论文-088-防火墙技术的研究与探讨.doc

防火墙技术的研究与探讨摘 要 随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大。政府上网工程的启动和实施，电子商务(electronic commerce)、电子货币（electronic currency）、网上银行等网络新业务的兴起和发展，使得网络安全问题显得日益重要和突出。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。基于对计算机网络的热爱，希望能通过此次的论文书写使自己能对防火墙技术方面的知识得到进一步的充实。关键词 防火墙 网络安全 体系结构 Cisco PIX一、引言随着互联网在中国的快速发展，中国六大经营性互联网和四大非经营性互联网都先后建成并投入使用，据CNNIC统计，到2001年6月30日止，中国互联网上网用户数达到2650万左右，上网计算机约1002万台。目前互联网用户中有ISDN（2B+D）用户93.8万、专线上网用户48.8万。目前中国拥有如此庞大的互联网用户和基础网络，把一个十分严峻的问题摆在了国人的面前，即互联网的安全问题。赛迪顾问长期对互联网进行跟踪研究，在目前不断发生互联网安全事故的时候，对互联网的安全状况进行了一系列的研究与分析，希望引起用户和厂商对网络安全的重视。 2000年11月28日下午，CHINAREN的主页大巴遭遇了极为罕见的严重硬件故障，导致文件系统崩溃，导致30万个人主页用户的所有资料丢失；2001年1月30日1点钟左右，263网络集团的ISP业务页面、IDC资料信息港页面等几乎在同一时刻被黑客攻击，从2001年互联网发生的几起事故来看，互联网安全受到非常大的挑战。 增强互联网安全的主要方法和途径有：1、防火墙技术 2、数据加密技术 3、加强互联网安全管理通过下面各大安全产品产商的产品线数量分布图：我们可以看出。防火墙在网络安全中是占据着极大的比重的。防火墙也是网络安全采用的一种最普遍的方法，借此，希望通过本次论文能够对防火墙的工作原理，应用及机制有更深一步的了解。在本文中首先介绍了防火墙的一些基本定义，分类，体系结构，优缺点等基本内容。再对防火墙的一些技术进行了进一步的讲解。最后通过对防火墙现今主流产品的介绍，及对如何选择防火墙给出了一点建议。并以一个具体的例子来进一步讲述防火墙的配置。 由于本人技术有限，在文中肯定有很多不足之处，敬请各位老师指导。二、 防火墙基本概念（一）、什么是防火墙防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。AT&T的两位工程师Willam Cheswick和 steven Beellovin，他们将防火墙定义为置于两个网络之间的一组构件或一个系统，一个好的防火墙它具有以下5方面的属性：1、所有的内部网络和外部网络之间传输的数据必须通过防火墙；2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙；3、防火墙本身不受各种攻击的影响；4、使用目前新的信息安全技术，比如现代密码技术等；5、人机界面良好，用户配置使用方便，易管理。简言之：防火墙是在内部网与外部网之间实施安全防范的系统，它用于保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前，许多防火墙都用于Internet内部网之间（如图-1示），但在任何网间和企业网内部均可使用防火墙。因特网防火墙 防火墙 内部网图-1防火墙结构图（二）、防火墙的分类：防火墙的产生和发展已经历了相当一段时间，根据不同的标准，其分类方法也各不相同。按防火墙发展的先后顺序可分为；包过滤型（pack Filter）防火墙（也叫第一代防火墙）。复合型（Hybrid）防火墙（也叫第二代防火墙）；以及继复合型防火墙之后的第三代防火墙；在第三代防火中最具代表性的有：IGA(Internet Gateway Appciance)防毒墙；Sonic wall防火墙以及Cink Tvust Cyberwall等。按防火墙在网络中的位置可分为：边界防火墙，分布式防火墙，分布式防火墙又包括主机防火墙，网络防火墙。如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 1. 软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。 2. 硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口作为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 3. 芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。（三）、防火墙体系结构 目前,防火墙的体系结构一般有以下几种: 双重宿主主机体系结构； 屏蔽主机体系结构； 屏蔽子网体系结构。1. .双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如，因特网）并不是直接发送到其它网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。如图2。 2. .屏蔽主机体系结构双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁（例如，传送进来的电子邮件）。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。数据包过滤也允许堡垒主机开放可允许的连接（什么是“可允许”将由用户的站点的安全策略决定）到外部世界。 在屏蔽的路由器中数据包过滤配置可以按下列之一执行：允许其它的内部主机为了某些服务与因特网上的主机连接（即允许那些已经由数据包过滤的服务）。不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。用户可以针对不同的服务混合使用这些手段；某些服务可以被允许直接经由数据包过滤，而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。因为这种体系结构允许数据包从因特网向内部网的移动，所以，它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。话说回来，实际上双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败（因为这种失败类型是完全出乎预料的，不大可能防备黑客侵袭）。进而言之，保卫路由器比保卫主机较易实现，因为它提供非常有限的服务组。多数情况下，被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。 然而，比较其它体系结构，如在下面要讨论的屏蔽子网体系结构也有一些缺点。主要的是如果侵袭者没有办法侵入堡垒主机时，而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下，路由器同样出现一个 单点失效。如果路由器被损害，整个网络对侵袭者是开放的。其结构图，如图-3 图-33.屏蔽子网体系结构屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。如图-4所示： 图-4周边网络：周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。E.g.: netxray等的工作原理。堡垒主机：堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。外部路由器（访问路由器）的作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）的作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。（四） .防火墙的优缺点1.防火墙的优点 防火墙能强化安全策略 因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。 防火墙能有效地记录Internet上的活动 因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。 防火墙限制暴露用户点 防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 防火墙是一个安全策略的检查站 所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。2.防火墙的不足之处 上面我们叙述了防火墙的优点，但它还是有缺点的，主要表现在： 不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。 不能防范不通过它的连接 防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 不能防备全部的威胁 防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 防火墙不能防范病毒 防火墙不能消除网络上的PC机的病毒。三、防火墙技术（一）、防火墙的技术防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同，采用不同的技术，因而也就产生了不同类型的防火型。防火墙所采用的技术主要有：1、屏蔽路由技术最简单和最流行的防火墙形式是“屏蔽路由器”。多数商业路由器具有内置的限制目的地间通信的能力。屏蔽路由器一般只在网络层工作（有的还包括传输层），采用包过滤或虚电路技术，包过滤通过检查每个网络包，取得其头信息，一般包括：到达的物理网络接口，源地址，目标地址，传输层类型（），源端口和目的端口。根据这些信息，判别是否规则集中的某条目匹配，并对匹配包执行规则中指定的动作（禁止或允许）。包过滤系统通常可以重置网络包地址，从而流出的通信包看来不同于其原始主机地址转换（），通过可以隐藏内部网络拓朴和地址表，而虚电路技术的核心是验证通信包是一个连接中的数据包（两个传输层之间的虚电路）。首先，它检查每个连接的建立以确保其发生在合法的握手之后。并且，在握手完成前不转发数据包，系统维护一个有效连接表（包括完整的会话状态和序列信息），当网络包信息与虚电路表中的某一入口匹配时才允许包含数据的网络包通过。当连接终止后，它在表中的入口就被删除，从而两个会话层之间的虚电路也就被关闭了。屏蔽路由器类型的防火墙的优点：.性能要优于其他类型的防火墙，因为它执行较少的计算。并且，可以很容易地以硬件方式实现。规则设置简单，通过禁止内部计算机和特定Internet 资源的连接，单一规则即可保护整个网络。.不需对客户端计算机进行专门的配置。.通过，可以对外部用户屏蔽内部。.其缺点是：.无法识别到应用层协议，也无法对协议子集进行约束。.处理包内信息的能力有限。.通常不能提供其他附加功能，如http的目标缓存，过滤以及认证。.无法约束由内部主机到防火墙服务器上的信息，只能控制什么信息可以过去，从而入侵者可能防问到防火墙主机的服务，从而带来安舍隐患，.没有或缺乏审计追踪，从而也就缺乏报警机制。.由于对众多网络服务的“广泛”支持所造成的复杂性，很难对规则有效性进行测试。综上所述：屏蔽路由技术往往比较脆弱，因为它还要依赖其背后主机上应用软件的正确配置。因此，在使用此类型的防火墙时，通常配合其他系统使用。、2、基于代理的（也称应用网关）防火墙壁技术它通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信，而是与代理服务器通信（用户的默认网关指向代理服务器）。各个应用代理在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪，许多专家也认为它更加安全，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。如图-5所示应用层传输层外部网链路层内部网物理层图-5代理服务原理结构代理防火墙的主要优点：.代理服务可以识别并实施高层的协议，如http和ftp等。.代理服务包含通过防火墙服务器的通信信息，可以提供源于部分传输层，全部应用层和部分会话层的信息。.代理服务可以用于禁止访问特定的网络服务，而允许其他服务的使用。代理服务能处理数据包 通过提供透明服务，可以让使用代理的用户感觉在直接与外部通信。.代理服务还可以提供屏蔽路由器不具备的附加功能。代理防火墙的主要缺点 .代理服务有性能上的延迟，因为流入数据需要被处理两次（应用程序和其代理） .代理防火墙一般需要客户端的修改或设置，因此，配置过程繁琐。 代理由于通常需要附加的口令和认证而造成延迟，可以会给用户带来不便。 .应用级防火墙一般不能提供UDP，RPC等特殊协议类的代理。 .应用层有时会忽略那些底层的网络包信息。3、包过滤技术系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过虎防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包，从其IP头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，执行其相关的动作。其原理和结构如图-6所示外部网内部网 包过过例 网络层 链路层 物理 图-6 包过滤结构4、动态防火墙技术它是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，IP地址的输入输出业务，因而限制了控制能力，并且由于网络的所有高位（102465535）端要么开放，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝条件。具体地讲，动态防火墙技术并不是根据状态来对包进行有效性检查，而是通过为每个会话维护其状态信息，来提供一种防御措施和方法。它可分辨通讯是初始请求还是对请求的回应，即是否是新的会话通讯，以实现“单向规则”即在过滤规则中可以只允许一个方向上的通讯。在该方向上的初始请求被允许和记录后，其连接的另一方向的回应也将被允许，这样不必在过滤规则中为其回应考虑，大大减少过滤规则的数量和复杂性。同时，它还为协议和服务的过滤提供了理想解决方案，能很好地实现“只允许内部访问外部”的策略，使内部网络更安全。从处部看，在没有合法的通讯时，除规则允许外部访问的所有内部主机端口开放。并且当连接结束进，也随之关闭；而从内部看，除规则明确拒绝处，所有外部资源都是开放的，并且它还为一些针对TCP的攻击提供了在包过滤上进行防御的手段。动态防火墙技术的实现动态防火墙为了跟踪 维护连接状态，它必须对所有进出的数据包进行分析，从其传输层，应用层中提取相关的通讯和应用状态信息，根据其源和目的IP地址，传输层协议和源目的端口及目的端口来区分每一连接，并建立动态连接表为所有连接存储其状态和上下文信息；同时为检查后续通讯。应及时更新这些信息，当连接结束时，也应及时从连接表中删除其相应信息。其原理如图-7所示。动态包过滤记录连接表中Src port dst pohSrc port dst poh在连接表中查找客户机 服务器图-7 动态防火墙动态连接表是动态防火墙技术的核心，对所有进出的数据包，首先在动态连接表中查找相应的连接表项，若其存在，便可得到过滤结果，否则，查找相应过滤规则，并为某创建一连接表项。这样，就不必为每个数据包都在过滤规则中依次进行比较来查找响应规则，从而大大提高了过滤效率和网络通讯速度，但是，动态防火墙包过滤技术在实现中也有一些缺陷；它通过检查关键词来实现对应用协议和数据的过滤，但无法对跨分组的关键词进行检查，而且一旦过滤掉分组后，它只能简单地关闭连接，不会向源端口传送任何错误信息。5、一种改进的防火墙技术（或称复合型防火墙技术）由于过滤型防火墙安全性不高，代理服务器型防火墙速度较慢，因而出现了一种综合上述两种技术优点的改进型防火墙技术，它保证了一定的安全性，又使通过它的信息传输速度不至于受到太大的影响，其系统结构如图-8所示： 图-8 复合型防火墙在上述防火墙结构中，对于那些从内部网向外部网发出的请求，由于对内部网的安全威胁不大，因此可直接下外部网建立连接，对于那些从外部网向内部网提出的请求，先要通过包过滤型防火墙，在此经过初步安全检查，两次检查确定无疑后可接受其请求，否则，就需要丢弃或作其它处理。（二）、 防火墙的功能评价 如何评价防火墙是一个复杂的问题，因为用户在这方面有不同的需求，很难给出统一的标准，一般说来，防火墙的安全和性能（速度等）是最主要的指标，从安全需求来看，理想的防火墙应具：访问控制，防御功能，安全特性，管理功能，记录和报表这几方面的功能。1、访问控制访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。2、防御功能防御功能主要包括：支持病毒扫描；提供内容过滤；能防御的DOS攻击类型；阻止ActiveX、 Java、Cookies、javascript等进行HTTP内容过滤，防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过、过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。3、安全特性安全特性只要是指防火墙能够支持转发和跟踪ICMP协议（ICMP代理）；提供入侵实行时警告；提供实时入侵防范；识别/记录/防止企图进行IP地址欺骗。4、管理功能通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。5、记录和报表功能记录和报表功能是指：防火墙处理完整日志的方法；提供自动日志扫描；提供自动报表、日志报告书写器；警告通知机制；提供简要报表（按照用户ID或IP地址）；提供实时统计； 列出获得的国内有关部门许可证类别及号码。四、防火墙的选择及配置（一）、防火墙主流产品介绍防火墙可以分为硬件防火墙和软件防火墙两种，对于硬件防火墙。SonicWALL，Netscreen，Cisco，Fortigate，华为， 天融信等公司生产的硬件防火墙都是现今市面上比较流行的。比如CISCO PIX 525，FORTINET FortiGate 3600LX2，华为3Com Eudemon1000等。现主要对CISCO PIX 525的性能指标进行介绍，其具体产品性能指标见附录一。现在运用比较广泛的软件防火墙有天网，瑞星，KV3000，江民等。 （二）、防火墙选择说明防火墙作为网络边界的安全哨卡，其重要性已经越来越得到企业的认可。这就意味着防火墙的市场需求越来越大。也因此，国内外众多商家纷纷投身防火墙市场的激烈竞争，这样就形成了防火墙产品的品牌、档次五花八门，参差不齐，企业选择防火墙也就眼花缭乱，无所适从。那么，作为企业级用户，如何来选择一款既满足需求，又价格合理的防火墙产品呢？1、做好需求分析 选择合适产品的一个前提条件就是，明确企业本身的具体需求。因此，选择产品的第一个步骤就是针对企业自身的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。 2、选择原则 在整理出具体的需求以后，可以得到一份防火墙的需求分析报告。下一步的工作就是在众多的品牌和档次中选出满足各种需求的品牌，并考虑一定的扩展性要求。选择的主要原则有：.以需求为导向，选择最适合本企业需求的产品。由于防火墙的各项指标具有较强的专业性，因此企业在选择时，有必要把防火墙的主要指标和需求联系起来。另外，还要考虑到企业可承受的性价比。.对于产品的选型，可参考的指标来源有厂家提供的技术白皮书、各种测评机构的横向对比测试报告，从中可以了解产品的一些基本性能情况。.要完全按照企业的实际需求来对比各种品牌的满足程度，最好是根据需求，定制一套解决方案，并对防火墙在统一测试条件和测试环境下进行横向对比。3、了解产品的性能指标性能指标主要包括吞吐量、丢包率、延迟、背靠背包、最大并发连接数、并发连接处理速率等。吞吐量是防火墙在各种帧长的满负载（100M或1000M）双向（Bidirectional Traffic）UDP数据包情况下的稳定性表现，是其它指标的基础。它反映的是防火墙的数据包转发能力。其中， 64字节帧长小包的处理能力，对于反映防火墙数据包的转发能力尤其重要，现已引起国内外厂商和用户的关注。防火墙丢包率这项测试，是用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。延迟这项测试通常是指测试从测试数据帧的最后一个比特进入被测设备端口开始，至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。背靠背包是指以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。最后两项分别测试防火墙的每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数。了解这些之后，我们会明白，采用具有优异性能的防火墙，是我们保护投资的一种有效方式。用户在选择时，应该根据自身的网络规模和需求，对上述几个指标参数进行详细了解，选择适合的产品。 （三）、 配置实例 硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种PC式的电脑主机加上闪存（Flash）和防火墙操作系统。它的硬件跟共控机差不多，都是属于能适合24小时工作的，外观造型也是相类似。闪存基本上跟路由器一样，都是那中EEPROM，操作系统跟Cisco IOS相似,都是命令行（Command）式。 Cisco Firewall Pix 525，是一种机架式标准（即能安装在标准的机柜里），有2U的高度，正面看跟Cisco 路由器一样，只有一些指示灯，从背板看，有两个以太口（RJ-45网卡）,一个配置口（console）,2个USB,一个15针的Failover口，还有三个PCI扩展口。 如何开始Cisco Firewall Pix呢？我想应该是跟Cisco 路由器使用差不多吧，于是用配置线从电脑的COM2连到PIX 525的console口，进入PIX操作系统采用windows系统里的“超级终端”，通讯参数设置为默然。初始使用有一个初始化过程，主要设置： Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，如果以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。 下面我讲一下一般用到的最基本配置 1、 建立用户和密码用enable进入特权模式（附录二），然后用config t进入全局模式（附录二）建立用户及密码PIX525enable /进入特权模式PIX525#congfig t /进入全局模式PIX525(config)#username username /创建用户PIX525config)# password password /摄制密码2、 激活以太端口 必须用enable进入，然后进入configure模式 PIX525enable Password: PIX525#config t PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto 在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。 3、 命名端口与安全级别 采用命令nameif PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全级别（0安全级别最高） security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。 4、 配置以太端口IP 地址 采用命令为：ip address 如：内部网络为： 外部网络为： PIX525(config)#ip address inside PIX525(config)#ip address outside 5、 配置远程访问telnet 在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。 PIX525(config)#telnet inside PIX525(config)#telnet outside 测试telnet 在开始-运行 telnet PIX passwd: 输入密码：cisco 6、 访问列表(access-list) 此功能与Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等，如：只允许访问主机:54的www,端口为：80 PIX525(config)#access-list 100 permit ip any host 54 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside 7、 地址转换（NAT）和端口转换(PAT) NAT跟路由器基本是一样的， 首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。 PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#nat (inside) 1 如果是内部全部地址都可以转换出去则： PIX525(config)#nat (inside) 1 则某些情况下，外部地址是很有限的，有些主机必须单独占用一个IP地址，必须解决的是公用一个外部IP(01),则必须多配置一条命令，这种称为（PAT），这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下： PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#global (outside) 1 01 netmask PIX525(config)#nat (inside) 1 8、 DHCP Server 在内部网络，为了维护的集中管理和充分利用有限IP地址，都会启用动态主机分配IP地址服务器（DHCP Server），Cisco Firewall PIX都具有这种功能，下面简单配置DHCP Server,地址段为0000 DNS: 主8 备7 主域名称： DHCP Client 通过PIX Firewall PIX525(config)#ip address dhcp DHCP Server配置 PIX525(config)#dhcpd address 00-00 inside PIX525(config)#dhcp dns 8 7 PIX525(config)#dhcp domain 9、 静态端口重定向(Port Redirection with Statics) 在PIX 版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。 命令格式： static (internal_if_name,external_if_name)global_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq static (internal_if_name,external_if_name)tcp|udpglobal_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq !-外部用户直接访问地址9 telnet端口，通过PIX重定向到内部主机9的telnet端口（23）。 PIX525(config)#static (inside,outside) tcp 9 telnet 9 telnet netmask 55 0 0 !-外部用户直接访问地址9 FTP，通过PIX重定向到内部的FTP Server。 PIX525(config)#static (inside,outside) tcp 9 ftp ftp netmask 55 0 0 !-外部用户直接访问地址08 www(即80端口)，通过PIX重定向到内部192.168.123的主机的www(即80端口)。 PIX525(config)#static (inside,outside) tcp 08 www www netmask 55 0 0 !-外部用户直接访问地址01 HTTP(8080端口)，通过PIX重定向到内部的主机的www(即80端口)。 PIX525(config)#static (inside,outside) tcp 08 8080 www netmask 55 0 0 !-外部用户直接访问地址 smtp(25端口)，通过PIX重定向到内部的邮件主机的smtp(即25端口) PIX525(config)#static (inside,outside) tcp 08 smtp smtp netmask 55 0 0 10、显示与保存结果 采用命令show config 保存采用write memory总结随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。参考文献1. 防火墙技术论坛 （/zh/ScienceFields/netSF/517.aspx）2. 瑞星 (/newSite/)3 防火墙技术网 （/article_view.asp?id=40）4 .中国cisco技术论坛 （/）5. （美）Greg Holden 著 王斌 孔璐 译 防火墙与网络安全入侵检测VPNs清华大学出版社6. 美） David W. Chapmen Jr. Andy Fox 著刘兴初李逢天 译 李逢天 审CISCO 安全PIX防火墙 人民邮电出版社 附录一：CISCO PIX