作业硬件防火墙的选购与配置

硬件防火墙的选购与配置选购要点应该客观地看到，没有一个防火墙的设计能够适用于所有的环境，因此企业应根据站点的特点来选择合适的防火墙：(1)安全性大多数企业在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了最重要的这一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。谈到防火墙的安全性就不得提一下防火墙的配置。防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间，这个Dual-homedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受黑客攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为"停火区"(DMZ，即DemilitarizedZone)，Bastionhost放置在"停火区"内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。(2)高效性好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。防火墙与代理服务器最大的不同在于防火墙是专门为了保护网络安全而设计的，而一个好的防火墙不但应该具备包括检查、认证、警告、记录的功能，并且能够为使用者可能遇到的困境，事先提出解决方案，如IP不足形成的IP转换的问题，信息加密/解密的问题，大企业要求能够透过Internet集中管理的问题等，这也是选择防火墙时必须考虑的问题。(3)配置便利性硬件防火墙系统具有强大的功能，但是其配置安装也较为复杂，需要网管员对原网络配置进行较大的改动。支持透明通信的防火墙在安装时不需要对网络配置做任何改动。目前在市场上，有些防火墙只能在透明方式下或者网关方式下工作，而另外一些防火墙则可以在混合方式下工作。能工作于混合方式的防火墙显然更具方便性。配置方便性还表现为管理方便。用户在选择防火墙时也应该看其是否支持串口终端管理。如果防火墙没有终端管理方式，就不容易确定故障所在。一个好的防火墙产品必须符合用户的实际需要。对于国内用户来说，防火墙最好是具有中文界面，既能支持命令行方式管理，又能支持GUI和集中式管理。(4)管理的难易度防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤，并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等管理问题，更是一般企业不愿意使用的主要原因。因此防火墙的管理最好要适合网管员的管理习惯，设有远程Telnet登录管理以及管理命令的在线帮助等。GUI类管理器作为防火墙的管理工具，为网管员提供了有效、直观的管理方式。(5)可靠性对于防火墙来说，其可靠性直接影响受控网络的可用性，它在重要行业及关键业务系统中的重要作用是显而易见的。提高防火墙的可靠性通常是在设计中采取措施，具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。此外防火墙应对操作系统应提供安全强化功能，最好完全不需要人为操作，就能确实强化操作系统。这项功能通常会暂时停止不必要的服务，并修补操作系统的安全弱点，虽然不是百分之百有效，但起码能防止外界一些不必要的干扰。(6)可扩展性对于一个好的防火墙系统而言，它的规模和功能应该能够适应网络规模和安全策略的变化。理想的防火墙系统应该是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。目前的防火墙一般标配三个网络接口，分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口，因为有些防火墙无法扩展。(7)其它考虑要素企业安全政策中往往有些特殊需求(如网络地址转换(NAT)、双重DNS、扫毒等功能)不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一。此外防火墙的维护费用也是一个要考虑的问题，一般安全性越高，实现越复杂，设备费用相应的越高，日后的维护费用相对来说也是越高。建议：对于ISP、网站等用户来说，由于其数据流量大，对速度和稳定性要求较高，如果这些用户需要在外部网络发布Web(将Web服务器置于外部)，同时需要保护数据库或应用服务器(置于防火墙内)，这就要求所采用的防火墙具有传送SQL数据的功能，而且必须具有较快的传送速度，建议这些用户采用高效的包过滤型并且只允许外部Web服务器和内部传送SQL数据使用、100M及以上带宽的硬件防火墙。中小企业接入Internet的目的一般是为了方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时，要注意考虑保护内部(敏感)数据的安全，要格外注重安全性，对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙，具有http、mail等代理功能即可。对于大中型企业、金融、保险、政府等机构，共同之处在于网络流量不是很大，与外部联系较多，且内部数据比较重要。因此在选购防火墙时首先要考虑的就是安全性问题。从整体规划上，防火墙至少要能够将内部网分成两部分，即内部存放重要数据的网络与存放可提供外部访问数据的网络的分离。对于重要数据的传送，防火墙必须要提供加密的VPN通讯。这类用户选购10M或100M的防火墙就足够了。三、硬件防火墙产品一览1、东方龙马硬件防火墙东方龙马防火墙是东方龙马公司结合当前最新的网络安全技术，自行开发的网络安全产品。它的基本功能有：实时的连接状态监控功能;动态设置过滤规则的功能;双向的网络地址转换功能;对ftp、telnet、http、smtp、pop3应用的透明代理访问方式;提供应用层url级的统计、屏蔽功能;安全的体系结构;安全的网络结构、采用内部网，DMZ区，控制区分离的网络结构;支持透明模式运行方式;MAC地址绑定功能;抗攻击和自我保护能力;通过双机热备份，提供可靠容错/热待机功能;具有审计日志功能;网络工作情况事后分析和查询功能;提供报表功能;提供对通过防火墙使用网络资源的终端身份认证的功能，提供操作简单的图形化用户界面，面向对象的可视化规则编辑以及监控和管理防火墙。硬件配置指标：网络接口，四个10/100M自适应网卡接口，或千兆网卡接口;外设接口，终端接口(RS-232)。2、清华紫光NISECUREUF3500防火墙清华紫光NISECUREUF3500防火墙采用基于SSL的浏览器管理界面，允许通过流行的WEB浏览器使用https协议管理和配置防火墙，保证了防火墙管理的安全性和易用性。支持网络浏览器超时退出的功能，保证了管理员离开管理计算机后的安全。具有网络地址转换、流量控制、用户认证、支持虚拟专用网(VPN)和网络管理等功能，结合了网络级包过滤(Network-levelPacketFilter)和应用级代理服务器(Application-levelProxyServer)的功能。广泛的网络服务支持：支持ARP、DNS、FINGER、FTP、GOPHER、HTTP、HTTPS、ICMP、IRC、MAIL、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS和其它协议。硬件配置指标：3个以太网RJ-45端口(10/100Mbps自适应，全双工)，每个以太网接口有两个LED指示灯，电源LED指示灯，LCD液晶显示屏系统状态，串行控制口。3、NetScreen防火墙NetScreen公司的NetScreen防火墙产品可以说是硬件防火墙领域内的新贵。NetScreen的产品完全基于硬件ASIC芯片，它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、VPN、流量控制三种功能于一体的网络产品。NetScreen把多种安全功能集成在一个ASIC芯片上，将防火墙、虚拟专用网(VPN)、网络流量控制和宽带接入这些功能全部集成在专有的一体硬件中，该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈，能实现最高级别的Ipsec。NetScreen防火墙的配置可在网络上任何一台带有浏览器的机器上完成，NetScreen的优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全保护。下面我简单介绍其主要产品中的三个系列：(1)NetScreen-100NetScreen-100是一个专门为网络安全方面设计的Internet安全设备，它为电子商务站点、ASP/ISP数据中心和企业中心站点提供专门优化的防火墙、VPN流量控制(带宽监控)功能NetScreen-100包括了一个专门设计的ASIC以加速加密工程和防火墙功能，一个高性能的多总线结构，高速RISCCPU和专用的软件。它的专利--独特的体系结构消除了传统系统中由于在通用处理器、PC或工作站上运行软件的防火墙、VPN、加密所导致的性能瓶颈、NetScreen在消除了性能瓶颈的同时依然提供了ICSA认证的全状态监测防火墙安全和最高级的3DESIPSec加密的数据安全。应用领域：电子商务站点、ASP站点、应用服务提供商、企业中心站点。(2)NetScreen-200由于增加的端口可以将网络划分为多个监控区域，NetScreen-200系列能够在多个监控区域之间即网络内部建立VPN通道，NetScreen-200系列具有采用ASIC安全机制、提供多个接口、所有接口皆具防火墙防御功能、所有的接口皆有VPN通道、集中星型VPN(Hub-and-Spoke)的中心站点、高可靠性(设备的冗余性HA)等特性。NetScreen-200系列包括NetScreen-204和NetScreen-208产品，两者的区别在于10/100兆以太网接口数量。NetScreen-208和NetScreen-204支持1000个IPSecVPN通道和128000个并发会话，具有每秒钟处理10000多个新会话的能力，能够有效防止拒绝服务攻击。NetScreen-208防火墙和VPN的传输速率分别为550Mbps和200Mbps。NetScreen-204防火墙和VPN的传输速率分别为400Mbps和200Mbps。同时提供的多个以太网口，每个以太网口都可灵活设定为信任区，非信任区或DMZ。NetScreen-200系列装载了最新版本的ScreenOS3.1操作系统。ScreenOS3.1的优化功能使用户能够更加容易设定和配置网络内的安全区域。应用领域：大、中型企业，服务提供商。(3)NetScreen-1000NetScreen-1000防火墙，是一种面向大多数数据中心环境需求的互联网安全系统，其中包括：电子商务站点、Web主机托管网站和ASP。NetScreen防火墙结合了防火墙和VPN安全加密的功能并拥有千兆以太网的吞吐处理能力。并发进程与硬件加速相结合的NetScreenGigaScreenASIC体系结构，使其具有了高速传输和有效的加密加速引擎的特性，NetScreen的高效传输能满足宽带数据的应用，NetScreen-1000的可升级的体系结构不断的满足客户需求，如业务的增长，NetScreen-1000能满足绝大多数环境的需求。4、CiscoPIX500系列防火墙美国Cisco系统公司PIX500系列防火墙采用了专用的操作系统，减少了黑客利用操作系统BUG攻击的可能性，其内核采用的是基于适用的安全策略(AdaptiveSecurityAlgorithm)的保护机制，ASA把内部网络与未经认证的用户完全隔绝。每当一个内部网络的用户访问Internet，PIX防火墙从用户的IP数据包中卸下IP地址，用一个存储在PIX防火墙内已登记的有效IP地址代替它，把真正的IP地址隐藏起来。PIX防火墙还具有审计日志功能，并支持SNMP协议，用户可以利用防火墙系统的包含实时报警功能的网络浏览器，产生报警报告。PIX500防火墙通过一个cut-through代理要求用户最初类似一个代理服务器，在应用层工作，但是用户一旦被认证，PIX防火墙切换会话流和所有的通信流量，保持会话状态的双方就会快速和直接地进行通信。一.防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的：●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：(1).简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。(2).全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。(3).内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制。目前来说，要做到这一点比较困难。二、防火墙的初始配置像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以CiscoPIX防火墙为例进行介绍。防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接，再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样。防火墙除了以上所说的通过控制端口(Console)进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较