前沿拓展：

防火墻產(chǎn)品

A 、安全策略的檢查站 B 、有效防止內(nèi)部網(wǎng)絡(luò)相互影響 C 、網(wǎng)絡(luò)安全的屏障 D 、對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行**審云通信和移動(dòng)客戶參與領(lǐng)域的全球領(lǐng)導(dǎo)者SinchAB(publ)今天宣布，在RoamingConsultingCompany(ROCCO)最近的排名中，其(A2P)被授予最高的“一級(jí)”排名，其中還包括適用于移動(dòng)網(wǎng)絡(luò)**的****onetization套件和A2P**S防火墻產(chǎn)品，以及適用于企業(yè)的A2P**S產(chǎn)品等**S產(chǎn)品套件的關(guān)鍵要素。

圖片來自Baidu

A2P貨幣化使MNO能夠同時(shí)產(chǎn)生新收入、提高網(wǎng)絡(luò)安全性、增強(qiáng)用戶隱私和提高客戶滿意度，支持**使用**S防火墻等工具關(guān)閉其網(wǎng)絡(luò)以阻止未經(jīng)授權(quán)的路由**S流量。

Sinch的A2P**S產(chǎn)品擁有超過600個(gè)直接**連接，使任何行業(yè)的企業(yè)都能擴(kuò)大業(yè)務(wù)范圍，與全球客戶互動(dòng)并增強(qiáng)客戶體驗(yàn)，同時(shí)享受最高的交付率，最低的延遲和內(nèi)置的全球合規(guī)性。

（編譯：墨書）

拓展知識(shí)：

防火墻產(chǎn)品

1.什么是防火墻
防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況， 以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地**了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)， 保證了內(nèi)部網(wǎng)絡(luò)的安全。
2.使用Firewall的益處
保護(hù)脆弱的服務(wù)
通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如， Firewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時(shí)可以拒絕源路由和ICMP重定向封包。
控制對(duì)系統(tǒng)的訪問
Firewall可以提供對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)。例如， Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)， 而無須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法， 而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。
增強(qiáng)的保密性
使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Figer和DNS。
記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)
Firewall可以記錄和統(tǒng)計(jì)通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù)， 來判斷可能的攻擊和探測(cè)。
策略執(zhí)行
Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。

3.防火墻的種類
防火墻總體上分為包過濾、應(yīng)用級(jí)**和**服務(wù)器等幾大類型。

數(shù) 據(jù) 包 過 濾
數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯， 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、 協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用， 網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備， 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。
數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二：一是非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊； 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被**或假冒。

應(yīng) 用 級(jí) 網(wǎng) 關(guān)
應(yīng)用級(jí)**(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、 登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用**通常安裝在專用工作站系統(tǒng)上。
數(shù)據(jù)包過濾和應(yīng)用**防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系， 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。

代 理 服 務(wù)
**服務(wù)(Proxy Service)也稱鏈路級(jí)**或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸于應(yīng)用級(jí)**一類。它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用**技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)， 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的" 鏈接"， 由兩個(gè)終止**服務(wù)器上的" 鏈接"來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)**服務(wù)器， 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，**服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記， 形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。

4.設(shè)置防火墻的要素

網(wǎng)絡(luò)策略
影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)， 低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級(jí)策略中定義的服務(wù)。

服務(wù)訪問策略
服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。 服務(wù)訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。 典型的服務(wù)訪問策略是：允許通過增強(qiáng)認(rèn)證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機(jī)和服務(wù)； 允許內(nèi)部用戶訪問指定的Internet主機(jī)和服務(wù)。

防火墻設(shè)計(jì)策略
防火墻設(shè)計(jì)策略基于特定的Firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略： 允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點(diǎn)是安全但不好用， 第二種是好用但不安全，通常采用第二種類型的設(shè)計(jì)策略。 而多數(shù)防火墻都在兩種之間采取折衷。

增強(qiáng)的認(rèn)證
許多在Internet上發(fā)生的入侵**源于脆弱的傳統(tǒng)用戶/口令機(jī)制。多年來，用戶被告知使用難于猜測(cè)和破譯口令， 雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑模箓鹘y(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡， 認(rèn)證令牌，生理特征（指紋）以及基于軟件（RSA）等技術(shù)，來克服傳統(tǒng)口令的弱點(diǎn)。雖然存在多種認(rèn)證技術(shù)， 它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。 目前許多流行的增強(qiáng)機(jī)制使用一次有效的口令和密鑰（如**artCard和認(rèn)證令牌）。

5.防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署
根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻：
局域網(wǎng)內(nèi)的VLAN之間控制信息流向時(shí)。

Intranet與Internet之間連接時(shí)(企業(yè)單位與外網(wǎng)連接時(shí)的應(yīng)用**)。

在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)， （通過公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)rame Relay等連接）在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離， 并利用**構(gòu)成虛擬專網(wǎng)。

總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過Internet連接，需要各自安裝防火墻，并利用NetScreen的**組成虛擬專網(wǎng)。

在遠(yuǎn)程用戶撥號(hào)訪問時(shí)，加入虛擬專網(wǎng)。

ISP可利用NetScreen的負(fù)載平衡功能在公共訪問服務(wù)器和客戶端間加入防火墻進(jìn)行負(fù)載分擔(dān)、 存取控制、用戶認(rèn)證、流量控制、日志紀(jì)錄等功能。

兩網(wǎng)對(duì)接時(shí)，可利用NetScreen硬件防火墻作為**設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換(NAT)，地址映射（MAP）， 網(wǎng)絡(luò)隔離（DMZ）, 存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。

6.防火墻在網(wǎng)絡(luò)系統(tǒng)中的作用

防火墻能有效地防止外來的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：

控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包；
提供使用和流量的日志和審計(jì)；
隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；
提供**功能；
參考資料：http://www.chinaitlab.com/www/news/article_show.asp?id=12144
回答者：愛上了蓮 – 舉人 四級(jí) 12-1 18:06

——————————————————————————–

評(píng)價(jià)已經(jīng)被關(guān)閉 目前有 1 個(gè)人評(píng)價(jià)
好
100% （1） 不好
0% （0）

其他回答 共 5 條

用來阻擋信息的，像木馬什么的，也能被阻隔
回答者：homejin – 試用期 一級(jí) 12-1 18:01

——————————————————————————–

防火墻定義

防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻的功能

防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。

為什么使用防火墻

防火墻具有很好的保護(hù)作用。入侵者必須第一穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

防火墻的類型

防火墻有不同類型。一個(gè)防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中。防火墻也可以在一個(gè)**的機(jī)器上運(yùn)行，該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的**和防火墻。最后，直接連在因特網(wǎng)的機(jī)器可以使用個(gè)人防火墻。

本回答被提問者采納

防火墻產(chǎn)品

一、防火墻技術(shù)發(fā)展概述

傳統(tǒng)的防火墻通常是基于訪問控制列表(ACL)進(jìn)行包過濾的，位于在內(nèi)部專用網(wǎng)的入口處，所以也俗稱"邊界防火墻"。隨著防火墻技術(shù)的發(fā)展，防火墻技術(shù)也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術(shù)，如電路級(jí)**技術(shù)、應(yīng)用**技術(shù)和動(dòng)態(tài)包過濾技術(shù)，在實(shí)際運(yùn)用中，這些技術(shù)差別非常大，有的工作在OSI參考模式的網(wǎng)絡(luò)層，；有的工作在傳輸層，還有的工作在應(yīng)用層。

在這些已出現(xiàn)的防火墻技術(shù)中，靜態(tài)包過濾是最差的安全解決方案，其應(yīng)用存在著一些不可克服的限制，最明顯的表現(xiàn)就是不能檢測(cè)出基于用戶身份的地址欺騙型數(shù)據(jù)包，并且很容易受到諸如DoS（拒絕服務(wù)）、IP地址欺詐等黑客攻擊。現(xiàn)在已基本上沒有防火墻廠商單獨(dú)使用這種技術(shù)。應(yīng)用層**和電路級(jí)**是比較好的安全解決方案，它們?cè)趹?yīng)用層檢查數(shù)據(jù)包。但是，我們不可能對(duì)每一個(gè)應(yīng)用都運(yùn)行這樣一個(gè)**服務(wù)器，而且部分應(yīng)用**技術(shù)還要求客戶端安裝有特殊的軟件。這兩種解決方案在性能上也有很大的不足之處。動(dòng)態(tài)包過濾是基于連接狀態(tài)對(duì)數(shù)據(jù)包進(jìn)行檢查，由于動(dòng)態(tài)包過濾解決了靜態(tài)包過濾的安全限制，并且比**技術(shù)在性能上有了很大的改善，因而目前大多數(shù)防火墻廠商都采用這種技術(shù)。但是隨著主動(dòng)攻擊的增多，狀態(tài)包過濾技術(shù)也面臨著巨大的挑戰(zhàn)，更需要其它新技術(shù)的輔助。

除了訪問控制功能外，現(xiàn)在大多數(shù)的防火墻制造商在自己的設(shè)備上還集成了其它的安全技術(shù)，如NAT和**、**防護(hù)等。

二、防火墻未來的技術(shù)發(fā)展趨勢(shì)

隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢(shì)。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。

1. 防火墻包過濾技術(shù)發(fā)展趨勢(shì)

（1）. 一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在**網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)**技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。

（2）. 多級(jí)過濾技術(shù)

所謂多級(jí)過濾技術(shù)，是指防火墻采用多級(jí)過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級(jí)，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用**（應(yīng)用層）一級(jí)，能利用FTP、**TP等各種**，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。

這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

（3）. 使防火墻具有**防護(hù)功能。現(xiàn)在通常被稱之為"**防火墻"，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止**在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有**防護(hù)功能的防火墻可以大大減少公司的損失。

2. 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。

首信CF-2000 系列EP-600和CG-600高端千兆防火墻即采用了功能強(qiáng)大的可編程專有ASIC芯片作為專門的安全引擎，很好地兼顧了靈活性和性能的需要。它們可以以線速處理網(wǎng)絡(luò)流量，而且其性能不受連接數(shù)目、包大小以及采用何種策略的影響。該款防火墻支持QoS，所造成的延遲可以達(dá)到微秒量級(jí)，可以滿足各種交互式多媒體應(yīng)用的要求。浙大網(wǎng)新也在杭州正式發(fā)布三款基于ASIC芯片的網(wǎng)新易尚千兆系列**防火墻,據(jù)稱,其ES4000防火墻速度達(dá)到4Gbps,3DES速度可達(dá)600Mbps。易尚系列千兆防火墻還采用了最新的安全**概念,集成了防火墻、**、IDS、防**、內(nèi)容過濾和流量控制等多項(xiàng)功能,

3. 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)

防火墻的系統(tǒng)管理也有一些發(fā)展趨勢(shì)，主要體現(xiàn)在以下幾個(gè)方面：

（1）. 第一是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢(shì)。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)成功，也就是目前所稱的"分布式防火墻"和"嵌入式防火墻"。關(guān)于這一新技術(shù)在本篇下面將詳細(xì)介紹。

（2）. 強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時(shí)地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級(jí)的，早期的靜態(tài)包過濾防火墻是不具有的。
（3）. 網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化

隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做"建立以防火墻為核心的網(wǎng)絡(luò)安全體系"。因?yàn)槲覀冊(cè)诂F(xiàn)實(shí)中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個(gè)以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。

如現(xiàn)在的IDS設(shè)備就能很好地與防火墻一起聯(lián)合。一般情況下，為了確保系統(tǒng)的通信性能不受安全設(shè)備的影響太大，IDS設(shè)備不能像防火墻一樣置于網(wǎng)絡(luò)入口處，只能置于旁路位置。而在實(shí)際使用中，IDS的任務(wù)往往不僅在于檢測(cè)，很多時(shí)候在IDS發(fā)現(xiàn)入侵行為以后，也需要IDS本身對(duì)入侵及時(shí)遏止。顯然，要讓處于旁路偵聽的IDS完成這個(gè)任務(wù)又太難為，同時(shí)主鏈路又不能串接太多類似設(shè)備。在這種情況下，如果防火墻能和IDS、**檢測(cè)等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各自的長處，協(xié)同配合，共同建立一個(gè)有效的安全防范體系，那么系統(tǒng)網(wǎng)絡(luò)的安全性就能得以明顯提升。

目前主要有兩種解決辦法：一種是直接把IDS、**檢測(cè)部分直接"做"到防火墻中，使防火墻具有IDS和**檢測(cè)設(shè)備的功能；另一種是各個(gè)產(chǎn)品分立，通過某種通訊方式形成一個(gè)整體，一旦發(fā)現(xiàn)安全**，則立即通知防火墻，由防火墻完成過濾和報(bào)告。目前更看重后一種方案，因?yàn)樗鼘?shí)現(xiàn)方式較前一種容易許多。
三、分布式防火墻技術(shù)

在前面已提到一種新的防火墻技術(shù)，即分布式防火墻技術(shù)已在逐漸興起，并在國外一些大的網(wǎng)絡(luò)設(shè)備開發(fā)商中得到了實(shí)現(xiàn)，由于其優(yōu)越的安全防護(hù)體系，符合未來的發(fā)展趨勢(shì)，所以這一技術(shù)一出現(xiàn)便得到許多用戶的認(rèn)可和接受。下面我們就來介紹一下這種新型的防火墻技術(shù)。

1． 分布式防火墻的產(chǎn)生

因?yàn)閭鹘y(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，外于內(nèi)、外部互聯(lián)網(wǎng)之間，所以稱為"邊界防火墻（Perimeter Firewall）"。隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，邊界防火墻明顯感覺到力不從心，因?yàn)榻o網(wǎng)絡(luò)帶來安全威脅的不僅是外部網(wǎng)絡(luò)，更多的是來自內(nèi)部網(wǎng)絡(luò)。但邊界防火墻無法對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)有效地保護(hù)，除非對(duì)每一臺(tái)主機(jī)都安裝防火墻，這是不可能的。基于此，一種新型的防火墻技術(shù)，分布式防火墻（Distributed Firewalls）技術(shù)產(chǎn)生了。它可以很好地解決邊界防火墻以上的不足，當(dāng)然不是為每對(duì)路主機(jī)安裝防火墻，而是把防火墻的安全防護(hù)系統(tǒng)延伸到網(wǎng)絡(luò)中各對(duì)臺(tái)主機(jī)。一方面有效地保證了用戶的投資不會(huì)很高，另一方面給網(wǎng)絡(luò)所帶來的安全防護(hù)是非常全面的。

我們都知道，傳統(tǒng)邊界防火墻用于限制被保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）之間相互進(jìn)行信息存取、傳遞**作，它所處的位置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。實(shí)際上，所有以前出現(xiàn)的各種不同類型的防火墻，從簡(jiǎn)單的包過濾在應(yīng)用層**以至自適應(yīng)**，都是基于一個(gè)共同的假設(shè)，那就是防火墻把內(nèi)部網(wǎng)絡(luò)一端的用戶看成是可信任的，而外部網(wǎng)絡(luò)一端的用戶則都被作為潛在的攻擊者來對(duì)待。而分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng)，它是以主機(jī)為保護(hù)對(duì)象，它的設(shè)計(jì)理念是主機(jī)以外的任何用戶訪問都是不可信任的，都需要進(jìn)行過濾。當(dāng)然在實(shí)際應(yīng)用中，也不是要求對(duì)網(wǎng)絡(luò)中每對(duì)臺(tái)主機(jī)都安裝這樣的系統(tǒng)，這樣會(huì)嚴(yán)重影響網(wǎng)絡(luò)的通信性能。它通常用于保護(hù)企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點(diǎn)服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。

分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以"分布式防火墻"是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。根據(jù)其所需完成的功能，新的防火墻體系結(jié)構(gòu)包含如下部分：

·網(wǎng)絡(luò)防火墻（Network Firewall）：這一部分有的公司采用的是純軟件方式，而有的可以提供相應(yīng)的硬件支持。它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。與傳統(tǒng)邊界防火墻相比，它多了一種用于對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面，更加可靠。不過在功能與傳統(tǒng)的邊界式防火墻類似。
·主機(jī)防火墻（Host Firewall）：同樣也有純軟件和硬件兩種產(chǎn)品，是用于對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。這也是傳統(tǒng)邊界式防火墻所不具有的，也算是對(duì)傳統(tǒng)邊界式防火墻在安全體系方面的一個(gè)完善。它是作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。這樣防火墻的作用不僅是用于內(nèi)部與外部網(wǎng)之間的防護(hù)，還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間。可以說達(dá)到了應(yīng)用層的安全防護(hù)，比起網(wǎng)絡(luò)層更加徹底。
·中心管理（Central Managerment）：這是一個(gè)防火墻服務(wù)器管理軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是新的防火墻的管理功能，也是以前傳統(tǒng)邊界防火墻所不具有的。這樣防火墻就可進(jìn)行智能管理，提高了防火墻的安全防護(hù)靈活性，具備可管理性。

2. 分布式防火墻的主要特點(diǎn)

綜合起來這種新的防火墻技術(shù)具有以下幾個(gè)主要特點(diǎn)：

（1）. 主機(jī)駐留

這種分布式防火墻的最主要特點(diǎn)就是采用主機(jī)駐留方式，所以稱之為"主機(jī)防火墻"（傳統(tǒng)邊界防火墻通常稱之為"網(wǎng)絡(luò)防火墻"）。它的重要特征是駐留在被保護(hù)的主機(jī)上，該主機(jī)以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認(rèn)為是不可信任的，因此可以針對(duì)該主機(jī)上運(yùn)行的具體應(yīng)用和對(duì)外提供的服務(wù)設(shè)定針對(duì)性很強(qiáng)的安全策略。主機(jī)防火墻對(duì)分布式防火墻體系結(jié)構(gòu)的突出貢獻(xiàn)是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)末端。

（2）. 嵌入**作系統(tǒng)內(nèi)核

這主要是針對(duì)目前的純軟件式分布式防火墻來說的.**作系統(tǒng)自身存在許多安全漏洞目前是眾所周知的，運(yùn)行在其上的應(yīng)用軟件無一不受到威,。分布式主機(jī)防火墻也運(yùn)行在主機(jī)上，所以其運(yùn)行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住**作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測(cè)核心引擎要以嵌入**作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后再提交**作系統(tǒng)。為實(shí)現(xiàn)這樣的運(yùn)行機(jī)制，除防火墻廠商自身的開發(fā)技術(shù)外，與**作系統(tǒng)廠商的技術(shù)合作也是必要的條件，因?yàn)檫@需要一些**作系統(tǒng)不公開內(nèi)部技術(shù)接口。不能實(shí)現(xiàn)這種分布式運(yùn)行模式的主機(jī)防火墻由于受到**作系統(tǒng)安全性的制約，存在著明顯的安全隱患。

（3）. 類似于個(gè)人防火墻

個(gè)人防火墻是一種軟件防火墻產(chǎn)品，它是用來保護(hù)單一主機(jī)系統(tǒng)的。分布式防火墻與個(gè)人防火墻有相似之處，如都是對(duì)應(yīng)個(gè)人系統(tǒng)。但它們之間又有著本質(zhì)上的差別。

第一它們管理方式迥然不同，個(gè)人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，全面功能和管理都在本機(jī)上實(shí)現(xiàn)，它的目標(biāo)是防止主機(jī)以外的任何外部用戶攻擊；而針對(duì)桌面應(yīng)用的主機(jī)防火墻的安全策略由整個(gè)系統(tǒng)的管理員統(tǒng)一安排和設(shè)置，除了對(duì)該桌面機(jī)起到保護(hù)作用外，也可以對(duì)該桌面機(jī)的對(duì)外訪問加以控制，并且這種安全機(jī)制是桌面機(jī)的使用者不可見和不可改動(dòng)的。

第三，不同于個(gè)人防火墻是單純的直接面向個(gè)人用戶，針對(duì)桌面應(yīng)用的主機(jī)防火墻是面向企業(yè)級(jí)客戶的，它與分布式防火墻其它產(chǎn)品共同構(gòu)成一個(gè)企業(yè)級(jí)應(yīng)用方案，形成一個(gè)安全策略中心統(tǒng)一管理，所以它在一定程度上也面對(duì)整個(gè)網(wǎng)絡(luò)。它是整個(gè)安全防護(hù)系統(tǒng)中不可分割的一部分，整個(gè)系統(tǒng)的安全檢查機(jī)制分散布置在整個(gè)分布式防火墻體系中。

（4）適用于服務(wù)器托管

互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展促進(jìn)了互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）的迅速崛起，其主要業(yè)務(wù)之一就是服務(wù)器托管服務(wù)。對(duì)服務(wù)器托管用戶而言，該服務(wù)器邏輯上是其企業(yè)網(wǎng)的一部分，只不過物理上不在企業(yè)內(nèi)部。對(duì)于這種應(yīng)用，邊界防火墻解決方案就顯得比較牽強(qiáng)附會(huì)。我們?cè)谇懊娼榻B了，對(duì)于這類用戶，他們通常所采用的防火墻方案是采用虛擬防火墻方案，但這種配置相當(dāng)復(fù)雜，非一般網(wǎng)管人員能勝任。而針對(duì)服務(wù)器的主機(jī)防火墻解決方案則是其一個(gè)典型應(yīng)用。對(duì)于純軟件式的分布式防火墻則用戶只需在該服務(wù)器上安裝上主機(jī)防火墻軟件，并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略即可，并可以利用中心管理軟件對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程**，不需任何額外租用新的空間放置邊界防火墻。對(duì)于硬件式的分布式防火墻因其通常采用PCI卡式的，通常兼顧網(wǎng)卡作用，所以可以直接插在服務(wù)器機(jī)箱里面，也就無需單獨(dú)的空間托管費(fèi)了，對(duì)于企業(yè)來說更加實(shí)惠。

3. 分布式防火墻的主要優(yōu)勢(shì)

在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。主要優(yōu)勢(shì)如下：

（1）增強(qiáng)的系統(tǒng)安全性：增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來自內(nèi)部攻擊防范，可以實(shí)施全方位的安全策略。

在傳統(tǒng)邊界式防火墻應(yīng)用中，企業(yè)內(nèi)部網(wǎng)絡(luò)非常容易受到有目的的攻擊，一旦已經(jīng)接入了企業(yè)局域網(wǎng)的某臺(tái)計(jì)算機(jī)，并獲得這臺(tái)計(jì)算機(jī)的控制權(quán)，他們便可以利用這臺(tái)機(jī)器作為入侵其他系統(tǒng)的跳板。而最新的分布式防火墻將防火墻功能分布到網(wǎng)絡(luò)的各個(gè)子網(wǎng)、桌面系統(tǒng)、筆記本計(jì)算機(jī)以及服務(wù)器PC上。分布于整個(gè)公司內(nèi)的分布式防火墻使用戶可以方便地訪問信息，而不會(huì)將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)還是遠(yuǎn)程訪問所實(shí)現(xiàn)與企業(yè)的互聯(lián)不再有任何區(qū)別。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺(tái)端點(diǎn)系統(tǒng)的入侵而導(dǎo)致向整個(gè)網(wǎng)絡(luò)蔓延的情況發(fā)生，同時(shí)也使通過公共帳號(hào)登錄網(wǎng)絡(luò)的用戶無法進(jìn)入那些限制訪問的計(jì)算機(jī)系統(tǒng)。針對(duì)邊界式防火墻對(duì)內(nèi)部網(wǎng)絡(luò)安全性防范的不足，

另外，由于分布式防火墻使用了IP安全協(xié)議，能夠很好地識(shí)別在各種安全協(xié)議下的內(nèi)部主機(jī)之間的端到端網(wǎng)絡(luò)通信，使各主機(jī)之間的通信得到了很好的保護(hù)。所以分布式防火墻有能力防止各種類型的被動(dòng)和主動(dòng)攻擊。特別在當(dāng)我們使用IP安全協(xié)議中的密碼憑證來標(biāo)志內(nèi)部主機(jī)時(shí)，基于這些標(biāo)志的策略對(duì)主機(jī)來說無疑更具可信性。

（2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。

傳統(tǒng)防火墻由于擁有單一的接入控制點(diǎn)，無論對(duì)網(wǎng)絡(luò)的性能還是對(duì)網(wǎng)絡(luò)的可靠性都有不利的影響。雖然目前也有這方面的研究并提供了一些相應(yīng)的解決方案，從網(wǎng)絡(luò)性能角度來說，自適應(yīng)防火墻是一種在性能和安全之間尋求平衡的方案；從網(wǎng)絡(luò)可靠性角度來說，采用多個(gè)防火墻冗余也是一種可行的方案，但是它們不僅引入了很多復(fù)雜性，而且并沒有從根本上解決該問題。分布式防火墻則從根本上去除了單一的接入點(diǎn)，而使這一問題迎刃而解。另一方面分布式防火墻可以針對(duì)各個(gè)服務(wù)器及終端計(jì)算機(jī)的不同需要，對(duì)防火墻進(jìn)行最佳配置，配置時(shí)能夠充分考慮到這些主機(jī)上運(yùn)行的應(yīng)用，如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運(yùn)轉(zhuǎn)效率。

（3）系統(tǒng)的擴(kuò)展性：分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。

因?yàn)榉植际椒阑饓Ψ植荚谡麄€(gè)企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無限制的擴(kuò)展能力。隨著網(wǎng)絡(luò)的增長，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，因此它們的高性能可以持續(xù)保持住。而不會(huì)象邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模的增大而不堪重負(fù)。

（4）實(shí)施主機(jī)策略：對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。

現(xiàn)在防火墻大多缺乏對(duì)主機(jī)意圖的了解，通常只能根據(jù)數(shù)據(jù)包的外在特性來進(jìn)行過濾控制。雖然**型防火墻能夠解決該問題，但它需要對(duì)每一種協(xié)議單獨(dú)地編寫代碼，其局限性也顯而易見的。在沒有上下文的情況下，防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的，因而也就無法實(shí)施過濾。事實(shí)上，攻擊者很容易偽裝成合法包發(fā)動(dòng)攻擊，攻擊包除了內(nèi)容以外的部分可以完全與合法包一樣。分布式防火墻由主機(jī)來實(shí)施策略控制，毫無疑問主機(jī)對(duì)自己的意圖有足夠的了解，所以分布式防火墻依賴主機(jī)作出合適的決定就能很自然地解決這一問題。

（5）應(yīng)用更為廣泛，支持**通信

其實(shí)分布式防火墻最重要的優(yōu)勢(shì)在于，它能夠保護(hù)物理拓樸上不屬于內(nèi)部網(wǎng)絡(luò)，但位于邏輯上的"內(nèi)部"網(wǎng)絡(luò)的那些主機(jī)，這種需求隨著**的發(fā)展越來越多。對(duì)這個(gè)問題的傳統(tǒng)處理方法是將遠(yuǎn)程"內(nèi)部"主機(jī)和外部主機(jī)的通信依然通過防火墻隔離來控制接入，而遠(yuǎn)程"內(nèi)部"主機(jī)和防火墻之間采用"隧道"技術(shù)保證安全性，這種方法使原本可以直接通信的雙方必須繞經(jīng)防火墻，不僅效率低而且增加了防火墻過濾規(guī)則設(shè)置的難度。與之相反，分布式防火墻的建立本身就是基本邏輯網(wǎng)絡(luò)的概念，因此對(duì)它而言，遠(yuǎn)程"內(nèi)部"主機(jī)與物理上的內(nèi)部主機(jī)沒有任何區(qū)別，它從根本上防止了這種情況的發(fā)生。

4. 分布式防火墻的主要功能

上面介紹了分布式防火墻的特點(diǎn)和優(yōu)勢(shì)，那么到底這種防火墻具備哪些功能呢？因?yàn)椴捎昧塑浖问剑ㄓ械牟捎昧塑浖?硬件形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現(xiàn)在以下幾個(gè)方面：

（1）Internet訪問控制

依據(jù)工作站名稱、設(shè)備指紋等屬性，使用"Internet訪問規(guī)則"，控制該工作站或工作站組在指定的時(shí)間段內(nèi)是否允許/禁止訪問模板或網(wǎng)址列表中所規(guī)定的Internet Web服務(wù)器，某個(gè)用戶可否基于某工作站訪問www服務(wù)器，同時(shí)當(dāng)某個(gè)工作站/用戶達(dá)到規(guī)定流量后確定是否斷網(wǎng)。

（2）應(yīng)用訪問控制

通過對(duì)網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測(cè)，控制來自局域網(wǎng)/Internet的應(yīng)用服務(wù)請(qǐng)求，如SQL數(shù)據(jù)庫訪問、IPX協(xié)議訪問等。

（3）網(wǎng)絡(luò)狀態(tài)**

實(shí)時(shí)動(dòng)態(tài)報(bào)告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵**等信息。

（4）黑客攻擊的防御

抵御包括**urf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自Internet的黑客攻擊手段。

（5）日志管理

對(duì)工作站協(xié)議規(guī)則日志、用戶登陸**日志、用戶Internet訪問日志、指紋驗(yàn)證規(guī)則日志、入侵檢測(cè)規(guī)則日志的記錄與查詢分析。

（6）系統(tǒng)工具

包括系統(tǒng)層參數(shù)的設(shè)定、規(guī)則等配置信息的備份與恢復(fù)、流量統(tǒng)計(jì)、模板設(shè)置、工作站管理等。

防火墻產(chǎn)品

防火墻產(chǎn)品