防火牆系統

使用防火牆(Firewall)的益處

通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統，而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法，而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。

使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Figer和DNS。

記錄和統計網路利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。

Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。

防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。

數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、協議狀態等因素，或它們的組合來確定是否允許該數據包通過。數據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用，網路性能和透明性好，它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備，因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。

數據包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊；二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒。

應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。

數據包過濾和應用網關防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯繫，防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這有利於實施非法訪問和攻擊。

代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術，其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接"，由兩個終止代理伺服器上的" 鏈接"來實現，外部計算機的網路鏈路只能到達代理伺服器，從而起到了隔離防火牆內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、註冊登記，形成報告，同時當發現被攻擊跡象時會向網路管理員發出警報，並保留攻擊痕迹。

網路策略

影響Firewall系統設計、安裝和使用的網路策略可分為兩級，高級的網路策略定義允許和禁止的服務以及如何使用服務，低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。

服務訪問策略

服務訪問策略集中在Internet訪問服務以及外部網路訪問（如撥入策略、SLIP/PPP連接等）。服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。

防火牆設計策略

防火牆設計策略基於特定的Firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略：允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。第一種的特點是安全但不好用，第二種是好用但不安全，通常採用第二種類型的設計策略。而多數防火牆都在兩種之間採取折衷。

增強的認證

許多在Internet上發生的入侵事件源於脆弱的傳統用戶/口令機制。多年來，用戶被告知使用難於猜測和破譯口令，雖然如此，攻擊者仍然在Internet上監視傳輸的口令明文，使傳統的口令機制形同虛設。增強的認證機制包含智能卡，認證令牌，生理特徵（指紋）以及基於軟體（RSA）等技術，來克服傳統口令的弱點。雖然存在多種認證技術，它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰（如SmartCard和認證令牌）。

根據網路系統的安全需要，可以在如下位置部署防火牆：

區域網內的VLAN之間控制信息流向時；

Intranet與Internet之間連接時(企業單位與外網連接時的應用網關)；

在廣域網系統中，由於安全的需要，總部的區域網可以將各分支機構的區域網看成不安全的系統， （通過公網ChinaPac，ChinaDDN，Frame Relay等連接）在總部的區域網和各分支機構連接時採用防火牆隔離，並利用VPN構成虛擬專網；

總部的區域網和分支機構的區域網是通過Internet連接，需要各自安裝防火牆，並利用NetScreen的VPN組成虛擬專網；

在遠程用戶撥號訪問時，加入虛擬專網；

ISP可利用NetScreen的負載平衡功能在公共訪問伺服器和客戶端間加入防火牆進行負載分擔、存取控制、用戶認證、流量控制、日誌紀錄等功能；

兩網對接時，可利用NetScreen硬體防火牆作為網關設備實現地址轉換(NAT)，地址映射（MAP），網路隔離（DMZ）, 採取安全控制，消除傳統軟體防火牆的瓶頸問題。

防火牆能有效地防止外來的入侵，它在網路系統中的作用是：

控制進出網路的信息流向和信息包；

提供使用和流量的日誌和審計；

隱藏內部IP地址及網路結構的細節；

提供VPN功能。

系統概述

防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。

系統原理

防火牆的安全性能取決於防火牆是否基於安全的操作系統和是否採用專用的硬體平台。應用系統的安全性能是以操作系統的安全性能為基礎的。同時，應用系統自身的安全實現也直接影響到整個系統的安全性，提高防火牆的可靠性通常是在設計中採取措施，具體措施是提高部件的強健性、增大設計閥值和增加冗餘部件。所以，高可靠性、帶冗餘設計的工業計算機成為網路安全行業和系統集成商的首選。

目前的防火牆一般標配三個網路介面，分別連接外部網、內部網和SSN。硬體平台具有可擴展和可升級性，HOLL匯爾公司專為網路行業用戶研發生產了多款雙網口、多網口及光纖介面和帶有BYPASS功能的工業級主板和伺服器級網安主板，為所有的網路客戶提供了完備的選擇。

系統框圖

IEC514豪華鋁面板機箱

IEC814N4四網口主板

P4 2.8G

256 M DDR 內存

硬碟採用256MDOM或者40G IDE硬碟

系統評價

1、所有安全和服務由工業級的硬體設備完成：

安全軟體在運行、存儲中是不能保障安全的，軟體運行時很多重要信息都會在某個時間清晰地出現於計算機的存儲器中，因而"高水平"的不法分子竊取並利用這些重要信息十分容易，所以採用由"HOLL匯爾"工業計算機搭建的硬體平台，保障了整個系統的安全。

2、整個系統實用可靠：

"HOLL" 工業計算機是基於PC匯流排的工業計算機，能滿足綜合業務系統的實際需要，運行可靠穩定。

3、整體化的系統設計：

系統不僅依靠獨立的安全保密設備，而且從整個防火牆系統的安全形度進行考慮，進行了整體化的設計，保證了系統的安全性、保密性。使用方便、操作簡單、維護方便。