防火墙原理入门_防火墙入门

防火墙原理入门由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“防火墙入门”。

防火墙原理入门

防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。防火墙的五大功能

一般来说，防火墙具有以下几种功能：

1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。

2．可以很方便地监视网络的安全性，并报警。

3．可以作为部署NAT（Network Addre Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

两种防火墙技术的对比

包过滤防火墙

优点

价格较低

性能开销小，处理速度较快

缺点

定义复杂，容易出现因配置不当带来问题

允许数据包直接通过，容易造成数据驱动式攻击的潜在危险

代理防火墙

内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理

速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用

5．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署www.daodoc.com 上有这么一句话：“http-tunnel在HTTP请求中建立了一个双向的虚拟数据连接。HTTP请求可以经过代理而被发送，这就可以被那些处在限制了端口的防火墙背后的用户使用。如果通过HTTP代理的www.daodoc.com1，通信参数设置为每秒位数9600，数据位8，奇偶校验无，停止位1，数据流控制无。进入超级终端的界面，输入防火墙的密码进入命令行格式。

定义管理口：if eth1 XXX.XXX.XXX.XXX 255.255.255.0

修改管理口的GUI登录权限： fire client add topsec-t gui-a 外网-i 0.0.0.0-255.255.255.255

2、使用GUI管理软件配置防火墙

安装天融信防火墙GUI管理软件”TOPSEC集中管理器"，并建立NGFW4000管理项目，输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。

（1）定义网络区域

Internet（外网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping、GUI、telnet。

Intranet（内网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，允许ping、GUI、telnet。

DMZ区：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，禁止ping、GUI、telnet。

（2）定义网络对象

一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的，也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用，表示地址映射的实际机器，详细描述见通信策略。

子网表示一段连续的IP地址。可以作为策略的源或目的，还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP，为了避免使用三个子网来描述技术部使用的IP地址，可以将这两个被其他部门占用的地址在例外地址中说明。

为了配置访问策略，先定义特殊的节点与子网：

FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

V_SERVER：代表外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。

inside：表示内网上的所有机器，区域=Intranet，起始地址=0.0.0.0，结束地址=255.255.255.255。

outside：表示外网上的所有机器，区域=Internet，起始地址=0.0.0.0，结束地址=255.255.255.255。

（3）配置访问策略

在DMZ区域中增加三条访问策略：

A、访问目的=FTP_SERVER，目的端口=TCP 21。源=inside，访问权限=读、写。源=outside，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。

B、访问目的=HTTP_SERVER，目的端口=TCP 80。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。

C、访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。

（4）通信策略

由于内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。增加一条通信策略，目的=outside，源=inside，方式=NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在Internet中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择

另外在安全策略上，防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的，编程对用户是友好的，还应具备若干可能的过滤属性，如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。只有这样用户才能根据实际需求采取灵活的安全策略保护自己企业网络的安全。

另外，防火墙除应包含先进的鉴别措施，还应采用尽量多的先进技术，如包过滤技术、加密技术、可信的信息技术等。如身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术，这些都是防火墙安全系统所必需考虑的。

晓通代理的Nokia防火墙使用了专用的IPSO安全操作系统和专门开发的硬件平台，保证了系统平台本身的高度的安全性。在这个平台上，Nokia又集成了CheckPoint、SecoSheild、WebSense等安全产品，能够实现全面的安全。这些产品能够为用户提供安全保证，同时提供又能够提供足够灵活和多变的策略。

高效的性能和高可靠性

防火墙是通过对进入的数据进行过滤来识别是否符合安全策略的，所以在流量比较高时，要求防火墙能以最快的速度及时对所有数据包进行检测，否则就可能造成比较的延时，甚至死机。这个指标非常重要，它体现了防火墙的可用性能，也体现了企业用户使用防火墙产品的代价（延时），用户无法接受过高的代价。如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触，有时我们在打开防火墙时上网反应非常慢，而一旦去掉速度就上来了，原因就为因为防火墙过滤速度不够快。

如果防火墙对原有网络带宽影响过大，无疑就是对原有投资的巨大浪费。

目前来说防火墙在类型上基本上都实现了从软件到硬件的转换，算法上也有了很大的优化，一部分防火墙的性能完全可以做到对原有网络的性能影响很小了。具体到用户来说，辨别一款防火墙的性能的优劣，主要可以看看权威评测机构或媒体的性能测试结果，这些结果都是以国际标准RFC2544标准来衡量的，主要包括：网络吞吐量、丢包率、延迟、连接数等，其中吞吐量又是重中之重。Nokia IP1260防火墙可以提供高达4.2Gbps的性能，充分满足大型企业或者电信级运营商的需要。同时，Nokia防火墙还支持集群技术，多台Nokia防火墙可以实现动态的负载均衡，这样不仅能够满足大规模网络的应用，同时还能够充分保护用户的投资。

当然在性能方面，对于不同规模的企业有不同的要求，不一定速度越高越好，像有的小型的局域网出口速率不到1M/s，选用100M/s的防火墙就是多余的。

对于大、中型企业说就应当高度重视防火墙功能的多样性。否则很可能选购回来的防火墙产品根本不能满足当前或者短时间内的未来需求。

质量好的防火墙能够有效地控制通信，能够为不同级别、不同需求的用户提供不同的控制策略。控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出防火墙控制策略的质量。现在大多数的防火墙产品都支持NAT功能，它可以让受防火墙保护一方的IP地址不被暴露。但注意启用NAT后势必会对防火墙系统的性能有所影响。

目前防火墙技术进步很快，功能上也做的五花八门，用户选择上也比较困难。在包过滤方式上，目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他的一些附加的功能可以视实际的需要而定，例如，对于没有固定主机的单位，可能需要身份认证的功能；对网络资源比较紧张的单位，可能需要带宽管理的功能以合理控制资源分配；对于有总部和分支机构的企业，就可能需要选择能支持VPN通讯功能的防火墙产品等等。

对于经常有公司内部用户移动办公的企业，最好能提供支持VPN通信或者身份验证功能，这样做有两个好处：一是可以大量节省通信费用（因为VPN只需要用户与本地ISP连接即可）；另一方面用户出差时可以登录公司内部的服务器，在没有其它加密手段或者加密成本比较高时，这样的身份验证方式是比较实用的。Nokia防火墙作为业内领先的产品，全面提供包括防火墙、VPN、入侵检测、流量控制、防病毒网关等多种功能在内的产品。

因为防火墙就象单位用户出入互联网的一道门，如果门坏了，显然进出互联网也就成问题了。这样很可能会使用户造成巨大的损失，这就要求防火墙产品自身具有高的可靠性。提高防火墙的可靠性通常是在设计中采取措施，具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。晓通代理的Nokia防火墙支持虚拟路由器冗余协议（VRRP，RFC2338），可以在2台或者多台Nokia防火墙之间实现冗余和负

475-