防火墙部署，计算机网络安全

（一）防火墙的设计原则

当搭建防火墙设备时，经常要遵循下面两个主要的概念。首先要保持设计的简单性，其次要计划好一旦防火墙被渗透应该采取的对策与措施。

1.保持设计的简单性

一个黑客渗透系统最常用的方法就是利用安装在堡垒主机上不被注意的组件。因此，建立堡垒主机时要尽可能使用较小的组件，无论是硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像Web服务那样的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行尽量少的服务，以避免给潜在的黑客穿过防火墙提供机会。

2.安排事故计划

如果已设计好防火墙性能，只有通过防火墙才能允许访问公共网络。当设计防火墙时，安全管理员要对防火墙主机崩溃或危机的情况做出计划。如果仅仅是用一个防火墙设备把内部网络和因特网隔离开，那么黑客渗透防火墙后就会对内部的网络有完全的访问权限。为了防止这种渗透，要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙来保护网络安全。为了确保网络的安全，无论何时都需要制定合适的安全策略，包括以下几方面。

（1）创建软件备份。

（2）配置同样的系统并存储到安全的地方。

（3）确保所有需要安装到防火墙上的软件都容易配置。

（二）防火墙的选购原则

在市场上，防火墙的售价极为悬殊，从几万元到数十万元，甚至到百万元。因为各企业用户使用的安全程度不尽相同，因此厂商所推出的产品也有所区分，甚至有些公司还推出类似模块化的功能产品，以符合各种不同企业的安全需求。

当一个企业或组织决定采用防火墙来实施保卫自己内部网络的安全策略之后，下一步要做的事情就是选择一个安全、经济、合适的防火墙。那么，面对种类如此繁多的防火墙产品，用户需要考虑的因素有哪些，应该如何进行取舍呢？

1.第一要素：防火墙的基本功能

防火墙系统可以说是网络的第一道防线，对计算机信息系统十分重要，因此一个企业在决定使用防火墙保护内部网络的安全时，首先需要了解一个防火墙系统应具备的基本功能。一个成功的防火墙产品应该具有以下基本功能。

防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许，否则就禁止”；防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。

防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可以被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级，且升级必须定期进行。

正像前面提到的那样，Internet每时每刻都在发生着变化，新的易受攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。

2.第二要素：企业的特殊要求

企业安全政策中往往有些特殊需求，这些需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一。常见的需求有以下几方面。

（l）网络地址转换功能（NAT）

进行地址转换有两个好处：其一是隐藏内部网络的真正IP，这可以使黑客无法直接攻击内部网络；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。

（2）双重DNS

当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为同样的一台主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。

（3）虚拟专用网络（VPN）

VPN可以在防火墙与防火墙或移动的客户机之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。

（4）病毒扫描功能

大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作是由防火墙完成，或者是由另一台专用的计算机完成。

（5）特殊控制需求

有时候企业会有特别的控制需求，如限制特定使用者才能发送E-mail，FTP只能下载文件而不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。

3.第三要素：与用户网络结合

（1）管理的难易度

防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤并不能达到完全的控制之外，设定工作困难、需具备完整的知识及不易排错等管理问题也是一般企业不愿意使用的主要原因。

（2）自身的安全性

大多数人在选择防火墙时都将注意力放在防火墙如何控制连接及防火墙支持多少种服务上，往往忽略了一点——防火墙也是网络上的主机之一，也可能存在安全问题。防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。(www.chuimin.cn)

大部分防火墙都安装在一般的操作系统上，如UNIX、Windows NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可以为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此，防火墙自身应有相当高的安全保护。

（3）完善的售后服务

用户在选购防火墙产品时，除了从以上的功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其他操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，因此好的防火墙产品应拥有完善、及时的售后服务体系。

（4）完整的安全检查

好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全，仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。

（5）结合用户情况

在选购一个防火墙时，用户应该从自身考虑下面的因素。

①网络受威胁的程度。

②若入侵者闯入网络，将要受到的潜在损失。

③其他已经用来保护网络及其资源的安全措施。

④由于硬件或软件失效，或者防火墙遭到“拒绝服务攻击”而导致用户不能访问Internet，造成整个机构的损失。

⑤机构所希望提供给Internet的服务，希望能从Internet得到的服务，以及可以同时通过防火墙的用户数目。

⑥网络是否有经验丰富的管理员。

⑦今后可能的要求，如要求增加通过防火墙的网络活动或要求新的Internet服务。

（三）常见防火墙产品

防火墙产品的用户主要分为个人用户、企业用户和政府部门用户。个人用户的安全需求基本局限于防止网络病毒和“邮件炸弹”，一般的单机防火墙软件就能满足。而企业用户和政府部门用户是安全产品最重要的应用对象。因此这里主要介绍针对后两类用户的防火墙产品。

1.Checkpoint Firewall-1

Checkpoint公司是一家专门从事网络安全产品开发的公司，是软件防火墙领域中的佼佼者，其旗舰产品Checkpoint Firewall-1（简称CP Firewall-1）在全球软件防火墙产品中位居第一。

CP Firewall-1是一个综合的、模块化的安全套件。它是一个基于策略的解决方案，提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CP Firewall-1套件提供单一的、集中的分布式安全策略，跨越UNIX、Windows NT、路由器、交换机和其他外围设备，提供大量的API，有100多个解决方案和OEM厂商的支持。

CP Firewall-1由3个交互操作的组件构成：控制组件、加强组件和可选组件。这些组件既可以运行在单机上，也可以部署在跨平台系统上。其中，控制组件包括Firewall-1管理服务器和图形化的客户机；加强组件包含Firewall-1检测模块和Firewall-1防火墙模块；可选组件包括Firewall-1 Encryption Module（主要用于保护VPN）、Firewall-1 Connect Control Module（执行服务器负载平衡）和Router Security Module（管理路由器访问控制列表）。

CP Firewall-1防火墙的操作是在操作系统的核心层进行，而不是在应用程序层，这样可以使系统达到最高性能的扩展和升级。此外，CP Firewall-1支持基于Web的多媒体和基于UDP的应用程序，并采用多重验证模板和方法，使网络管理员容易验证客户机、会话和用户对网络的访问。目前该产品支持的平台有Windows NT、Windows 2000、Sun OS、Sun Solaris、IBM AIX、HP-UX及Bay Networks Router等。CP Firewall-1的不足是价格偏高。

2.Sonicwall系列防火墙

Sonicwall系列防火墙是Sonic System公司针对中小企业需求开发的产品，并以其高性能和极具竞争力的价格受到中小企业和ISP公司的青睐。Sonicwall系列防火墙包括Sonicwall/10、Sonicwall/50、Sonicwall/Plus、Sonicwall/Bandit和Sonicwall/DMZ Plus等。这些产品除了具有普通防火墙的功能外，还可管理和控制访问Internet的流量。其可视化的Web Browser设置更使得非专业人员可以方便地进行配置和管理。Sonicwall系列防火墙具有以下主要功能。

（l）阻止未授权用户访问防火墙内网络。

（2）阻止拒绝服务攻击，并可完成Internet内容过滤。

（3）IP地址管理，网络地址转换（NAT），也可作为Proxy。

（4）制定网络访问规则，规定对某些网站访问的限制，如Internet Chat。

（5）自动通知升级软件。

（6）Sonicwall/DMZ Plus提供VPN功能。

Sonicwall系列防火墙的市场定位是中小型企业，价格不算太高，功能也较齐全，不失为一款质优价廉的产品。

3.NetScreen Firewall

NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品，具有Trusted（可信端口）、Untrusted（非信任端口）和Optional（可选端口）3个J-45网络接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快闪存储器。防火墙的配置可在网络上任何一台带有浏览器的机器上完成，它把多种功能诸如流量控制、负载均衡、VPN等集成到一起。NetScreep防火墙的优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全保护。NetScreen防火墙支持的标准包括ARP、TCP/IP、UDP、ICMP、DHCP、HTTP、RADIUS、IPSEC、MD5、DSS、SHA-I、DESMAC、DES/TripleDES、ISAKMP和X.509 v3等。与CP Firewall-1相比，NetScreen Firewall在执行效率和带宽处理上似乎更胜一筹。

NetScreen防火墙产品可以真正实现线速传输，可同时支持最大62 094个并行FTP连接。NetScreen防火墙系列产品中的NetScreen-10和NetScreen-100已分别通过了ICSA（国际计算机安全协会）的防火墙认证和中华人民共和国公安部计算机网络安全产品检测中心的检测，并获得了在中国的销售许可证。