06防火墙技术与应用

《06防火墙技术与应用》由会员分享，可在线阅读，更多相关《06防火墙技术与应用（45页珍藏版）》请在装配图网上搜索。

1、单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,*,第,6,章 防火墙技术,与应用,,本章内容,防火墙概述,,6. 1,防火墙的类型,,6. 2,防火墙的体系结构,6. 3,防火墙配置,,6. 4,防火墙产品介绍,6. 5,引导案例,:,,随着计算机信息技术的日益发展与完善，互联网技术的普及和发展，给教育信息化工作的开展提供了很多的便利，网络成为教育信息化的重要组成部分。然而，网络的快速发展也给黑客提供了更多的危及计算机网络信息安全的手段和方法，网络信息安全成为人们关注的焦点。上海市某教委计算机网络连接形式多样、终端分布不均匀且具有

2、开放性特点，容易受到攻击。因此，如何针对该教委建立一个安全、高效的网络系统，最终为广大师生提供全面服务，成为了迫切需要解决的问题。,,古时候，建造和使用木质结构的房屋，为了在火灾发生时，防止火势蔓延，人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障，这种防护构筑物被称之为防火墙。在今天的网络世界里，人们借用了防火墙这个概念，把隔离在内部网络和外界网络之间的一道防御系统称为防火墙。它在内部网和外部网之间构造一个保护层，并迫使所有的连接和访问都通过这一保护层，以便接受检查。只有被授权信息流才能通过保护层，进入内部网，从而保护内部网免受非法入侵。,防火墙概述,,4. 1,,4.1.1,防火墙的概念

3、,,防火墙（,Firewall,）,——,是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障内部网络的安全。,从实现方式上看，防火墙可以分为,硬件防火墙,和,软件防火墙,两类：,,硬件防火墙是通过硬件和软件的结合来达到隔离内、外部网络的目的；,,软件防火墙是通过纯软件的方式来实现的。,,1,、相关概念（见,P142-143),,2,、防火墙的安全策略,,防火墙安全策略是指要明确地定义允许使用或禁止使用的网络服务。,,(1),除非明确允许，否则就禁止,,（,2,）除非明确禁止，否则就允许。,,防火墙的发展简史,防火墙,,发展史,2.,第二代防火墙,——,用户化

4、的防火墙,3.,第三代防火墙,——,建立在通用操作系统上的防火墙,,4.,第四代防火墙,——,具有安全操作系统的防火墙,1.,第一代防火墙,——,基于路由器的防火墙,,6.1.2,防火墙的功能与缺陷,,1,、先进的防火墙产品将网关与安全系统合二为一，具有以下功能（,P143,－,144,）,,（,1,）,.,包过滤,,（,,2,）,.,远程管理,,（,,3,）,. NAT,技术,,（,,4,）,.,代理,,（,,5,）,. MAC,与,IP,地址的绑定,,（,,6,）,.,流量控制（带宽管理）和统计分析、流量计费,,（,,7,）,. VPN,,（,,8,）,. URL,级信息过滤,,（

5、,,9,）,.,其他特殊功能,,2,、防火墙的缺陷,（,P144,）,,6.1.3,常见的防火墙,,1,、,NetScreen,208 Firewall,,是,NetScreen,公司推出的一种新型的网络安全硬件产品。内置,ASIC,技术，其安全设备具有低延时、高效的,IPSEC,加密和防火墙功能，可以无缝地部署到任何网络。设备安装和操控也非常容易，可以通过多种管理界面包括内置的,WEBUI,界面、命令行界面或,NetScreen,中央管理方案进行管理（,P146,）,,2,、,Cisco Secure PIX 515-E FIREWALL,,是,CISCO,家族中的专用防火墙设施，通过端到端

6、安全服务的有机组合，提供了很高的安全性，适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的,WEB,服务的情况。该防火墙与普通的,CPU,密集型专用代理服务器不同，它采用非,UNIX,、安全、实时的内置系统，可以提供扩展和重新配置,IP,网络的特性，同时不引起,IP,地址短缺问题（,P146),。,,3,、天融信网络卫士,NGFW4000-S,防火墙,,北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统，是我国首创的核检测防火墙。它由防火墙和管理器组成，集中了包过滤防火墙、应用代理、网络地址转换（,NAT,）、用户身份鉴别、虚拟专用网、,WEB,页

7、面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能。（,P146,）,,4,、东软,NetEye,4032,防火墙,,该系统在性能、可靠性、管理性等方面大大提高。其基于状态包过滤的刘过滤体系结构，保证从数据链路层到应用层的安全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的网络安全保障，适合于中小型企业的网络安全需要。（,P146,） 。,,4.1.4,防火墙的安全性设计,,1.,用户认证,,2.,域名服务,,3.,邮件处理,,4. IP,层的安全性,,5.,防火墙的,IP,安全性,,防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分

8、为包过滤、应用级网关和代理服务器等几大类型。,包过滤型防火墙,,1,应用级网关型防火墙,,2,防火墙的类型,,6. 2,代理服务型防火墙,,3,复合型防火墙,,4,,6.2.1,包过滤防火墙,,数据包过滤,(Packet Filtering),技术,——,在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表,(Access Control Table),。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。,优点 ：,数据包过滤防火墙逻辑简单，价格便宜，易于,,安装和使用，网络性能和透明性好,缺点 ：,一

9、是非法访问一旦突破防火墙，即可对主机上,,的软件和配置漏洞进行攻击；,,二是数据包的源地址、目的地址以及,IP,的端口号,,都在数据包的头部，很有可能被窃听或假冒。,,包过滤技术是防火墙的基础功能，依赖于数据传输的一般结构，而数据结构所使用的数据包头部含有,IP,地址信息和协议所使用的端口信息，根据这些信息，可以决定是否将数据转发给目的地址。包过滤及时取决于管理员设定的规则库，可以根据以下信息来制定规则库：,,1,、发出数据包的源地址和目的地址；,,2,、接收数据包的源地址和目的地址；,,3,、所涉及的网络协议（,TCP,、,UDP,等）；,,4,、所使用的端口，如,HTTP,使用的,80,端

10、口。,,（,1,）第一代：静态包过滤,,（,2,）第二代：动态包过滤,,,2,、包过滤技术的过程,,一个包过滤防火墙必须具备两个端口，一个端口连接非信任网络（如因特网），另一个端口连接可信网络（如内部网络），如,P147,图,6,－,2,所示。防火墙配置的规则必须能对一个非信任端口流向信任端口，或信任端口流向非信任端口进行控制处理，以此来决定是否让信息流通过，如,P147,图,6,－,3,所示。,,由图可见，一个典型的网络结构，包括,HTTP,、,DNS,、,SMTP,内部网络通过包过滤防火墙将其分为服务器区域和子网络区域。,,创建规则库。规则库包含了最常见的网络服务的安全规则，包括现有的网络

11、情况自定义的安全规则。创建一个规则库需要按照以下标准：协议类型、源地址、目的地址、源端口、目的端口、当数据包和规则库匹配时应采用的措施。,,如,P148,表,6,－,1,所示。,,3,、包过滤防火墙的有点和缺点,,要准确地定义包过滤防火墙规则很复杂，在考虑包过滤设备的部署时必须了解其优缺点。,,（,1,）优点：设备价格便宜，且设备性能不会受影响；对流量的管理较好。,,（,2,）缺点：详见,P149,,6.2.2,应用代理防火墙,,,应用代理或代理服务器是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部防火墙，同时将外部服务器的响应在回送给用户。这种技术被用于

12、在,WEB,服务器上高速缓存信息，并且扮演,WEB,客户和,WEB,服务器之间的中介角色。它主要保存因特网上那些最常用和最近访问过的内容，为用户提供更快的访问速度。这项技术对,ISP,很常见，特别是如果它到因特网的连接速度很慢的话。在,WEB,上，代理首先试图在本地寻找数据，如果没有，在到远程服务器上去找。也可以通过建立代理服务器来允许在防火墙后直接访问因特网。代理在服务器山打开一个套接字，并允许通过这个套接字与因特网通信。,,,应用代理网关即代理服务器，适用于特定的互联网服务。代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对外界来说，它又是一台客户机。当代理服务器接收

13、到用户对某站点的访问请求后会检查该请求是否符合要求，如果规则运行用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需要信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复的获取相同的内容，直接将缓存内容发出去即可，节省了时间和网络资源。,（详见,149,）,,应用级网关的不足（详见,149,）,,6.2.3,电路级网关防火墙,,,。,电子级网关用来监控受信任的客户或服务器与不手信任的主机间的,TCP,握手信息，以此来决定该会话是否有效。电路级网关在,OSI,模型中会话层上过滤数据包，这样比包过滤防火墙

14、要高二层。实际上，电路级网关并非作为一个独立的产品存折，它于其他的应用级网关结合在一起。例如。另外电路级网关还提供一个重要的安全功能：代理服务器，在其上运行一个叫做“地址转移”的进程，用来将所有公司内部的,IP,地址映射到一个安全的,IP,地址，,P150,,6.2.4,状态检测防火墙,,该防火墙结合了包过滤防火墙、电路级网关、应用级网关的特点。它同包过滤防火墙一样，按规则检查防火墙能够在,OSI,网络层上通过的,IP,地址和端口，过滤进出的数据包。它也像电路级网关一样，能够检查,SYN,和,ACK,标记及序列是否逻辑有序。,,规则检查防火墙虽然集成了前三者的特点，但是不同于一个应用级网

15、关，它并不打破客户机,/,服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤包上更有效。,,P150-151,,双重宿主主机体系结构,1,屏蔽主机体系结构,2,防火墙的体系结构,6. 3,屏蔽子网体系结构,3,,复合型防火墙,,,由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。,,,屏蔽主机防火墙体系结构：,在该结构中，分组过

16、滤路由器或防火墙与,Internet,相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为,Internet,上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。,,,屏蔽子网防火墙体系结构：,堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与,Internet,及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。,,6.3.1,双重宿主主机体系结构,,双重宿主主机体系结构围绕双重宿主主机而构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当外

17、部网络和内部网络之间的路由器，所以它能够使内部网络和外部网络的数据包直接路由通过。然而，实现双重宿主主机的防火墙体系结构禁止这种发送功能。所有，,IP,数据包从一个网络并不是直接发送到其他网络。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主机通信，但不能直接通信，它们之间的,IP,通信被完全阻止。,,双重宿主主机的防,火墙系统结构是相当简单的，双重宿主主机位于两者之间，并且被连接到 因特网和内部的网络，如,P151,图,6,－,5.,,6.3.2,屏蔽主机体系结构,屏蔽主机体系结构,使用一个单独的路由器提供来自仅仅与内部的网络相联的主机的服务。在这种体系结构中，主要的

18、安全由数据包过滤提供。,如,P151,图,6,－,6.,,在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：堡垒主机是因特网上的主机连接到内部网络系统的桥梁，例如，传送电子邮件。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或服务将这些连接到这台堡垒主机上。因此堡垒主机需要拥有高等级的安全。,,数据包过滤也允许堡垒主机开放可以允许的连接（什么是“可允许”将由用户的站点的安全策略决定）到外部世界．在屏蔽的路由器中数据包过滤配置可以按下列方式之一执行．（１）允许其他的内部主机为了某些服务与因特网上的主机连接（即允许那些已经由数据包过滤的服务．,,（２）不允许来自内部

19、主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）．,,用户可以针对不同的服务混合使用这些手段，某些服务可以被允许直接由数据包过滤，而其他服务可以被允许间接地经过代理．这完全取决于用户实行的安全策略．,,因为这种体系结构允许数据包从因特网向内部网络的移动，所有它的涉及比没有外部数据包能达到内部网络的双重宿主主机体系结构似乎是更冒风险。实际上，双重宿主主机体系结构在防备数据包从外 部网络传过内部网络时容易产生失败，不大可能 防备黑客侵袭。,,然而，比较其他体系结构，这种体系结构也有一些特点，主要是如果侵袭着没有办法侵人堡垒主机，而而且在堡垒主机和其余的内部主机之间没有任何 保护网络安全的东西

20、存在的情况下，路由器统一出现一个单点失效。如果路由器被损害，则整个网络对侵袭着是开放的。,,6.3.3,屏蔽子网体系结构,,也叫被屏蔽子网体系结构，,将额外的安全层添加到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络,(,通常是,Internet),隔离开。,该体系结构的最简单形式为：两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间，这样在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。如,P153,图,6,－,7.,,周边网络是一个被隔离的独立子网，充当了内部网

21、络和外部网络的缓冲区，在内部网络与外部网络之间形成了一个“隔离带”。这就构成一个所谓的,“,非军事区”,(,DeMilitarized,Zone,，,DMZ),，,DMZ,是周边网络，是防火墙的重要概念，在实际应用中经常用到。,,（,1,）周边网络,,（,2,）堡垒主机,,（,3,）内部路由器,,（,4,）外部路由器,,6.3.4,防火墙体系结构的组合,建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接收什么等级的风险。采用哪种技术主要取决于经费、投资的大小或技术人员的技术、时间等因素。一般有以下几种形式

22、：,,（,1,）使用多堡垒主机,,（,2,）合并内部路由器与外部路由器,,（,3,）合并堡垒主机与外部路由器,,（,4,）合并堡垒主机与内部路由器,,（,5,）使用多台内部路由器,,（,6,）使用多台外部路由器,,（,7,）使用多个周边网络,,（,8,）使用双重宿主主机与屏蔽子网。,,6.4.1,天融信防火墙的应用实例,,网络卫士系列防火墙是天融信在多年的防火墙开发和应用实践及广大用户宝贵建议的基础上，基于对网络安全的深刻理解，并融合网络科技的最新成果，采用独特的安全架构和多项具有自主知识产权的安全技术，经过近两年的开发完成的最新一代防火墙产品。,,网络卫士系列防火墙产品一般包括防火墙硬件产品

23、和防火墙“集中管理器”软件。其专用管理软件可运行于,Windows,环境下。,,网络卫士系列防火墙至少有三个标准端口，即一个接外网（,Internet),，一个接内网，一个接,DMZ,区，在,DMZ,区中有网络服务器。安装防火墙所要达到的效果是：内网区的计算机可以任意访问外网，可以访问,DMZ,中指定的网络服务器，,Internet,和,DMZ,的计算机不能访问内网，,Internet,可以访问,DMZ,中的服务器，其网络拓扑结构如图,6,－,8.,,防 火 墙产品的 配 置实例与应用解决方案,6. 4,,1.,安装防火墙管理器软件。,,管理器软件一般安装在单独的管理主机上，管理主机通常位于

24、管理中心网络的网管主机上，管理中心为内部防火区的子集，同时管理主机或管理中心与其他安全区域相比有更严格的访问安全策略。（详见,P155,）,,2.,管理网络卫士防火墙,,网络管理员可以通过多种方式管理网络卫士防火墙。管理港式包括本地管理和远程管理，本地管理即通过,Console,口登录防火墙进行管理；远程管理包括使用防火墙集中管理器，或通过,Telnet,及,SSH,等多种方式登录防火墙进行配置管理,.,,（,1,） 使用,Console,口登录防火墙。具体方法见,P155-157,,(2),使用防火墙集中管理器。具体方法见,P157-158,,3.,防火墙的一些策略配置,,（,1,）定义网络

25、区域。（,2,）定义网络对象。（,3,）配置访问策略,,（,4,）通信策略。,,,6.4.2,防火墙的应用解决方案,,1.,证券公司营业部防火墙解决方案,,某证券公司营业部原系统网络拓扑图如图,6,－,21,所示。整个营业部局域网通过路由器连接,DDN,专线接入因特网。,WEB,服务器直接与路由器局域网口连在一个交换机上，使用合法,IP,地址。一台业务前置机也连在整个交换机上，使用合法的,IP,地址。业务前置机与内部网中的一台业务通信机通过串行线连接。内部网所有用户要访问因特网，必须通过代理服务器。代理服务器软件为,WinGate,和,Sygate,。代理服务器上装两片网卡，一片连接在外部的交

26、换机上，另一片连在内部网的交换机上。同时代理服务器也兼作业务前置机。在整个网络系统中添加一台清华紫光的,UF3500,防火墙，以三端口运行。将大户网吧和内部网（包括代理服务器）连接到防火墙的内部区；将,WEB,服务器和前置业务机连接到防火墙的中立区；而防火墙的外部接口与路由器的局域网口相连。这样可以有效保护内部网、大户网吧、,WEB,服务区和前置业务机，同时保证所有业务的正常运行。系统架构如,P162,的图,6,－,22.,,,2.,天融信某银行金融城域网防火墙方案,,目前某银行主要应用业务中，网上银行、电子商务、网上交易系统都是通过因特网公网进行相关操作，由于互联网自身的广泛性、自由性等特点

27、，其系统很可能成为恶意入侵者的攻击目标。银行网络安全的风险来自多个方面。其一，来自互联网的风险。其二，来自外单位的风险。其三，来自不信任域的风险。其四，来自内部网的风险。（详见,P162,）,,鉴于存在以上潜在风险，该银行网络需要防范来自不安全网络或不信任域的非法访问或非授权访问，防范信息在网络传输过程中被非法窃取而造成信息的泄露，并动态地防范各种来自内外网络的恶意攻击，对进入网络或主机的数据实时检测，防范病毒对网络或主机的侵害，针对银行特殊的应用进行特定的应用开发，必须制定完善的安全管理制度，并通过培训等手段来增强员工的安全防范技术及意识。,,鉴于以上银行系统可能发生的安全隐患及客户要求，天

28、融信制订出了安全可靠的安全解决方案，首先,……,其次,……,再次（详见,P163,）,,,除了上述的安全风险外，安全设备本身的稳定性也非常重要。为此天融信安全解决方案中防火墙将采用双机热备的方式，即两台防火墙互为备份，一台是主防火墙，另一台是从防火墙。当主防火墙发送故障时，从防火墙接替主防火墙的工作，从而最大限度地保证用户网络的联通性。,,根据该银行的网络结构，天融信把整个网络用防火墙分割成三个物理控制区域，即金融网广域网、独立服务器网络、银行内部网络。以上三个区域分别连接在防火墙的三个以太网接口上，从而通过 防火墙加载访问控制策略，对这三个控制区域间的访问进行限制。主防火墙与从防火墙之间通过

29、,Console,电缆线相连接，用以进行两台防火墙之间的心跳检测。其拓扑结构如图,6,－,23,所示。,,1,、现状描述,,上海某教委教育信息网依托教育信息网络平台，构成了以教委为中心，各学校教学子网、办公子网、宿舍区子网、图书馆子网等组成的网络体系，在在此基础上开展了多样化的教学和科研业务。,,目前该网络基础设施已基本建设完成，具有以下几个显著特点：首先是教委信息中心作为校园网的核心面向学生师生，是系统的建设重点；其次各学校校园网数据应用类型比较复杂，主要包括提供网上浏览、电子邮件、远程登录的信息服务系统，提供多媒体网上教学平台的教学应用系统，为各学校综合教务提供服务的办公自动化管理系统，人

30、事信息、教学资源管理应用系统，提供教学科研图书资料的电子图书馆等。,案例实现,,2,、需求分析,,该教委各学校网络的安全建设目前还比较简单，存在着较多的安全隐患，根据各学校的网络和应用特点，从信息安全的角度并结合本学期安全项目建设目标，教委及各学校主要存在以下的安全需,,（,1,）在各学校网络出口处 部署访问控制设备，防止外网非授权数据进入学校内网，实现学校内网和广域网的逻辑隔离。,,（,2,）实现对访问控制设备的集中管理，实现策略统一下发，日志集中存储,,（,3,）建立统一安全管理平台，对全网设备进行有效监控，并对整个安全态势进行感知，实时准确定位安全事件发生源，对信息系统所面临的蠕虫病毒及

31、黑客入侵等网络攻击形成一套监控、预警、发现、响应的机制,,（,4,）建立系统、有效的安全管理制度。,案例实现,,3,、解决方案,,（,1,）在教委互联网出口处部署两台防火墙，出口处防火墙 采用双机热备方式部署，当一台防火墙崩溃时，另外一台防火墙存有所有会话的备份，从而保证业务的高可用性，如,P164,图,6,－,24,所示。同时，充分发挥防火墙的入侵防御、深度内容过滤、高可用性、管理审计等功能，做到事前可见、事中可控、事后可查。通过设置过滤规则，仅允许外部用户访问特定主机的特定服务端口，有效保护教委教育信息网的内网安全。,,（,2,）在各学校网络边界处部署防火墙，对网络内部的相互访问进行访问控

32、制。确保合法用户正常使用网络资源、防止外部用户非法访问该教委下属各学校的内网，阻止网络攻击和越权访问，确保网络访问在有序和可控的环境下进行。,,（,3,）采用安全管理平台对该网络中的主机设备、网络设备、安全设备等进行集中监控管理，它包括网络拓扑管理、性能管理、故障管理、安全审计、事件和告警管理等功能模块。,案例实现,,4.4.1,Web,服务器置于防火墙之内,优点 ：,将,Web,服务器装在防火墙内的好处是它得到了,,安全保护，不容易被黑客闯入。,缺点 ：,这种配置却使得,Web,服务器不容易被外界所用。,,4.4.2,Web,服务器置于防火墙之外,为保证内部网络的安全，将,Web,服务器完全

33、置于防火墙之外是比较合适的。在这种模式中，,Web,服务器不受保护，但内部网则处于保护之下。,,4.4.3,Web,服务器置于防火墙之上,优点 ：,在防火墙机器上运行,Web,服务器，可以增强,,Web,站点的安全性。,缺点 ：,一旦服务器出了问题，整个组织和,Web,站点就,,全部处于危险之中。,,4.4.4,ISA Server,企业级防火墙配置实例,Microsoft ISA Server,企业级防火墙是全球最大的软件公司微软公司最新发布的防火墙产品。最新的产品是,2004,年推出的,ISA Server 2004,。作为,Microsoft Windows Server System,

34、的成员之一，,ISA Server 2004,企业级防火墙是一个安全、易于使用且经济高效的解决方案，可帮助,IT,专业人员抵御不断涌现的新安全威胁。,,Check Point Firewall-1,1,AXENT Raptor,2,,CyberGuard,Firewall,3,防火墙产品介绍,4. 5,Cisco PIX 535,4,联想“超五”千兆线速防火墙,——NFW4000,5,,4.5.1,Check Point Firewall-1,Check Point (http://,,),公司推出的,Firewall-1,共支持两个平台：一个是,Unix,平台，另一个是,Windows N

35、T,平台。,Firewall-1,具有一种很特别的结构，称为多层次状态监视结构。这种结构让,Firewall-1,可以对复杂的网络应用软件进行快速支持。也因为这个功能，使得,Check Point,在防火墙产品的厂商中位居领导地位。有很多第三方厂商对它进行支持。而,Check Point,也提供了一套,APL,供开发者使用，以便开发更多的辅助工具。,,Firewall-1,提供了最佳权限控制、最佳综合性能及简单明了的管理。除了,NAT,外，它具有用户认证功能。对于,FTP,，可以根据,put,、,set,以及文件名加以限制。对于,SMTP,，它可以丢弃超过一定大小的邮件，对邮件进行病毒扫描，以

36、及改写邮件头信息。,Firewall-1,还可以防止有害,SMTP,命令（如,debug,）的执行。,Firewall-1,的用户界面是网络控制中心，定义和实施复杂的安全规则非常容易。每个规划还有一个域用于文档记录，如为什么制定这条规则，何时制定及由谁制定。,,4.5.2,AXENT Raptor,Raptor,是代理型防火墙中比较好的产品。它的界面易读、易操作，在实时日志方面，仅次于,Firewall-1,。,Raptor,的优势在于其代理的深度和广度。只有它提供对,Microsoft NT,服务器的保护。它还具有,SQL * NET,代理功能，可控制对,Oracle,数据库的访问。,Rap

37、tor,在,SMTP,方面做得很好，而且它是可防止缓存溢出的防火墙，它可以代理,NNTP,（网络新闻传输协议）和,NTP,（网络时间协议）。,,4.5.3,CyberGuard,Firewall,,CyberGuard,Firewall,是由,CyberGuard,,公司制作的，其主要结构是基于,CX/SX,多层式安全操作系统，它的操作相当容易上手。,CyberGuard,Firewall,跟其他防火墙产品不同的地方在于，它提供一种可以安装在防火墙上的界面卡。通过界面卡，可以进行硬件加密。这对于整体效果有显著的提高。另外，它还有网络地址转译、支持,Sock,、分割式的,DNS,等特点。,,4.

38、5.4,Cisco PIX 535,Cisco Secure PIX 535,防火墙提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的,Cisco Secure PIX,防火墙系列的组成部分，,PIX 535,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和,IP,安全（,IPSec,）虚拟专网（,VPN,）功能与千兆位以太网吞吐量灵活地结合在一起。,,,PIX 535,是一种能够提供空前保护能力的通用防火墙设备。它与,PIX,操作系统（,OS,）紧密集成在一起，该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。,PIX535,防火墙的核心是基于自适应安全算法（,ASA,）的一种保护机制，它可以提供面向静态连接的防火墙功能，能够进行,50,万个同时连接，并同时防止常见的拒绝服务（,DoS,）攻击。,,4.5.5,联想“超五”千兆线速防火墙,—NFW4000,,联想“超五”千兆线速防火墙,——NFW4000,是一款无操作系统、多机集群并基于,NP,（网络处理器）的,4GB,千兆线速防火墙，也是真正实现数据包内容过滤的防火墙。联想拥有完全自主知识产权，并已取得国家十多项技术专利，不仅在国内同类产品中名列前茅，而且在国际上也属领先水平。,,