隨著Internet的飛速發(fā)展，電子商務、電子政務的推出，越來越多網絡與Internet聯(lián)網，在網上設置提供公眾服務的主機系統(tǒng),如：WEBServer、EMAILServer、FTPServer等。同時，越來越多的用戶利用Web獲取、發(fā)布信息，使Internet上的信息量迅速增長。然而，一些非法侵入他人系統(tǒng)、竊取機密、破壞系統(tǒng)等惡性行為也悄然而至，如果不采取必要的安全措施加以自我保護，后果不堪設想。人們采用了許多安全技術來提高網絡的安全性，最具代表性的安全技術有：數(shù)據(jù)加密、容錯技術、端口保護與主體驗證及防火墻(Firewall)技術。其中，防火墻技術是近年來提出并推廣的一項網絡安全技術。

一、防火墻的分類及其特點 
    目前我們將之分為軟件防火墻（又稱基于通用操作系統(tǒng)的防火墻）、硬件防火墻（又稱基于路由器的包過濾防火墻）和標準服務器形式的防火墻（又稱基于專用安全操作系統(tǒng)的防火墻）三大類。由于要說明它們之間的特性還是很多的內容，所以在里我只作簡單的對比。

二、選購要點
    應該客觀地看到，沒有一個防火墻的設計能夠適用于所有的環(huán)境，因此企業(yè)應根據(jù)站點的特點來選擇合適的防火墻：

（1）安全性
    大多數(shù)企業(yè)在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務，但往往忽略了最重要的這一點，防火墻也是網絡上的主機之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再強，也終究不能完全保護內部網絡。談到防火墻的安全性就不得提一下防火墻的配置。防火墻配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。Dual-homedGateway放置在兩個網絡之間，這個Dual-homedGateway又稱為bastionhost。這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網絡安全的自我防衛(wèi)能力，而它往往是受黑客攻擊的首選目標，它自己一旦被攻破，整個網絡也就暴露了。Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，并且只接受來自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。這種結構依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網絡就暴露了。

    Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公共網絡和私有網絡之間構成了一個隔離網，稱之為"停火區(qū)"（DMZ，即DemilitarizedZone），Bastionhost放置在"停火區(qū)"內。這種結構安全性好，只有當兩個安全單元被破壞后，網絡才被暴露，但是成本也很昂貴。

（2）高效性
    好的防火墻還應該向使用者提供完整的安全檢查功能，但是一個安全的網絡仍必須依靠使用者的觀察及改進，因為防火墻并不能有效地杜絕所有的惡意封包，企業(yè)想要達到真正的安全仍然需要內部人員不斷記錄、改進、追蹤。防火墻可以限制唯有合法的使用者才能進行連接，但是否存在利[nextpage]用合法掩護非法的情形仍需依靠管理者來發(fā)現(xiàn)。防火墻與代理服務器最大的不同在于防火墻是專門為了保護網絡安全而設計的，而一個好的防火墻不但應該具備包括檢查、認證、警告、記錄的功能，并且能夠為使用者可能遇到的困境，事先提出解決方案，如IP不足形成的IP轉換的問題，信息加密/解密的問題，大企業(yè)要求能夠透過Internet集中管理的問題等，這也是選擇防火墻時必須考慮的問題。

（3）配置便利性
    硬件防火墻系統(tǒng)具有強大的功能，但是其配置安裝也較為復雜，需要網管員對原網絡配置進行較大的改動。支持透明通信的防火墻在安裝時不需要對網絡配置做任何改動。目前在市場上，有些防火墻只能在透明方式下或者網關方式下工作，而另外一些防火墻則可以在混合方式下工作。能工作于混合方式的防火墻顯然更具方便性。配置方便性還表現(xiàn)為管理方便。用戶在選擇防火墻時也應該看其是否支持串口終端管理。如果防火墻沒有終端管理方式，就不容易確定故障所在。一個好的防火墻產品必須符合用戶的實際需要。對于國內用戶來說，防火墻最好是具有中文界面，既能支持命令行方式管理，又能支持GUI和集中式管理。

（4）管理的難易度
    防火墻管理的難易度是防火墻能否達到目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網絡設備直接當作防火墻的原因，除了先前提到的包過濾，并不能達到完全的控制之外，設定工作困難、須具備完整的知識以及不易除錯等管理問題，更是一般企業(yè)不愿意使用的主要原因。因此防火墻的管理最好要適合網管員的管理習慣，設有遠程Telnet登錄管理以及管理命令的在線幫助等。GUI類管理器作為防火墻的管理工具，為網管員提供了有效、直觀的管理方式。

（5）可靠性
    對于防火墻來說，其可靠性直接影響受控網絡的可用性，它在重要行業(yè)及關鍵業(yè)務系統(tǒng)中的重要作用是顯而易見的。提高防火墻的可靠性通常是在設計中采取措施，具體措施是提高部件的強健性、增大設計閥值和增加冗余部件。此外防火墻應對操作系統(tǒng)應提供安全強化功能，最好完全不需要人為操作，就能確實強化操作系統(tǒng)。這項功能通常會暫時停止不必要的服務，并修補操作系統(tǒng)的安全弱點，雖然不是百分之百有效，但起碼能防止外界一些不必要的干擾。

（6）可擴展性
    對于一個好的防火墻系統(tǒng)而言，它的規(guī)模和功能應該能夠適應網絡規(guī)模和安全策略的變化。理想的防火墻系統(tǒng)應該是一個可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個獨立的應用網關，使用戶有充分的余地構建自己所需要的防火墻體系。目前的防火墻一般標配三個網絡接口，分別連接外部網、內部網和SSN。用戶在購買防火墻時必須弄清楚是否可以增加網絡接口，因為有些防火墻無法擴展。[nextpage]

（7）其它考慮要素
    企業(yè)安全政策中往往有些特殊需求（如網絡地址轉換(NAT)、雙重DNS、掃毒等功能）不是每一個防火墻都會提供的，這方面常會成為選擇防火墻的考慮因素之一。

    此外防火墻的維護費用也是一個要考慮的問題，一般安全性越高，實現(xiàn)越復雜，設備費用相應的越高，日后的維護費用相對來說也是越高。

建議：
    對于ISP、網站等用戶來說，由于其數(shù)據(jù)流量大，對速度和穩(wěn)定性要求較高，如果這些用戶需要在外部網絡發(fā)布Web（將Web服務器置于外部），同時需要保護數(shù)據(jù)庫或應用服務器（置于防火墻內），這就要求所采用的防火墻具有傳送SQL數(shù)據(jù)的功能，而且必須具有較快的傳送速度，建議這些用戶采用高效的包過濾型并且只允許外部Web服務器和內部傳送SQL數(shù)據(jù)使用、100M及以上帶寬的硬件防火墻。

    中小企業(yè)接入Internet的目的一般是為了方便內部用戶瀏覽Web、收發(fā)E-mail以及發(fā)布主頁。這類用戶在選購防火墻時，要注意考慮保護內部（敏感）數(shù)據(jù)的安全，要格外注重安全性，對服務協(xié)議的多樣性以及速度等可以不作特殊要求。建議這類用戶選用一般的代理型防火墻，具有http、mail等代理功能即可。

    對于大中型企業(yè)、金融、保險、政府等機構，共同之處在于網絡流量不是很大，與外部聯(lián)系較多，且內部數(shù)據(jù)比較重要。因此在選購防火墻時首先要考慮的就是安全性問題。從整體規(guī)劃上，防火墻至少要能夠將內部網分成兩部分，即內部存放重要數(shù)據(jù)的網絡與存放可提供外部訪問數(shù)據(jù)的網絡的分離。對于重要數(shù)據(jù)的傳送，防火墻必須要提供加密的VPN通訊。這類用戶選購10M或100M的防火墻就足夠了。

三、硬件防火墻產品一覽
1、東方龍馬硬件防火墻
    東方龍馬防火墻是東方龍馬公司結合當前最新的網絡安全技術，自行開發(fā)的網絡安全產品。它的基本功能有：實時的連接狀態(tài)監(jiān)控功能；動態(tài)設置過濾規(guī)則的功能；雙向的網絡地址轉換功能；對ftp、telnet、http、smtp、pop3應用的透明代理訪問方式；提供應用層url級的統(tǒng)計、屏蔽功能；安全的體系結構；安全的網絡結構、采用內部網，DMZ區(qū)，控制區(qū)分離的網絡結構；支持透明模式運行方式；MAC地址綁定功能；抗攻擊和自我保護能力；通過雙機熱備份，提供可靠容錯／熱待機功能；具有審計日志功能；網絡工作情況事后分析和查詢功能；提供報表功能；提供對通過防火墻使用網絡資源的終端身份認證的功能，提供操作簡單的圖形化用戶界面，面向對象的可視化規(guī)則編輯以及監(jiān)控和管理防火墻。

     硬件配置指標：網絡接口，四個10/100M自適應網卡接口，或千兆網卡接口；外設接口，終端接口（RS－232）。[nextpage]

2、清華紫光NISECUREUF3500防火墻
    清華紫光NISECUREUF3500防火墻采用基于SSL的瀏覽器管理界面，允許通過流行的WEB瀏覽器使用https協(xié)議管理和配置防火墻，保證了防火墻管理的安全性和易用性。支持網絡瀏覽器超時退出的功能，保證了管理員離開管理計算機后的安全。具有網絡地址轉換、流量控制、用戶認證、支持虛擬專用網（VPN）和網絡管理等功能，結合了網絡級包過濾（Network-levelPacketFilter）和應用級代理服務器（Application-levelProxyServer）的功能。

    廣泛的網絡服務支持：支持ARP、DNS、FINGER、FTP、GOPHER、HTTP、HTTPS、ICMP、IRC、MAIL、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS和其它協(xié)議。

    硬件配置指標：3個以太網RJ-45端口（10/100Mbps自適應，全雙工），每個以太網接口有兩個LED指示燈，電源LED指示燈，LCD液晶顯示屏系統(tǒng)狀態(tài)，串行控制口。

3、NetScreen防火墻
    NetScreen公司的NetScreen防火墻產品可以說是硬件防火墻領域內的新貴。NetScreen的產品完全基于硬件ASIC芯片，它就像個盒子一樣安裝使用起來很簡單。同時它還是一種集防火墻、VPN、流量控制三種功能于一體的網絡產品。NetScreen把多種安全功能集成在一個ASIC芯片上，將防火墻、虛擬專用網(VPN)、網絡流量控制和寬帶接入這些功能全部集成在專有的一體硬件中，該項技術能有效消除傳統(tǒng)防火墻實現(xiàn)數(shù)據(jù)加密時的性能瓶頸，能實現(xiàn)最高級別的Ipsec。NetScreen防火墻的配置可在網絡上任何一臺帶有瀏覽器的機器上完成，NetScreen的優(yōu)勢之一是采用了新的體系結構，可以有效地消除傳統(tǒng)防火墻實現(xiàn)數(shù)據(jù)加盟時的性能瓶頸，能實現(xiàn)最高級別的IP安全保護。下面我簡單介紹其主要產品中的三個系列：

（1）NetScreen-100
    NetScreen-100是一個專門為網絡安全方面設計的Internet安全設備，它為電子商務站點、ASP/ISP數(shù)據(jù)中心和企業(yè)中心站點提供專門優(yōu)化的防火墻、VPN流量控制（帶寬監(jiān)控）功能NetScreen-100包括了一個專門設計的ASIC以加速加密工程和防火墻功能，一個高性能的多總線結構，高速RISCCPU和專用的軟件。它的專利--獨特的體系結構消除了傳統(tǒng)系統(tǒng)中由于在通用處理器、PC或工作站上運行軟件的防火墻、VPN、加密所導致的性能瓶頸、NetScreen在消除了性能瓶頸的同時依然提供了ICSA認證的全狀態(tài)監(jiān)測防火墻安全和最高級的3DESIPSec加密的數(shù)據(jù)安全。

    應用領域：電子商務站點、ASP站點、應用服務提供商、企業(yè)中心站點。[nextpage]

（2）NetScreen-200
    由于增加的端口可以將網絡劃分為多個監(jiān)控區(qū)域，NetScreen-200系列能夠在多個監(jiān)控區(qū)域之間即網絡內部建立VPN通道，NetScreen-200系列具有采用ASIC安全機制、提供多個接口、所有接口皆具防火墻防御功能、所有的接口皆有VPN通道、集中星型VPN（Hub-and-Spoke）的中心站點、高可靠性（設備的冗余性HA）等特性。NetScreen－200系列包括NetScreen－204和NetScreen－208產品，兩者的區(qū)別在于10/100兆以太網接口數(shù)量。NetScreen-208和NetScreen-204支持1000個IPSecVPN通道和128000個并發(fā)會話，具有每秒鐘處理10000多個新會話的能力，能夠有效防止拒絕服務攻擊。NetScreen-208防火墻和VPN的傳輸速率分別為550Mbps和200Mbps。NetScreen-204防火墻和VPN的傳輸速率分別為400Mbps和200Mbps。同時提供的多個以太網口，每個以太網口都可靈活設定為信任區(qū)，非信任區(qū)或DMZ。NetScreen-200系列裝載了最新版本的ScreenOS3.1操作系統(tǒng)。ScreenOS3.1的優(yōu)化功能使用戶能夠更加容易設定和配置網絡內的安全區(qū)域。

    應用領域：大、中型企業(yè)，服務提供商。

（3）NetScreen-1000
    NetScreen-1000防火墻，是一種面向大多數(shù)數(shù)據(jù)中心環(huán)境需求的互聯(lián)網安全系統(tǒng)，其中包括：電子商務站點、Web主機托管網站和ASP。NetScreen防火墻結合了防火墻和VPN安全加密的功能并擁有千兆以太網的吞吐處理能力。并發(fā)進程與硬件加速相結合的NetScreenGigaScreenASIC體系結構，使其具有了高速傳輸和有效的加密加速引擎的特性，NetScreen的高效傳輸能滿足寬帶數(shù)據(jù)的應用，NetScreen-1000的可升級的體系結構不斷的滿足客戶需求，如業(yè)務的增長，NetScreen-1000能滿足絕大多數(shù)環(huán)境的需求。

4、CiscoPIX500系列防火墻
    美國Cisco系統(tǒng)公司PIX500系列防火墻采用了專用的操作系統(tǒng)，減少了黑客利用操作系統(tǒng)BUG攻擊的可能性，其內核采用的是基于適用的安全策略(AdaptiveSecurityAlgorithm)的保護機制，ASA把內部網絡與未經認證的用戶完全隔絕。每當一個內部網絡的用戶訪問Internet，PIX防火墻從用戶的IP數(shù)據(jù)包中卸下IP地址，用一個存儲在PIX防火墻內已登記的有效IP地址代替它，把真正的IP地址隱藏起來。PIX防火墻還具有審計日志功能，并支持SNMP協(xié)議，用戶可以利用防火墻系統(tǒng)的包含實時報警功能的網絡瀏覽器，產生報警報告。PIX500防火墻通過一個cut-through代理要求用戶最初類似一個代理服務器，在應用層工作，但是用戶一旦被認證，PIX防火墻切換會話流和所有的通信流量，保持會話狀態(tài)的雙方就會快速和直接地進行通信。