第5章訪問控制與防火墻

第5章訪問控制與防火墻本章概要本章針對訪問控制和防火墻技術(shù)展開詳盡的描述：防火墻的分類；防火墻的工作原理；防火墻的不足；防火墻的部署方式。2課程目標(biāo)通過本章的學(xué)習(xí)，讀者應(yīng)能夠：了解訪問控制與防火墻的基本原理；防火墻的部署方式；主流防火墻產(chǎn)品。35.1網(wǎng)絡(luò)防火墻的基本概念防火墻是一種高級訪問控制設(shè)備，是在被保護(hù)網(wǎng)和外網(wǎng)之間執(zhí)行訪問控制策略的一種或一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問行為。它是網(wǎng)絡(luò)的第一道防線，也是當(dāng)前防止網(wǎng)絡(luò)系統(tǒng)被人惡意破壞的一個主要網(wǎng)絡(luò)安全設(shè)備。它本質(zhì)上是一種保護(hù)裝置，在兩個網(wǎng)之間構(gòu)筑了一個保護(hù)層。所有進(jìn)出此保護(hù)網(wǎng)的傳播信息都必須經(jīng)過此保護(hù)層，并在此接受檢查和連接，只有授權(quán)的通信才允許通過，從而使被保護(hù)網(wǎng)和外部網(wǎng)在一定意義下隔離，防止非法入侵和破壞行為。圖1網(wǎng)絡(luò)拓?fù)鋱D不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶DMZ4防火墻的主要技術(shù)應(yīng)用層代理技術(shù)(ApplicationProxy)包過濾技術(shù)(PacketFiltering)狀態(tài)包過濾技術(shù)(StatefulPacketFiltering)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火墻的主要技術(shù)種類55.2.1包過濾技術(shù)包過濾技術(shù)的基本概念包過濾技術(shù)指在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?shù)據(jù)包有選擇的通過，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則，只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的網(wǎng)絡(luò)接口，其余數(shù)據(jù)包則從數(shù)據(jù)流中刪除。包過濾一般由屏蔽路由器來完成。屏蔽路由器也稱過濾路由器，是一種可以根據(jù)過濾規(guī)則對數(shù)據(jù)包進(jìn)行阻塞和轉(zhuǎn)發(fā)的路由器。

6包過濾技術(shù)的基本概念包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。圖3防火墻示意圖7包過濾技術(shù)

包過濾技術(shù)是防火墻最常用的技術(shù)。對一個充滿危險的網(wǎng)絡(luò)，這種方法可以阻塞某些主機(jī)或網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可以限制內(nèi)部人員對一些危險和色情站點的訪問。圖4包過濾技術(shù)概念數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略8包過濾的優(yōu)點和不足包過濾技術(shù)具有以下優(yōu)點：用戶透明；傳輸性能高；成本較低。同樣，包過濾技術(shù)也存在著以下幾方面的不足：該技術(shù)是安防強(qiáng)度最弱的防火墻技術(shù)；雖然有一些維護(hù)工具，但維護(hù)起來十分困難；IP包的源地址、目的地址、TCP端口號是唯一可以用于判斷是否包允許通過的信息；9只能阻止一種類型的地址欺騙，即外部主機(jī)偽裝內(nèi)部主機(jī)的IP，而對外部主機(jī)偽裝其他外部主機(jī)的IP卻不能阻止，另外不能防止DNS欺騙；如果外部用戶被允許訪問內(nèi)部主機(jī)，則他就可以直接訪問內(nèi)部網(wǎng)絡(luò)上的任何主機(jī)。105.2.2狀態(tài)包檢測技術(shù)狀態(tài)包檢測技術(shù)是包過濾技術(shù)的延伸，常被稱為“動態(tài)包過濾”，是一種與包過濾相類似但更為有效的安全控制方法。對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。適合網(wǎng)絡(luò)流量大的環(huán)境。

狀態(tài)包檢測技術(shù)有以下主要特點：a.高安全性：工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，確保截取和檢測所有通過網(wǎng)絡(luò)的原始數(shù)據(jù)包。雖然工作在協(xié)議棧的較低層，但可以監(jiān)視所有應(yīng)用層的數(shù)據(jù)包，從中提取有用的信息，安全性得到較大提高。11b.高效性：一方面，通過防火墻的數(shù)據(jù)包都在協(xié)議棧的較低層處理，減少了高層協(xié)議棧的開銷；另一方面，由于不需要對每個數(shù)據(jù)包進(jìn)行規(guī)則檢查，從而使得性能得到了較大提高。

C.可伸縮和易擴(kuò)展：由于狀態(tài)表是動態(tài)的，當(dāng)有一個新的應(yīng)用時，它能動態(tài)的產(chǎn)生新的規(guī)則，而無需另外寫代碼，因而具有很好的可伸縮和易擴(kuò)展。d.應(yīng)用范圍廣：不僅支持基于TCP的應(yīng)用，而且支持基于無連接協(xié)議的應(yīng)用。125.2.3代理服務(wù)技術(shù)代理(Proxy)服務(wù)技術(shù)又稱為應(yīng)用層網(wǎng)關(guān)(Applicationgateway)技術(shù)，是運(yùn)行于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的主機(jī)(堡壘主機(jī))之上的一種應(yīng)用。當(dāng)用戶需要訪問代理服務(wù)器另一側(cè)主機(jī)時，對符合安全規(guī)則的連接，代理服務(wù)器將代替主機(jī)響應(yīng)，并重新向主機(jī)發(fā)出一個相同的請求。當(dāng)此連接請求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過代理程序?qū)⑾鄳?yīng)連接映射來實現(xiàn)。131.代理服務(wù)技術(shù)的優(yōu)點

a.代理放火墻的最大好處是透明性。對用戶來說，代理服務(wù)器提供了一個“用戶正在與目標(biāo)服務(wù)器直接打交道”的假象；對目標(biāo)服務(wù)器來說，代理服務(wù)器提供了一個“目標(biāo)服務(wù)器正在與用戶的主機(jī)系統(tǒng)直接打交道”的假象。

b.由于代理機(jī)制完全阻斷了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接聯(lián)系，保證了內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等重要信息被限制在代理網(wǎng)關(guān)內(nèi)側(cè)，不會外泄，從而減少了黑客攻擊時所需的必要信息。14

c.通過代理訪問Internet可以隱藏真實IP地址，同時解決合法IP地址不夠用的問題。因為Internet見到的只是代理服務(wù)器的地址，內(nèi)部不合法的IP地址可以通過代理訪問Internet。

d.用于應(yīng)用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試。

e.應(yīng)用層網(wǎng)關(guān)有能力支持可靠的擁護(hù)認(rèn)證并提供詳細(xì)的注冊信息。代理工作在客戶機(jī)和真實服務(wù)器之間，可提供很詳細(xì)的日志和安全審計功能。152.代理服務(wù)技術(shù)的不足

a.有限的連接：某種代理服務(wù)器只能用于某種特定的服務(wù)，如FTP服務(wù)器提供FTP服務(wù)，Telnet服務(wù)器提供Telnet服務(wù)，所能提供的服務(wù)和可伸縮性是有限的。所以代理服務(wù)器主要應(yīng)用于安防要求較高但網(wǎng)絡(luò)流量不太大的環(huán)境。

b.有限的技術(shù)：代理服務(wù)器不能為RPC、Talk和其他一些基于通用協(xié)議簇的服務(wù)提供代理。16

c.有限的性能：處理性能遠(yuǎn)不及狀態(tài)包檢測技術(shù)高。

d.有限的應(yīng)用：代理服務(wù)器的應(yīng)用也受到諸多限制。首先是當(dāng)一項新的應(yīng)用加入時，如果代理服務(wù)程序不予支持，則此應(yīng)用不能使用。解決的方法之一是自行編制特定服務(wù)的代理服務(wù)程序，但工作量大，而且技術(shù)水平要求很高。175.3防火墻的功能利用防火墻保護(hù)內(nèi)部網(wǎng)主要有以下幾個主要功能：控制對網(wǎng)點的訪問和封鎖網(wǎng)點信息的泄露防火墻可看作檢查點，所有進(jìn)出的信息都必須穿過它，為網(wǎng)絡(luò)安全起把關(guān)作用，有效地阻擋外來的攻擊，對進(jìn)出的數(shù)據(jù)進(jìn)行監(jiān)視，只允許授權(quán)的通信通過；保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)。能限制被保護(hù)子網(wǎng)的泄露為防止影響一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播，防火墻可隔離網(wǎng)絡(luò)的一個網(wǎng)段和另一個網(wǎng)段，從而限制了局部網(wǎng)絡(luò)安全問題對整個網(wǎng)絡(luò)的影響。18具有審計作用防火墻能有效地記錄Internet網(wǎng)的活動，因為所有傳輸?shù)男畔⒍急仨毚┻^防火墻，防火墻能幫助記錄有關(guān)內(nèi)部網(wǎng)和外部網(wǎng)的互訪信息和入侵者的任何企圖。能強(qiáng)制安全策略Internt網(wǎng)上的許多服務(wù)是不安全的，防火墻是這些服務(wù)的“交通警察”，它執(zhí)行站點的安全策略，僅僅允許“認(rèn)可”和符合規(guī)則的服務(wù)通過。此外，防火墻還具有其他一些優(yōu)點，如：監(jiān)視網(wǎng)絡(luò)的安全并產(chǎn)生報警；保密性好，強(qiáng)化私有權(quán)；提供加密和解密及便于網(wǎng)絡(luò)實施密鑰管理的能力。195.4防火墻的不足雖然網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)安全中起著不可替代的作用，但它不是萬能的，有其自身的弱點，主要表現(xiàn)在：防火墻不能防備病毒雖然防火墻掃描所有通過的信息，但掃描多半是針對源與目標(biāo)地址以及端口號，而并非數(shù)據(jù)細(xì)節(jié)，有太多類型的病毒和太多種方法可使病毒在數(shù)據(jù)中隱藏，防火墻在病毒的防范上是不適用的。防火墻對不通過它的連接無能為力雖然防火墻能有效的控制所有通過它的信息，但對從網(wǎng)絡(luò)后門及調(diào)制解調(diào)器撥人的訪問則無能為力。20防火墻不能防備內(nèi)部人員的攻擊目前防火墻只提供對外部網(wǎng)絡(luò)用戶攻擊的防護(hù)，對來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠內(nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性。所以，如果入侵者來自防火墻的內(nèi)部，防火墻則無能為力。限制有用的網(wǎng)絡(luò)服務(wù)防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。由于多數(shù)網(wǎng)絡(luò)服務(wù)在設(shè)計之初根本沒有考慮安全性，所以都存在安全問題。防火墻限制這些網(wǎng)絡(luò)服務(wù)等于從一個極端走向了另一個極端。21防火墻不能防備新的網(wǎng)絡(luò)安全問題防火墻是一種被動式的防護(hù)手段，只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。隨著網(wǎng)絡(luò)攻擊手段的不斷更新和新的網(wǎng)絡(luò)應(yīng)用的出現(xiàn)，不可能靠一次性的防火墻設(shè)置來解決永遠(yuǎn)的網(wǎng)絡(luò)安全問題。225.5防火墻的體系結(jié)構(gòu)防火墻可以設(shè)置成許多不同的結(jié)構(gòu)，并提供不同級別的安全，而維護(hù)和運(yùn)行的費(fèi)用也不同。防火墻有多種分類方式。下面介紹四種常用的體系結(jié)構(gòu)：篩選路由器、雙網(wǎng)主機(jī)式體系結(jié)構(gòu)～屏蔽主機(jī)式體系結(jié)構(gòu)和屏蔽子網(wǎng)式體系結(jié)構(gòu)。

在介紹之前，先了解幾個相關(guān)的基本概念：堡壘主機(jī)：高度暴露于Internet并且是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。它是防火墻體系的大無畏者，把敵人的火力吸引到自己身上，從而達(dá)到保護(hù)其他主機(jī)的目的。堡壘主機(jī)的設(shè)計思想是檢測點原則，把整個網(wǎng)絡(luò)的安全問題集中在某個主機(jī)上解決，從而省時省力，不用考慮其他主機(jī)的安全。堡壘主機(jī)必須有嚴(yán)格的安防系統(tǒng)，因其最容易遭到攻擊。23屏蔽主機(jī)：被放置到屏蔽路由器后面網(wǎng)絡(luò)上的主機(jī)稱為屏蔽主機(jī)，該主機(jī)能被訪問的程度取決于路由器的屏蔽規(guī)則。屏蔽子網(wǎng)：位于屏蔽路由器后面的子網(wǎng)，子網(wǎng)能被訪問的程度取決于路由器的屏蔽規(guī)則。篩選路由式體系結(jié)構(gòu)這種體系結(jié)構(gòu)極為簡單，路由器作為內(nèi)部網(wǎng)和外部網(wǎng)的唯一過濾設(shè)備，如下圖所示。24防火墻的體系結(jié)構(gòu)內(nèi)部網(wǎng)外部網(wǎng)篩選路由器式體系結(jié)構(gòu)

包過濾篩選路由器25雙網(wǎng)主機(jī)式體系結(jié)構(gòu)這種體系結(jié)構(gòu)有一主機(jī)專門被用作內(nèi)部網(wǎng)和外部網(wǎng)的分界線。該主機(jī)里插有兩塊網(wǎng)卡，分別連接到兩個網(wǎng)絡(luò)。防火墻里面的系統(tǒng)可以與這臺雙網(wǎng)主機(jī)進(jìn)行通信，防火墻外面的系統(tǒng)(Internet上的系統(tǒng))也可以與這臺雙網(wǎng)主機(jī)進(jìn)行通信，但防火墻兩邊的系統(tǒng)之間不能直接進(jìn)行通信。另外，使用此結(jié)構(gòu)，必須關(guān)閉雙網(wǎng)主機(jī)上的路由分配功能，這樣就不會通過軟件把兩個網(wǎng)絡(luò)連接在一起了。圖6雙網(wǎng)主機(jī)式體系結(jié)構(gòu)內(nèi)部網(wǎng)外部網(wǎng)雙網(wǎng)主機(jī)26屏蔽主機(jī)式體系結(jié)構(gòu)此類型的防火墻強(qiáng)迫所有的外部主機(jī)與一個堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。下圖中的屏蔽路由器實現(xiàn)了把所有外部到內(nèi)部的連接都路由到了堡壘主機(jī)上。堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)，屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng)絡(luò)，構(gòu)成防火墻的第一道防線。（參見下頁圖7）圖7屏蔽主機(jī)式體系結(jié)構(gòu)27防火墻的體系結(jié)構(gòu)屏蔽主機(jī)式體系結(jié)構(gòu)Internet堡壘主機(jī)防火墻屏蔽路由器28屏蔽路由器必須進(jìn)行適當(dāng)?shù)呐渲?，使所有外部到?nèi)部的連接都路由到了堡壘主機(jī)上，并且實現(xiàn)外部到內(nèi)部的主動連接。此類型防火墻的安全級別較高，因為它實現(xiàn)了網(wǎng)絡(luò)層安全(屏蔽路由器——包過濾)和應(yīng)用層安全(堡壘主機(jī)——代理服務(wù))。入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。即使入侵了內(nèi)部網(wǎng)絡(luò)，也必須和堡壘主機(jī)相競爭，而堡壘主機(jī)是安全性很高的機(jī)器，主機(jī)上沒有任何入侵者可以利用的工具，不能作為黑客進(jìn)一步入侵的基地。此類型防火墻中屏蔽路由器的配置十分重要，如果路由表遭到破壞，則數(shù)據(jù)包不會路由到堡壘主機(jī)上，使堡壘主機(jī)被越過。29屏蔽子網(wǎng)(ScreenedSubNet)式體系結(jié)構(gòu)這種體系結(jié)構(gòu)本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但是增加了一層保護(hù)體系——周邊網(wǎng)絡(luò)，而堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部屏蔽路由器分開。由前可知，當(dāng)堡壘主機(jī)被人侵之后，整個內(nèi)部網(wǎng)絡(luò)就處于危險之中，堡壘主機(jī)是最易受侵襲的，雖然其很堅固，不易被入侵者控制，但萬一被控制，仍有可能侵襲內(nèi)部網(wǎng)絡(luò)。如果采用了屏蔽子網(wǎng)(ScreenedSubNet)式體系結(jié)構(gòu)，入侵者將不能直接侵襲內(nèi)部網(wǎng)絡(luò)，因為內(nèi)部網(wǎng)絡(luò)受到了內(nèi)部屏蔽路由器的保護(hù)。屏蔽子網(wǎng)式體系結(jié)構(gòu)如下圖所示。圖8屏蔽子網(wǎng)式體系結(jié)構(gòu)30防火墻的體系結(jié)構(gòu)屏蔽子網(wǎng)式體系結(jié)構(gòu)Internet堡壘主機(jī)屏蔽路由器屏蔽路由器周邊網(wǎng)絡(luò)315.6防火墻的構(gòu)筑原則構(gòu)筑防火墻主要從以下幾個方面考慮：體系結(jié)構(gòu)的設(shè)計；安全策略的制訂；安全策略的實施。325.7防火墻產(chǎn)品Juniper公司的Netscreen防火墻產(chǎn)品

Netscreen防火墻可以說是硬件防火墻領(lǐng)域內(nèi)的領(lǐng)導(dǎo)者。2004年2月，Netscreen被網(wǎng)絡(luò)設(shè)備巨頭Juniper收購，成為Juniper的安全產(chǎn)品部，兩家公司合并后將與Cisco展開激烈的竟?fàn)?。Netscreen的產(chǎn)品完全基于硬件ASIC芯片，它就像個盒子一樣安裝使用起來很簡單。產(chǎn)品系列：Netscreen－5000產(chǎn)品系列是定制化、高性能的安全系統(tǒng)，適用于高端用戶。Netscreen-500集防火墻、VPN及流量管理等功能于一體，是一款高性能的產(chǎn)品，支持多個安全域，適用于中高端用戶。其中端產(chǎn)品主要有：Netscreen－204、Netscreen－208。33低端產(chǎn)品有：NetScreen－50、Netscreen－25。Netscreen－GlobalSecurityManagement(集群防火墻集中管理軟件)提供了服務(wù)提供商和企業(yè)所需要的用來管理所有Netscreen產(chǎn)品的特性。與防毒領(lǐng)袖廠商TrendMicro合作推出的Netscreen-5GT集成防火墻/VPN/DoS保護(hù)功能并提供了內(nèi)置的病毒掃描功能。

主要特色：34a.專用的網(wǎng)絡(luò)安全整合式設(shè)備：高性能安全產(chǎn)品，集成防火墻、VPN和流量管理功能，性能優(yōu)越。b.產(chǎn)品線完整，能滿足各大小商業(yè)需求：適用于包括寬帶接入的移動用戶，小型、中型或大型企業(yè)，高流量的電子商務(wù)網(wǎng)站，以及其他網(wǎng)絡(luò)安全的環(huán)境。

c.安裝和管理：通過使用內(nèi)置的WebUI界面、命令行界面和Netscreen中央管理方案，在幾分鐘內(nèi)完成安裝和管理，并且可以快速實施到數(shù)千臺設(shè)備上。

d.通用性：所有設(shè)備都提供相同核心功能和管理界面，便于管理和操作。35

CyberwallPlus系列防火墻CyberwallPlus系列防火墻是由網(wǎng)屹(Network－1)公司開發(fā)，是基于軟件的防火墻。Cyberwallplus家族由四種系列防火墻產(chǎn)品和中心的管理器組成，提供全方位的保護(hù)。它們分別是CyberwallPLUS－SV保護(hù)服務(wù)器防火墻；CyberwallPLUS－WS保護(hù)工作站防火墻；CyberwallPLUS-IP邊界防火墻；CyberwallPLUS－AP多協(xié)議防火墻及CyberwallPLUS－CM集中管理產(chǎn)品。36

a.CyberwallPLUS-SV和CyberwallPLUS－WS是為分別保護(hù)與互聯(lián)網(wǎng)或企業(yè)網(wǎng)相連的Windows服務(wù)器和工作站而設(shè)計的，它以先進(jìn)的信息包過濾技術(shù)為基礎(chǔ)，提供周密的網(wǎng)絡(luò)訪問控制、優(yōu)化主機(jī)入侵檢測、防止入侵算法和詳細(xì)的流量審核日志。CyberwallPlus－AP是高速的局域網(wǎng)防火墻，是為滿足不斷增長的內(nèi)部網(wǎng)絡(luò)安全需要而設(shè)計的。37

b.CyberwallPlus-AP運(yùn)行在裝有兩個以太網(wǎng)卡WindowsNT/2000的系統(tǒng)上，幫助用戶的計算機(jī)網(wǎng)絡(luò)抵御惡意的網(wǎng)絡(luò)訪問和入侵。CyberwallPlus-AP是一個有兩個端口的系統(tǒng)，以透明的網(wǎng)橋模式工作，而不像大多數(shù)防火墻是路由模式，能夠接受、過濾4500余種IP和非IP協(xié)議。CyberwallPins－AP設(shè)計簡單、有效，應(yīng)用時不需要破壞現(xiàn)有的網(wǎng)絡(luò)地址或重新配置網(wǎng)絡(luò)，甚至可以放在同一IP子網(wǎng)的節(jié)點之間。38

c.CyberwallPlus－IP是保護(hù)專有網(wǎng)絡(luò)抵御攻擊和入侵的互聯(lián)網(wǎng)防火墻，位于網(wǎng)絡(luò)的周邊，保護(hù)進(jìn)出公共互聯(lián)網(wǎng)流量的安全，是一個高經(jīng)濟(jì)效益的網(wǎng)絡(luò)安全解決方案，提供多層次的包過濾檢測，阻止未授權(quán)的網(wǎng)絡(luò)訪問。CyberwallPlus－IP作為先進(jìn)的防火墻解決方案系列的一員，為用戶提供強(qiáng)有力的安全保護(hù)功能，它具備高度的靈活性、可伸縮性，可以很好地適應(yīng)用戶對未來安全需求的變化。39

CheckPoint防火墻作為CheckPoint軟件技術(shù)有限公司網(wǎng)絡(luò)安全性產(chǎn)品線中最為重要的產(chǎn)品。CheckPointTMFireWall-1是業(yè)界領(lǐng)先的企業(yè)級安全性套件，它集成了訪問控制、認(rèn)證、加密、網(wǎng)絡(luò)地址翻譯、內(nèi)容安全性和日志審核等特性。a.FireWall-1通過分布式的客戶機(jī)/服務(wù)器結(jié)構(gòu)管理安全策略，保證高性能、高伸縮性和集中控制。b.FireWall－l由基本模塊(防火墻模塊、狀態(tài)檢測模塊和管理模塊)和一些可選模塊組成。這些模塊可以通過不同數(shù)量、平臺的組合配置成靈活的客戶機(jī)/服務(wù)器結(jié)構(gòu)。40

c.FireWall－1采用CheckPoint公司的狀態(tài)檢測(StatefulInspection)專利技術(shù)，以不同的服務(wù)區(qū)分應(yīng)用類型，為網(wǎng)絡(luò)提供高安全、高性能和高擴(kuò)展性保證。

d.Firewall－1狀態(tài)檢測模塊分析所有的包通信層，汲取相關(guān)的通信和應(yīng)用程序的狀態(tài)信息。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用。

e.Firewall－1可以在不修改本地服務(wù)器或客戶應(yīng)用程序的情況下，對試圖訪問內(nèi)部服務(wù)器的用戶進(jìn)行身份認(rèn)證。FireWall-1的認(rèn)證服務(wù)集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認(rèn)證會話。41思科安全PIX防火墻CiscoSecurePIX防火墻基于包過濾和應(yīng)用代理兩種主流防火墻技術(shù)的基礎(chǔ)上，提供空前的安全保護(hù)能力，它的保護(hù)機(jī)制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應(yīng)安全算法(ASA)。ASA自適應(yīng)安全算法與包過濾相比，功能更加強(qiáng)勁；另外，ASA與應(yīng)用層代理防火墻相比，其性能更高，擴(kuò)展性更強(qiáng)。ASA可以跟蹤源和目的地址、傳輸控制協(xié)議(TCP)序列號、端口號和每個數(shù)據(jù)包的附加TCP標(biāo)志。只有存在已確定連接關(guān)系的正確的連接時，訪問才被允許通過PLX防火墻。這樣，內(nèi)部和外部的授權(quán)用戶就可以透明地訪問企業(yè)資源，同時保護(hù)內(nèi)部網(wǎng)絡(luò)不會受到非授權(quán)訪問的侵襲。［關(guān)于ASA算法詳情請訪問］42以PIXFirewall515為例，思科防火墻具有以下一些關(guān)鍵特性：a.非常高的性能。b.實時嵌入式操作系統(tǒng)。c.位于企業(yè)網(wǎng)絡(luò)和ienet訪問路由器之間，并包括以太網(wǎng)、快速以太網(wǎng)、令牌環(huán)網(wǎng)或FDDILAN連接選項。d.保護(hù)模式基于自適應(yīng)安全算法(ASA)，可以確保最高的安全性。43e.用于驗證和授權(quán)的“直通代理”技術(shù)。f.URL過濾。g.HPOpenView集成。h.用于配置和管理的圖形用戶界面。i.通過電子郵件和尋呼機(jī)提供報警和告警通知。j.通過專用鏈路加密卡提供VPN支持。k.符合委托技術(shù)評估計劃(TTAR)，通過美國安全事務(wù)處(NSA)的認(rèn)證。44天融信公司的網(wǎng)絡(luò)衛(wèi)土網(wǎng)絡(luò)衛(wèi)士是我國第一套自主知識產(chǎn)權(quán)的防火墻系統(tǒng)，是一種基于硬件的防火墻，目前有NGFW－3000、NGFW－4000、NGFW4000－UF、NGFW－ARES幾款產(chǎn)品。網(wǎng)絡(luò)衛(wèi)士防火墻由多個模塊組成，包括包過濾、應(yīng)用代理、NAT、VPN、防攻擊等功能模塊，各模塊可分離、裁剪和升級，以滿足不同用戶的需求。管理器的硬件平臺為能運(yùn)行Netscape4.0瀏覽器的Intel兼容微機(jī)，軟件平臺采用Win9x操作系統(tǒng)。主要特色：采用了領(lǐng)先一步的SSN(安全服務(wù)器網(wǎng)絡(luò))技術(shù)，安全性高于其他防火墻普遍采用的DMZ(非軍事區(qū))技術(shù)。SSN與外部網(wǎng)之間有防火墻保護(hù)，與內(nèi)部網(wǎng)之間也有防火墻保護(hù)，一旦SSN受到破壞，內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護(hù)之下。45網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)集中了包過濾防火墻、應(yīng)用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、用戶身份鑒別、虛擬專用網(wǎng)、Web頁面保護(hù)、用戶權(quán)限控制、安全審計、攻擊檢測、流量控制與計費(fèi)等功能，可以為不同類型的Internet接入網(wǎng)絡(luò)提供全方位的網(wǎng)絡(luò)安全服務(wù)。該系統(tǒng)在增強(qiáng)傳統(tǒng)防火墻安全性的同時，還通過VPN架構(gòu)，為企業(yè)網(wǎng)提供一整套從網(wǎng)絡(luò)層到應(yīng)用層的安全解決方案，包括訪問控制、身份驗證、授權(quán)控制、數(shù)據(jù)加密、數(shù)據(jù)完整性等安全服務(wù)。46清華紫光網(wǎng)聯(lián)科技的UF3100/UF3500防火墻UF3100/UF3500是一種基于硬件的防火墻，兼具防火墻和流量控制等功能，無丟包數(shù)據(jù)通過率達(dá)50Mbps，可以支持T3線路甚至局域網(wǎng)間的流量要求。UF3100/UF3500結(jié)構(gòu)緊湊(設(shè)計高度僅1U)，可放置在桌面或安裝在標(biāo)準(zhǔn)機(jī)架上，是為機(jī)關(guān)或企業(yè)網(wǎng)內(nèi)的數(shù)據(jù)提供最安全保護(hù)的硬件產(chǎn)品之一。主要特色：47a.防火墻系統(tǒng)采用匯編語言編寫網(wǎng)絡(luò)層IP包處理的操作，充分發(fā)揮了CPU的能力。UF3100防火墻自身具有很高的安全性，完全消除了Y2K問題，保護(hù)內(nèi)部網(wǎng)絡(luò)，并形成一個完整的安全系統(tǒng)。UF3100提供了一個附加的功能，即采用VPN技術(shù)使得遠(yuǎn)程用戶能通過互聯(lián)網(wǎng)安全訪問內(nèi)部網(wǎng)絡(luò)。UF－3100將整個網(wǎng)絡(luò)分成外部網(wǎng)、DMZ隔離區(qū)、內(nèi)部網(wǎng)三層結(jié)構(gòu)，大大增強(qiáng)了網(wǎng)絡(luò)的抗攻擊性能。硬件外形采用標(biāo)準(zhǔn)的19英寸的結(jié)構(gòu)，便于安裝。b.UF3500防火墻是為ISP等大型機(jī)構(gòu)設(shè)計使用的，數(shù)據(jù)通過率為70MbpS，還通過專門的FPGA實現(xiàn)了QOS，保證了視頻、音頻等實時應(yīng)用程序的運(yùn)行。UF3500還提供了硬件選項支持未來功能的增加，如保證更高加密強(qiáng)度的加密模塊等。48網(wǎng)眼防火墻NetEyeNetEye是一種軟件防火墻產(chǎn)品，目前最新的版本是NetEye2.0版本。網(wǎng)眼防火墻NetEye2.0集網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)控和管理于一體，可以隨時對網(wǎng)絡(luò)數(shù)據(jù)的流動情況進(jìn)行分析、監(jiān)控和管理，以便及時制訂保護(hù)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的相應(yīng)措施。該系統(tǒng)具有可靠性高、不易遭到攻擊破壞等特點。網(wǎng)眼防火墻NetEye2.0系統(tǒng)的管理主機(jī)和監(jiān)控主機(jī)建立在一種獨(dú)立安全的局域網(wǎng)絡(luò)之內(nèi)，而且通信數(shù)據(jù)經(jīng)過了加密處理，提高了系統(tǒng)的安全性。49

主要特色：可以工作在交換和路由兩種模式下，當(dāng)防火墻工作在交換模式時，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構(gòu)成一個統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置；當(dāng)防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換；也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Intern