全布線：防火墻的分類

布線：防火墻的分類1.為什么要用防火墻作為Internet的本身存在的缺陷容易被人利用，對(duì)網(wǎng)絡(luò)安全帶來(lái)很大的威脅，所以就在網(wǎng)絡(luò)安全中采用防火墻技術(shù)是非常有用的，這是因?yàn)椋篒nternet是普遍依賴于TCP/IP協(xié)議的，這是一種在一種機(jī)型間的通信協(xié)議，它本身就很安全。Internet所提供的各種服務(wù)，如電子郵件、文件傳輸、遠(yuǎn)程登錄、萬(wàn)維網(wǎng)等都存在著安全隱患?！鮅nternet上使用了薄弱的認(rèn)證環(huán)節(jié)，薄弱的、靜態(tài)的口令；一些TCP或UDP服務(wù)只能對(duì)主機(jī)地址進(jìn)行認(rèn)證，而不能對(duì)指定的用戶進(jìn)行認(rèn)證?！踉贗nternet上存在著IP地址欺騙（偽裝）?！跤腥毕莸木钟蚓W(wǎng)服務(wù)（NIS和NFS）和主機(jī)之間存在著有缺陷的相互信任關(guān)系。特別是近幾年掀起的電子商務(wù)、電子政務(wù)熱潮，使用防火墻就顯得相當(dāng)重要了。2.防火墻的產(chǎn)品分類目前，防火墻產(chǎn)品大致分為軟件防火墻、硬件防火墻和工業(yè)標(biāo)準(zhǔn)服務(wù)器形式的防火墻三類。1.軟件防火墻軟件防火墻一般運(yùn)行在操作系統(tǒng)以上，以CheckpointFirewall/NAIGauntlet產(chǎn)品為例分別介紹。（1）CheckpointFirewall的主要特點(diǎn)如下：FireWall-1主要的功能是在安全區(qū)域支持Entrust技術(shù)的數(shù)位證明（digitalcertificate）解決方案；以公用密鑰為基礎(chǔ)，使用X.509的認(rèn)證機(jī)制IKE。FireWall-1支持LDAP目錄管理，可幫助使用者定義包羅廣泛的安全政策。FireWall-1提供顧客包含遠(yuǎn)端的使用者使用多種安全的認(rèn)證機(jī)制，以存取企業(yè)資源。在通信被允許進(jìn)行之前，F(xiàn)ireWall-1認(rèn)證服務(wù)可安全地確認(rèn)他們身份的有效性，而不需要修改本地客戶端應(yīng)用軟件，認(rèn)證服務(wù)是完全地被集成到企業(yè)整體的安全政策內(nèi)，并能由FireWall-1圖形使用者界面集中管理。所有的認(rèn)證能經(jīng)由防火墻日志瀏覽（logviewer）來(lái)監(jiān)視和追蹤。FireWall-1提供三種認(rèn)證方法：使用者認(rèn)證，提供以使用者為基礎(chǔ)的FTP、TELNET、HTTP和RLOGIN的存取權(quán)限，跟使用者的IP位址無(wú)關(guān)；客戶端認(rèn)證能夠使管理者授予存取的特權(quán)給予在特定IP位址的特定使用者；會(huì)話認(rèn)證可以認(rèn)證基于會(huì)話的任何一種服務(wù)。目前該產(chǎn)品支持的平臺(tái)有WindowsNT、Window9x/2000、sunSolarisIBMAIX、HP-UX等。（2）NAIGauntlet的主要特點(diǎn)如下：作為最高類型一基于應(yīng)用層網(wǎng)關(guān)的Gauntlet防火墻，集成了NT的性能管理和易用性;應(yīng)用層安全按照安全策略檢查雙向的通信。具有用戶透明、集成管理、強(qiáng)力加密和內(nèi)容安全、高吞吐量的特性?？蓱?yīng)用于Internet。企業(yè)內(nèi)部網(wǎng)和遠(yuǎn)程訪問(wèn)。Gauntlet防火墻具有友好和管理界面，其基于Java或NT環(huán)境，可以運(yùn)行在Web瀏覽器中，支持遠(yuǎn)程管理和配置，如可從網(wǎng)絡(luò)管理平臺(tái)上監(jiān)控和配置，如NTServer和HPOpenViewGauntlet還支持通過(guò)服務(wù)器、企業(yè)內(nèi)部網(wǎng)、Internet來(lái)存取和管理SNMP設(shè)備。Gauntlet防火墻支持流行的多媒體實(shí)時(shí)服務(wù)，如RealAudio/Video、Microsoft。Gauntlet支持眾多的標(biāo)準(zhǔn)協(xié)議如終端服務(wù)（TELNET、rlogin）、文件傳送（FTP）、電子郵件（SMTP、POP3）、WWW（HTTP、SHTTP、SSL、Gopher），Usenet新聞（NNTP）、域名服務(wù)（DNS）、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）、OracleSQL*NetShow、VDOLive、LDAP、PPTP。2.硬件防火墻硬件防火墻帶有特殊的硬件，通常軟件較少活動(dòng)。NetScreen公司的NetScreen防火墻產(chǎn)品是一種硬件防火墻NetScreen產(chǎn)品完全基于硬件ASLC芯片，它就像個(gè)盒子一樣安裝使用起來(lái)很簡(jiǎn)單。同時(shí)它還是一種集防火墻、VPN、流量控制三種能于一體的網(wǎng)絡(luò)產(chǎn)品。應(yīng)用場(chǎng)合如下：1)NetScreen10適用于10Mbps以太網(wǎng)。2)NetScreen100適用于10Mbps以太網(wǎng)。3)NetScreen1000則可以支持千兆以太網(wǎng)，適應(yīng)不同場(chǎng)合的需要。硬件防火墻的主要特點(diǎn)NetScreen把多種安全功能集成在一個(gè)ASIC芯片上、將防火墻、虛擬專用網(wǎng)(VPN)，網(wǎng)絡(luò)流量控制和寬帶接入這些功能全部集成在專有的一體硬件中，該項(xiàng)技術(shù)能有效消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加密時(shí)的性能瓶頸，能實(shí)現(xiàn)最高級(jí)別的IPsec。NetScreen防火墻的配置可在網(wǎng)絡(luò)上任何一臺(tái)帶有瀏覽器的機(jī)器上完成NetScreen的優(yōu)勢(shì)之一是采用了新的體系結(jié)構(gòu)，可以有效地消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)的性能瓶頸，能實(shí)現(xiàn)最高級(jí)別的IP安全保護(hù)。3.工業(yè)標(biāo)準(zhǔn)服務(wù)器防火墻所謂工業(yè)標(biāo)準(zhǔn)服務(wù)器防火墻，即凡是符合工業(yè)標(biāo)準(zhǔn)的、大批量生產(chǎn)的、機(jī)架式服務(wù)器，無(wú)論是IA架構(gòu)的，還是像IBM的ISA架構(gòu)那樣的，只要符合上述標(biāo)準(zhǔn)都可以稱為標(biāo)準(zhǔn)服務(wù)器。因此，在這種平臺(tái)上的安裝、運(yùn)行防火墻軟件形成的防火墻系統(tǒng)，都可以稱為工業(yè)標(biāo)準(zhǔn)服務(wù)器的防火墻。工業(yè)標(biāo)準(zhǔn)服務(wù)器防火墻由于性能價(jià)格比非常高，而受到用戶的歡迎，主要原因有以下6點(diǎn)。（1）速度快、性能高防火墻的性能取決于兩個(gè)方面：軟件和硬件。工業(yè)標(biāo)準(zhǔn)服務(wù)器，由于生產(chǎn)的批量大，產(chǎn)品更新?lián)Q代快，所以總能保證使用最新的技術(shù)和硬件，如最快的CPU、內(nèi)存，更大容量的硬盤，最新的總線結(jié)構(gòu)等，從而為防火墻的性能提高提供了較好的外部條件。硬件并不是決定性能的唯一因素，防火墻軟件的設(shè)計(jì)，體系結(jié)構(gòu)的變革也同樣重要。計(jì)算機(jī)網(wǎng)絡(luò)升級(jí)(從10Mbps到100Mbps、從100Mbps到1000Mbps、10000Mbps)，因?yàn)榧词褂布M足了需求，軟件卻處理不了如此大的數(shù)據(jù)量。目前世界上數(shù)據(jù)吞吐率最高的防火墻為部署于Nortel平臺(tái)上的CheckPointNG產(chǎn)品，高達(dá)3.2Gbps。（2）批量大、價(jià)格低工業(yè)標(biāo)準(zhǔn)服務(wù)器的生產(chǎn)批量非常大，所以單位成本較低。因此，這種形式的防火墻可以為用戶提供具有高性能價(jià)格比的網(wǎng)絡(luò)安全解決方案。相對(duì)于硬件防火墻，無(wú)論在產(chǎn)品的安全性，還是價(jià)格上，工業(yè)標(biāo)準(zhǔn)服務(wù)器形式的防火墻，都具有很大的優(yōu)勢(shì)。工業(yè)標(biāo)準(zhǔn)服務(wù)器與軟件防火墻、硬件防火墻在安裝、安全性、性能、管理、維護(hù)費(fèi)用、擴(kuò)展性、配置靈活性、價(jià)格等方面的對(duì)照如下表所示。表軟件防火墻、硬件防火墻和工業(yè)標(biāo)準(zhǔn)服務(wù)器防火墻對(duì)照表因素軟件防火墻硬件防火墻工業(yè)標(biāo)準(zhǔn)服務(wù)器防火墻安裝較復(fù)雜簡(jiǎn)單簡(jiǎn)單安全性高較高高性能依賴硬件平臺(tái)高高管理簡(jiǎn)單較復(fù)雜簡(jiǎn)單維護(hù)費(fèi)用低高低擴(kuò)展性高低高配置靈活性高低高價(jià)格低高較低（3）工業(yè)標(biāo)準(zhǔn)服務(wù)器的特點(diǎn)防火墻必須要有合格證，7x24小時(shí)不間斷地運(yùn)行，以保護(hù)網(wǎng)絡(luò)資源，避免未經(jīng)授權(quán)的訪問(wèn)。一方面，防火墻軟件應(yīng)提供熱備份的功能，包括網(wǎng)關(guān)之間和管理服務(wù)器之間的高可用性，以避免單點(diǎn)故障的發(fā)生；另一方面，作為防火墻載體的硬件設(shè)備，也應(yīng)提供可靠的性能保障，因?yàn)樗欠阑饓Φ幕A(chǔ)。工業(yè)標(biāo)準(zhǔn)服務(wù)器具有下特點(diǎn)：1）采用服務(wù)器主板和專心芯片組。2）具有糾錯(cuò)功能的ECC內(nèi)存，而不是普通SDRAM，可消除數(shù)據(jù)雜音帶來(lái)的系統(tǒng)不穩(wěn)定因素。3）有RAID技術(shù)提高了系統(tǒng)可靠性。4）采用通過(guò)認(rèn)證的軟硬件，能保證良好的系統(tǒng)兼容性、確保整個(gè)系統(tǒng)的穩(wěn)定。5）對(duì)于易出現(xiàn)故障的部件采用冗余的熱插拔，能顯著減少因硬件導(dǎo)致的服務(wù)故障。6）管理芯片固化在主板上，集成了豐富的服務(wù)器管理功能；提供主動(dòng)的監(jiān)控、報(bào)警和遠(yuǎn)程管理功能。（4）維護(hù)費(fèi)用低、擴(kuò)展性好一些用戶喜歡硬件防火墻，很大一部分原因是由于它節(jié)省空間，可以直接安裝在機(jī)架上?，F(xiàn)在，工業(yè)標(biāo)準(zhǔn)服務(wù)器形式的防火墻同樣可以提供IU、2U等標(biāo)準(zhǔn)尺寸，可以使用戶在有限的空間里放置最大數(shù)量的設(shè)備，易于管量和維護(hù)，同時(shí)它的配置更加靈活，適應(yīng)范圍也更寬廣。工業(yè)標(biāo)準(zhǔn)服務(wù)器廠商一般都提供集中化的管理工具，使管理員可以從一個(gè)控制臺(tái)訪問(wèn)所有的服務(wù)器，維護(hù)服務(wù)器的正常運(yùn)行；另外，用戶可通過(guò)LED指示燈快速瀏覽服務(wù)器狀態(tài)，迅速得知出故障的機(jī)器方位，從而實(shí)現(xiàn)快速預(yù)警。免工具機(jī)箱設(shè)計(jì)使管理人員不需要借助工具就可以打開(kāi)機(jī)箱，拆卸任何可以拆卸的部件，從而實(shí)現(xiàn)了快速升級(jí)和部件更換；同時(shí)，由于所有部件均采用工業(yè)標(biāo)準(zhǔn)，所以價(jià)格低，數(shù)量足，更換起來(lái)方便快捷；由于基于工業(yè)標(biāo)準(zhǔn)服務(wù)器的防火墻，系統(tǒng)擴(kuò)充性能好，可以隨時(shí)根據(jù)需求，對(duì)硬件平臺(tái)（CPU、內(nèi)存、硬盤等）及操作系統(tǒng)和防火墻軟件版進(jìn)行升級(jí)，從而保護(hù)了用戶的前期投資。（5）配置靈活，集成不同應(yīng)用用戶是產(chǎn)品最終的使用者，他們的操作意愿和對(duì)系統(tǒng)的熟悉程度是廠商必須考慮的問(wèn)題。所以一個(gè)好的防火墻不但本身要有良好的執(zhí)行效率，也應(yīng)該提供多平臺(tái)的執(zhí)行方式給用戶選擇。因?yàn)槿绻脩舨涣私馊绾握_地管理一種系統(tǒng)，就不可能保護(hù)系統(tǒng)的安全。硬件防火墻采用專有操作系統(tǒng)，需要用戶來(lái)適應(yīng)產(chǎn)品。而采用工業(yè)標(biāo)準(zhǔn)服務(wù)器，用戶則有更多的選擇機(jī)會(huì)。用戶可以選擇熟悉、喜愛(ài)的操作系統(tǒng)，如WindowsNT/2000、Linux和UNIX等，實(shí)踐表明對(duì)一種產(chǎn)品的熟悉程度可以提高其安全性。并且硬件防火墻只能實(shí)現(xiàn)單一功能，而采用標(biāo)準(zhǔn)服務(wù)器的防火墻則可以在上面安裝除防火墻壁之外的不同的應(yīng)用，如VPN、流量管理等，從而節(jié)省投資，提高效率。（6）體現(xiàn)系統(tǒng)集成商的增值作用其實(shí)，對(duì)用戶來(lái)說(shuō)，并不十分關(guān)心防火墻采用何種形式，他們只關(guān)心防火墻是否能滿足自己的安全需求？運(yùn)行是否穩(wěn)定可靠？維護(hù)起來(lái)是否簡(jiǎn)單易行？對(duì)系統(tǒng)集成商來(lái)講，單純的銷售硬件防火墻，很難體現(xiàn)增值作用，所獲得的利潤(rùn)較低，同時(shí)也體現(xiàn)不出自己的技術(shù)優(yōu)勢(shì)。而采用工業(yè)標(biāo)準(zhǔn)服務(wù)器，系統(tǒng)集成商可以在上邊安裝用戶熟悉的操作系統(tǒng)，并對(duì)它進(jìn)行加固和優(yōu)化，同時(shí)可以在上面安裝防火墻、VPN、流量管理等軟件，提供給用戶一個(gè)完整的網(wǎng)絡(luò)安全解決方案。這樣，一方面體現(xiàn)了系統(tǒng)集成商的技術(shù)實(shí)力和增值能力，使其得到了更高的利潤(rùn)；另一方面用戶可以得到一站式服務(wù)，減少了負(fù)擔(dān)。綜上所述，軟件防火墻雖然安全性高、易管理、價(jià)格低、配置靈活，但在性能