大連接數：和吞吐量一樣，數字越大越好。但是最大連接數更貼近實(shí)際網(wǎng)絡(luò )情況，網(wǎng)絡(luò )中大多數連接是指所建立的一個(gè)虛擬通道。防火墻對每個(gè)連接的處理也好耗費資源，因此最大連接數成為考驗防火墻這方面能力的指標。

　　數據包轉發(fā)率：是指在所有安全規則配置正確的情況下，防火墻對數據流量的處理速度。

　　SSL：SSL（Secure Sockets Layer）是由Netscape公司開(kāi)發(fā)的一套Internet數據安全協(xié)議，當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認證和加密數據傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數據通訊提供安全支持。

　　網(wǎng)絡(luò )地址轉換：網(wǎng)絡(luò )地址轉換（NAT）是一種將一個(gè)IP地址域映射到另一個(gè)IP地址域技術(shù)，從而為終端主機提供透明路由。NAT包括靜態(tài)網(wǎng)絡(luò )地址轉換、動(dòng)態(tài)網(wǎng)絡(luò )地址轉換、網(wǎng)絡(luò )地址及端口轉換、動(dòng)態(tài)網(wǎng)絡(luò )地址及端口轉換、端口映射等。NAT常用于私有地址域與公用地址域的轉換以解決IP地址匱乏問(wèn)題。在防火墻上實(shí)現NAT后，可以隱藏受保護網(wǎng)絡(luò )的內部拓撲結構，在一定程度上提高網(wǎng)絡(luò )的安全性。如果反向NAT提供動(dòng)態(tài)網(wǎng)絡(luò )地址及端口轉換功能，還可以實(shí)現負載均衡等功能。

　　堡壘主機：一種被強化的可以防御進(jìn)攻的計算機，被暴露于因特網(wǎng)之上，作為進(jìn)入內部網(wǎng)絡(luò )的一個(gè)檢查點(diǎn)，以達到把整個(gè)網(wǎng)絡(luò )的安全問(wèn)題集中在某個(gè)主機上解決，從而省時(shí)省力，不用考慮其它主機的安全的目的。

　　二、市場(chǎng)上常見(jiàn)的硬件防火墻

　?。?）NetScreen 208 Firewall

　　NetScreen科技公司推出的NetScreen防火墻產(chǎn)品是一種新型的網(wǎng)絡(luò )安全硬件產(chǎn)品。NetScreen采用內置的ASIC技術(shù)，其安全設備具有低延時(shí)、高效的IPSec加密和防火墻功能，可以無(wú)縫地部署到任何網(wǎng)絡(luò )。設備安裝和操控也是非常容易，可以通過(guò)多種管理界面包括內置的WebUI界面、命令行界面或NetScreen中央管理方案進(jìn)行管理。NetScreen將所有功能集成于單一硬件產(chǎn)品中，它不僅易于安裝和管理，而且能夠提供更高可靠性和安全性。由于NetScreen設備沒(méi)有其它品牌產(chǎn)品對硬盤(pán)驅動(dòng)器所存在的穩定性問(wèn)題，所以它是對在線(xiàn)時(shí)間要求極高的用戶(hù)的最佳方案。采用NetScreen設備，只需要對防火墻、VPN和流量管理功能進(jìn)行配置和管理，減省了配置另外的硬件和復雜性操作系統的需要。這個(gè)做法縮短了安裝和管理的時(shí)間，并在防范安全漏洞的工作上，省略設置的步驟。NetScreen-100 Firewall比適合中型企業(yè)的網(wǎng)絡(luò )安全需求。

?。?）Cisco Secure PIX 515-E Firewall

　　Cisco Secure PIX防火墻是Cisco防火墻家族中的專(zhuān)用防火墻設施。Cisco Secure PIX 515-E防火墻系通過(guò)端到端安全服務(wù)的有機組合，提供了很高的安全性。適合那些僅需要與自己企業(yè)網(wǎng)進(jìn)行雙向通信的遠程站點(diǎn)，或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的Web服務(wù)的情況。Cisco Secure PIX 515-E與普通的CPU密集型專(zhuān)用代理服務(wù)器(對應用級的每一個(gè)數據包都要進(jìn)行大量處理)不同，Cisco Secure PIX 515-E防火墻采用非UNIX、安全、實(shí)時(shí)的內置系統?？商峁U展和重新配置IP網(wǎng)絡(luò )的特性，同時(shí)不會(huì )引起IP地址短缺問(wèn)題。NAT既可利用現有IP地址，也可利用Internet指定號碼機構[IANA]預留池[RFC.1918]規定的地址來(lái)實(shí)現這一特性。Cisco Secure PIX 515-E還可根據需要有選擇性地允許地址是否進(jìn)行轉化。CISCO保證NAT將同所有其它的PIX防火墻特性(如多媒體應用支持)共同工作。Cisco Secure PIX 515-E Firewall比適合中小型企業(yè)的網(wǎng)絡(luò )安全需求。

　?。?）天融信網(wǎng)絡(luò )衛士NGFW4000-S防火墻

　　北京天融信公司的網(wǎng)絡(luò )衛士是我國第一套自主版權的防火墻系統,目前在我國電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。網(wǎng)絡(luò )衛士NGFW4000-S防火墻是我國首創(chuàng )的核檢測防火墻，更加安全更加穩定。網(wǎng)絡(luò )衛士NGFW4000-S防火墻系統集中了包過(guò)濾防火墻、應用代理、網(wǎng)絡(luò )地址轉換(NAT)、用戶(hù)身份鑒別、虛擬專(zhuān)用網(wǎng)、Web頁(yè)面保護、用戶(hù)權限控制、安全審計、攻擊檢測、流量控制與計費等功能,可以為不同類(lèi)型的Internet接入網(wǎng)絡(luò )提供全方位的網(wǎng)絡(luò )安全服務(wù)。網(wǎng)絡(luò )衛士防火墻系統是中國人自己設計的，因此管理界面完全是中文化的，使管理工作更加方便，網(wǎng)絡(luò )衛士NGFW4000-S防火墻的管理界面是所有防火墻中最直觀(guān)的。網(wǎng)絡(luò )衛士NGFW4000-S防火墻比適合中型企業(yè)的網(wǎng)絡(luò )安全需求。

　?。?）東軟NetEye 4032防火墻

　　NetEye 4032防火墻是NetEye防火墻系列中的最新版本，該系統在性能，可靠性，管理性等方面大大提高。其基于狀態(tài)包過(guò)濾的流過(guò)濾體系結構，保證從數據鏈路層到應用層的完全高性能過(guò)濾，可以進(jìn)行應用級插件的及時(shí)升級，攻擊方式的及時(shí)響應，實(shí)現動(dòng)態(tài)的保障網(wǎng)絡(luò )安全。NetEye防火墻4032對流過(guò)濾引擎進(jìn)行了優(yōu)化，進(jìn)一步提高了性能和穩定性，同時(shí)豐富了應用級插件、安全防御插件，并且提升了開(kāi)發(fā)相應插件的速度。網(wǎng)絡(luò )安全本身是一個(gè)動(dòng)態(tài)的，其變化非常迅速，每天都有可能有新的攻擊方式產(chǎn)生。安全策略必須能夠隨著(zhù)攻擊方式的產(chǎn)生而進(jìn)行動(dòng)態(tài)的調整，這樣才能夠動(dòng)態(tài)的保護網(wǎng)絡(luò )的安全?；跔顟B(tài)包過(guò)濾的流過(guò)濾體系結構，具有動(dòng)態(tài)保護網(wǎng)絡(luò )安全的特性，使NetEye防火墻能夠有效的抵御各種新的攻擊，動(dòng)態(tài)保障網(wǎng)絡(luò )安全。東軟NetEye 4032防火墻比適合中小型企業(yè)的網(wǎng)絡(luò )安全需求。

　　三、防火墻的基本配置

　　下面我以國內防火墻第一品牌天融信NGFW 4000為例給各位講解一下在一個(gè)典型的網(wǎng)絡(luò )環(huán)境中應該如何來(lái)配置防火墻。

圖5：網(wǎng)絡(luò )拓撲結構