網路安全防火牆普陀圖

1. 介紹我幾個防火牆(只要防火牆)

我是瑞星防火牆的特級代理,看你有多少個點,50-60可以用RFW-SME,300以內用RFW-100+就可以了,價格我保證能給你最低,電話:87010796
瑞 星 全 功 能 N P 防 火 牆 RFW-SME
技術白皮書
URL: http://www.rising.com.cn

1、瑞星全功能NP防火牆簡介
瑞星全功能NP防火牆是一款整合多種安全防護功能的智能網路安全防火牆，它是瑞星公司針對中小企業級用戶定製的一款高端防火牆，型號為：RFW-SME。
瑞星全功能NP防火牆採用了新型的網路晶元設計技術，這個區別於一般的PC休系架構表現在網路數據處理速度上能夠達到線速，性能優越。該防火牆支持500個VPN通道和12800個並發連接，同時提供了80兆/秒的三重數據加密3DES能力和線速（wire-speed）防火牆的處理能力。
瑞星全功能NP防火牆整合了多種安全防護功能，是建構中小型企業網路的最佳選擇。RFW-SME擁有通用防火牆功能、網路地址轉換（NAT）、主動式入侵檢測（IDS）、虛擬專網（VPN）、帶寬管理、內容過濾、以及策略管理等功能。通過架設瑞星全功能NP防火牆，可以保護用戶的網路免於黑客的攻擊，同時也幫助用戶利用網際網路的資源建構網路安全機制及虛擬專網服務，還提供了不同等級的網路帶寬管理，讓一些特殊的應用服務可以確保使用帶寬。另外，還提供有網際網路地址名稱過濾、內容過濾、主動式入侵檢測以及直接利用瀏覽器即可管理的簡易操作等功能。因為有這個內建支持瀏覽器的管理介面，你可以在你現有的操作系統下利用你熟悉的瀏覽器操作來管理這個防火牆。
RFW-SME提供一個10/100Mbps的外網(WAN)介面，一個10/100Mbps的DMZ介面，以及三個10/100Mbps的內網介面。外網介面的IP地址支持下列三種模式：PPPoE，DHCP，或靜態IP。根據用戶的網路服務提供商所提供的服務方式，任選其中一種設定防火牆的對外IP地址參數。RFW-SME還提供有內建的DHCP(動態主機配置服務協議)服務功能，它可讓內網介面上的主機由DHCP服務提供相對應的地址及其他信息，使得用戶輕松管理所有的上網主機。

2、瑞星全功能NP防火牆系統組成
硬體配置
機箱 300x185x44(1U) 帶標准上架工具
存儲 閃盤
網路介面 5個 1個10/100M外網介面
3個10/100M內網介面
1個10/100M DMZ介面

IP-VPN
500 個VPN 通道
80Mbits/sec 168bits 三重數據加密3DES
3DES 和DES encryption 可以使用IKE自動密鑰或手工密鑰
支持數字簽名(PKI X.509) 和手工分發的IKE密鑰認證
支持SHA-1 和MD5 強認證
支持L2TP 遠程訪問通道

帶寬管理
分級的服務質量保證（QOS）
支持帶寬共享
支持帶寬保證（預留）
支持給予連接的服務質量保證（QOS）

基於Web的策略管理系統
圖形化的基於Web的管理系統
控制台的命令行界面
攻擊報警和日誌
支持郵件日誌和報警。

有狀態防火牆安全性
支持12,800 個並發連接
支持線速的防火牆吞吐率
支持網路地址轉換 (NAT) 和 NAPT
有狀態包過濾
內容過濾，支持Java, ActiveX, cookie, 關鍵字過濾
URL 過濾

主動入侵檢測引擎
阻止Dos攻擊
數據包的規范化檢測
掃描檢測
掃描欺騙

3、瑞星全功能NP防火牆技術特點
 採用新型的網路晶元處理器設計
瑞星全功能NP防火牆其硬體體系架構採用的是新型的網路晶元處理器設計，從而大大的提高了網路數據包處理能力，3DES加密數據處理情況下達到80M/S，而通用防火牆數據處理則可達線速。

 集成的多重安全功能
瑞星全功能NP防火牆集成了多重的安全功能，不僅提供了通用防火牆的所有功能，還集成了主動式的入侵檢測功能、VPN功能、內容過濾功能及帶寬管理等功能，多個安全模塊同時工作，起到一個多重保護的功能。

 配置向導功能
瑞星全功能NP防火牆支持配置向導，引導用戶一步一步配置防火牆及VPN，簡單明了，方便快捷。

 支持ISP的多種服務模式
瑞星全功能NP防火牆的外網介面IP地址支持三種模式：PPPoE，DHCP，或靜態IP。可以根據用戶的網路服務提供商所提供的服務方式，任選其中一種設定防火牆的對外IP地址參數。

 DHCP服務
瑞星全功能NP防火牆提供了內建的DHCP(動態主機配置服務協議)服務功能，它可讓內網介面上的主機由DHCP服務提供相對應的地址及其他信息，使得用戶可以輕松管理所有的上網主機。

 虛擬專網
瑞星全功能NP防火牆提供虛擬專網功能，該功能支持雜湊式信息驗證程序代碼HMAC-MD5和HMAC-SHA1雜湊演算法為驗證規則，及數據加密標准DES-CBC 和三重數據加密標准3DES-CBC演算法為加密封裝服務。同時支持手動密鑰及自動密鑰兩種模式。自動密鑰管理是由自動密鑰交換(IKE)協議產生。使用IKE，則啟用VPN服務雙方所用的加密密鑰會自動產生與協商。
瑞星全功能NP防火牆所提供的虛擬專網功能還支持L2TP/PPTP遠程訪問VPN，使用戶使用更方便，更靈活。此功能支持500個VPN通道，同時提供了80M/S的3DES加密吞吐能力。

 狀態包過濾
瑞星全功能NP防火牆採用了最先進的狀態包過濾技術。單純的包過濾防火牆的安全性是很有限的，因為它只是純粹的包過濾，只是根據每個數據包的包頭信息進行過濾，容易讓黑客偽造的數據包穿透防火牆；另外，單純的包過濾防火牆在工作時對每個通過防火牆的數據包都要進行規則匹配檢查，導致包轉發的效率低。瑞星全功能NP防火牆根據狀態包過濾的思路，在核心中維護一個連接鏈表，記錄著相應連接的狀態，對請求建立連接的數據包進行更細粒度的檢查，檢查通過後記錄到狀態鏈表中，從而對後續的或是關聯的數據包只需檢查其是否屬於已建立的連接，不需全部進行規則匹配，經過這樣的狀態處理機制後不僅使安全性得到加強，同時也大大提高了包過濾的轉發效率。

 內容過濾，支持Java, ActiveX, cookie, 關鍵字等過濾
瑞星全功能NP防火牆提供內容過濾功能，支持Java、ActiveX、Cookie及關鍵字過濾，對活動內容的過濾可以使得瀏覽網頁更安全，支持關鍵字過濾則可以為用戶提供一個健康美好的網頁資源瀏覽。

 URL 過濾
瑞星全功能NP防火牆支持網站URL過濾，將相應的URL添加到過濾列表中，上網用戶在訪問此內資源時就會被拒絕，從而保證用戶不能訪問一些非法網站及濫用網路資源。

 主動入侵檢測引擎
瑞星全功能NP防火牆提供了主動入侵檢測功能，該功能採用了兩大技術來保證網路的安全性：正規化技術與網路掃描及欺騙技術。利用正規化技術可以防止已知的拒絕服務攻擊或分布式拒絕服務攻擊，這一技術不以入侵資料庫的數據樣本為基礎，所以更能有效的阻擋新的入侵行為。另外網路掃描是黑客入侵的前奏，若能先行獲知自己被掃描，進而進行欺騙掃描者，則可以使黑客因為收集信息錯誤而放棄進一步的入侵可能。

 靈活的帶寬管理
瑞星全功能NP防火牆提供了靈活的帶寬管理功能，此功能可以控制不同類別的數據以不同等級的優先權來使用網路帶寬，可以為特殊的應用提供足夠的帶寬，從而滿足企業網路的正常運轉。

 靈活的控制台和Web管理方式
瑞星全功能NP防火牆支持控制台管理和Web管理兩種方式，控制台管理靈活簡便，Web管理則清晰明了，基本信息可詳細顯示。Web管理可啟用https方式，更加安全可靠。

4、瑞星全功能NP防火牆的應用
瑞星全功能NP防火牆可以針對企業不同的應用環境靈活地滿足不同的安全需要，最常見的應用如下：
 應用在企業內網與Internet或其他非安全網路的唯一出入口，防止外部用戶對內網的非法訪問。
 應用在企業內部網路，保護敏感部門的子網；
 對內部網的不同域進行隔離，實施不同的安全策略。
 限制內網用戶對不良網路資源的濫用。
使用瑞星全功能NP防火牆的典型網路拓撲結構圖如下：

2. 防火牆的設計與規劃

1 引言
網路安全是一個不容忽視的問題，當人們在享受網路帶來的方便與快捷的同時，也要時時面對網路開放帶來的數據安全方面的新挑戰和新危險。為了保障網路安全，當園區網與外部網連接時，可以在中間加入一個或多個中介系統，防止非法入侵者通過網路進行攻擊，非法訪問，並提供數據可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統就是防火牆（Firewall）技術。它通過監測、限制、修改跨越防火牆的數據流，盡可能地對外屏蔽網路內部的結構、信息和運行情況、阻止外部網路中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來實現內部網路的安全運行。
2 防火牆的概述及其分類
網路安全的重要性越來越引起網民們的注意，大大小小的單位紛紛為自己的內部網路「築牆」、防病毒與防黑客成為確保單位信息系統安全的基本手段。防火牆是目前最重要的一種網路防護設備，是處於不同網路（如可信任的局域內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的惟一出入口，能根據企業的安全策略控制（允許、拒絕、監測）出入網路的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網路和信息安全的基礎設施。
2.1 概述
在邏輯上，防火牆其實是一個分析器，是一個分離器，同時也是一個限制器，它有效地監控了內部網間或Internet之間的任何活動，保證了區域網內部的安全。
1）什麼是防火牆
古時候，人們常在寓所之間砌起一道磚牆，一旦火災發生，它能夠防止火勢蔓延到別的寓所。現在，如果一個網路接到了Internet上面，它的用戶就可以訪問外部世界並與之通信。但同時，外部世界也同樣可以訪問該網路並與之交互。為安全起見，可以在該網路和Internet之間插入一個中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網路對本網路的威脅和入侵，提供扼守本網路的安全和審計的關卡，它的作用與古時候的防火磚牆有類似之處，因此就把這個屏障叫做「防火牆」。
防火牆可以是硬體型的，所有數據都首先通過硬體晶元監測；也可以是軟體型的，軟體在計算機上運行並監控。其實硬體型也就是晶元里固化了UNIX系統軟體，只是它不佔用計算機CPU的處理時間，但價格非常高，對於個人用戶來說軟體型更加方便實在。
2）防火牆的功能
防火牆只是一個保護裝置，它是一個或一組網路設備裝置。它的目的就是保護內部網路的訪問安全。它的主要任務是允許特別的連接通過，也可以阻止其它不允許的連接。其主體功能可以歸納為如下幾點：
·根據應用程序訪問規則可對應用程序聯網動作進行過濾；
·對應用程序訪問規則具有學習功能；
·可實時監控，監視網路活動；
·具有日誌，以記錄網路訪問動作的詳細信息；
·被攔阻時能通過聲音或閃爍圖標給用戶報警提示。
3）防火牆的使用
由於防火牆的目的是保護一個網路不受來自另一個網路的攻擊。因此，防火牆通常使用在一個被認為是安全和可信的園區網與一個被認為是不安全與不可信的網路之間，阻止別人通過不安全與不可信的網路對本網路的攻擊，破壞網路安全，限制非法用戶訪問本網路，最大限度地減少損失。
2.2 防火牆的分類
市場上的硬體防火牆產品非常之多，分類的標准比較雜，從技術上通常將其分為「包過濾型」、「代理型」和「監測型」等類型。
1）包過濾型
包過濾型產品是防火牆的初級產品，其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP(傳輸控制協議/用戶數據報協議)源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火牆便會將這些數據拒之門外。
2）代理型
代理型防火牆也可以被稱為代理伺服器，它的安全性要高於包過濾型產品，並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理伺服器相當於一台真正的伺服器；而從伺服器來看，代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時，首先將數據請求發給代理伺服器，代理伺服器再根據這一請求向伺服器索取數據，然後由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網路系統。
3）監測型
監測型防火牆是新一代的產品，這一技術實際上已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火牆能夠有效地判斷出各層中的非法侵入。同時，這種監測型防火牆產品一般還帶有分布式探測器，這些探測器安置在各種應用伺服器和其他網路的節點之中，不僅能夠檢測來自網路外部的攻擊，同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計，在針對網路系統的攻擊中，有相當比例的攻擊來自網路內部。因此，監測型防火牆不僅超越了傳統防火牆的定義，而且在安全性上也超越了前兩代產品。
3 防火牆的作用、特點及優缺點
防火牆通常使用在一個可信任的內部網路和不可信任的外部網路之間，阻斷來自外部通過網路對區域網的威脅和入侵，確保區域網的安全。與其它網路產品相比，有著其自身的專用特色，但其本身也有著某些不可避免的局限。下面對其在網路系統中的作用、應用特點和其優缺點進行簡單的闡述。
3.1 防火牆的作用
防火牆可以監控進出網路的通信量，僅讓安全、核准了的信息進入，同時又抵制對園區網構成威脅的數據。隨著安全性問題上的失誤和缺陷越來越普遍，對網路的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火牆的作用是防止不希望的、未授權的通信進出被保護的網路，迫使單位強化自己的安全策略。一般的防火牆都可以達到如下目的：一是可以限制他人進入內部網路，過濾掉不安全服務和非法用戶；二是防止入侵者接近防禦設施；三是限定用戶訪問特殊站點；四是為監視Internet安全提供方便。
3.2 防火牆的特點
我們在使用防火牆的同時，對性能、技術指標和用戶需求進行分析。包過濾防火牆技術的特點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。包過濾技術是一種基於網路層的安全技術，只能根據數據包的來源、目標和埠等網路信息進行判斷，無法識別基於應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒；代理型防火牆的特點是安全性較高，可以針對應用層進行偵測和掃描，對付基於應用層的侵入和病毒都十分有效。當然代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性；雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆，但由於監測型防火牆技術的實現成本較高，也不易管理，所以目前在實用中的防火牆產品仍然以第二代代理型產品為主，但在某些方面也已經開始使用監測型防火牆。
防火牆一般具有如下顯著特點：
·廣泛的服務支持 通過動態的、應用層的過濾能力和認證相結合，可以實現WWW瀏覽器、HTTP伺服器、FTP等；
·對私有數據的加密支持 保證通過Internet進行虛擬私人網路和商業活動不受損壞；
·客戶端只允許用戶訪問指定的網路或選擇服務 企業本地網、園區網與分支機構、商業夥伴和移動用戶等安全通信的信息；
·反欺騙 欺騙是從外部獲取網路訪問權的常用手段，它使數據包類似於來自網路內部。防火牆能監視這樣的數據包並能丟棄；
·C/S模式和跨平台支持 能使運行在一個平台的管理模塊控制運行在另一個平台的監視模塊。
3.3 防火牆的優勢和存在的不足
防火牆在確保網路的安全運行上發揮著重要的作用。但任何事物都不是完美無缺的，對待任何事物必須一分為二，防火牆也不例外。在充分利用防火牆優點為我們服務的同時，也不得不面對其自身弱點給我們帶來的不便。
1） 防火牆的優勢
（1）防火牆能夠強化安全策略。因為網路上每天都有上百萬人在收集信息、交換信息，不可避免地會出現個別品德不良或違反規則的人。防火牆就是為了防止不良現象發生的「交通警察」，它執行站點的安全策略，僅僅允許「認可的」和符合規則的請求通過。
（2）防火牆能有效地記錄網路上的活動。因為所有進出信息都必須通過防火牆，所以防火牆非常適合用於收集關於系統和網路使用和誤用的信息。作為訪問的唯一點，防火牆能在被保護的網路和外部網路之間進行記錄。
（3）防火牆限制暴露用戶點。防火牆能夠用來隔開網路中的兩個網段，這樣就能夠防止影響一個網段的信息通過整個網路進行傳播。
（4）防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆，防火牆便成為安全問題的檢查點，使可疑的訪問被拒絕於門外。
2） 防火牆存在的不足
（1）不能防範惡意的知情者。防火牆可以禁止系統用戶經過網路連接發送專有的信息，但用戶可以將數據復制到磁碟、磁帶上，放在公文包中帶出去。如果入侵者已經在防火牆內部，防火牆是無能為力的。內部用戶可以偷竊數據，破壞硬體和軟體，並且巧妙地修改程序而不接近防火牆。對於來自知情者的威脅，只能要求加強內部管理。
（2）不能防範不通過它的連接。防火牆能夠有效地防止通過它傳輸的信息，然而它卻不能防止不通過它而傳輸的信息。例如，如果站點允許對防火牆後面的內部系統進行撥號訪問，那麼防火牆絕對沒有辦法阻止入侵者進行撥號入侵。
（3）不能防備全部的威脅。防火牆被用來防備已知的威脅，如果是一個很好的防火牆設計方案，就可以防備新的威脅，但沒有一台防火牆能自動防禦所有新的威脅。
4 防火牆的管理與維護
如果已經設計好了一個防火牆，使它滿足了你的機構的需要，接下來的工作就是防火牆的管理與維護了。在防火牆設計建造完成以後，使它正常運轉還要做大量的工作。值得注意的是，這里許多維護工作是自動進行的。管理與維護工作主要有4個方面，它們分別是：建立防火牆的安全策略、日常管理、監控系統、保持最新狀態。
4.1 建立防火牆的安全策略
要不要制定安全上的策略規定是一個有爭議的問題。有些人認為制定一套安全策略是相當必須的，因為它可以說是一個組織的安全策略輪廓，尤其在網路上以及網路系統管理員對於安全上的顧慮並沒有明確的策略時。
安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內其他資源使用的種種規定。訪問控制包含了哪些資源可以被訪問，如讀取、刪除、下載等行為的規范，以及哪些人擁有這些權力等信息。
1） 網路服務訪問策略
網路服務訪問策略是一種高層次的、具體到事件的策略，主要用於定義在網路中允許的或禁止的網路服務，還包括對撥號訪問以及PPP（點對點協議）連接的限制。這是因為對一種網路服務的限制可能會促使用戶使用其他的方法，所以其他的途徑也應受到保護。比如，如果一個防火牆阻止用戶使用Telnet服務訪問網際網路，一些人可能會使用撥號連接來獲得這些服務，這樣就可能會使網路受到攻擊。網路服務訪問策略不但應該是一個站點安全策略的延伸，而且對於機構內部資源的保護也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到移動介質的管理。
2） 防火牆的設計策略
防火牆的設計策略是具體地針對防火牆，負責制定相應的規章制度來實施網路服務訪問策略。在制定這種策略之前，必須了解這種防火牆的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火牆一般執行一下兩種基本策略中的一種：
① 除非明確不允許，否則允許某種服務；
② 除非明確允許，否則將禁止某項服務。
執行第一種策略的防火牆在默認情況下允許所有的服務，除非管理員對某種服務明確表示禁止。執行第二種策略的防火牆在默認情況下禁止所有的服務，除非管理員對某種服務明確表示允許。防火牆可以實施一種寬松的策略（第一種），也可以實施一種限制性策略（第二種），這就是制定防火牆策略的入手點。
3） 安全策略設計時需要考慮的問題
為了確定防火牆安全設計策略，進而構建實現預期安全策略的防火牆，應從最安全的防火牆設計策略開始，即除非明確允許，否則禁止某種服務。策略應該解決以下問題：
·需要什麼服務，如Telnet、WWW或NFS等；
·在那裡使用這些服務，如本地、穿越網際網路、從家裡或遠方的辦公機構等；
·是否應當支持撥號入網和加密等服務；
·提供這些服務的風險是什麼；
·若提供這種保護，可能會導致網路使用上的不方便等負面影響，這些影響會有多大；
·與可用性相比，站點的安全性放在什麼位置。
4.2 日常管理
日常管理是經常性的瑣碎工作，以使防火牆保持清潔和安全。為此，需要經常去完成的主要工作：數據備份、賬號管理、磁碟空間管理等。
1） 數據備份
一定要備份防火牆的數據。使用一種定期的、自動的備份系統為一般用途的機器做備份。當這個系統正常做完備份之後，最好還能發送出一封確定信，而當它發現錯誤的時候，也最好能產生一個明顯不同的信息。
為什麼只是在錯誤發生的時候送出一封信就好了呢？如果這個系統只在有錯誤的時候產生一封信，或許就有可能不會注意到這個系統根本就沒有運作。那為什麼需要明顯不同的信息呢？如果備份系統正常和執行失敗時產生的信息很類似。那麼習慣於忽略成功信息的人，也有可能會忽略失敗信息。理想的情況是有一個程序檢查備份有沒有執行，並在備份沒有執行的時候產生一個信息。
2） 賬號管理
賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等，是最常被忽略的日常管理工作。在防火牆上，正確的增加新賬號、迅速地刪除舊賬號以及適時地變更密碼，絕對是一項非常重要的工作。
建立一個增加賬號的程序，盡量使用一個程序增加賬號。即使防火牆系統上沒有多少用戶，但每一個用戶都可能是一個危險。一般人都有一個毛病，就是漏掉一些步驟，或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼，入侵者就很容易進來了。
賬號建立程序中一定要標明賬號日期，以及每隔一階段就自動檢查賬號。雖然不需要自動關閉賬號，但是需要自動通知那些賬號超過期限的人。可能的話，設置一個自動系統監控這些賬號。這可以在UNIX系統上產生賬號文件，然後傳送到其他的機器上，或者是在各台機器上產生賬號，自動把這些賬號文件拷貝到UNIX上，再檢查它們。
如果系統支持密碼期限的功能，應該把該功能打開。選擇稍微長一點的期限，譬如說三到六個月。如果密碼有效期太短，例如一個月，用戶可能會想盡辦法躲避期限，也就無法在安全防護上得到真正的收益。同理如果密碼期限功能不能保證用戶在賬號被停用前看到密碼到期通知，就不要開啟這個功能。否則，用戶會很不方便，而且也會冒著鎖住急需使用機器的系統管理者的風險。
3） 磁碟空間管理
數據總是會塞滿所有可用的空間，即使在幾乎沒有什麼用戶的機器上也一樣。人們總是向文件系統的各個角落丟東西，把各種數據轉存到文件系統的臨時地址中。這樣引起的問題可能常常會超出人們的想像。暫且不說可能需要使用那些磁碟空間，只是這種碎片就容易造成混亂，使事件的處理更復雜。於是有人可能會問：那是上次安裝新版程序留下來的程序嗎？是入侵者放進來的程序嗎？那真的是一個普通的數據文件嗎？是一些對入侵者有特殊意義的東西？等等，不幸的是能自動找出這種「垃圾」的方法沒有，尤其是可以在磁碟上到處寫東西的系統管理者。因此，最好有一個人定期檢查磁碟，如果讓每一個新任的系統管理者都去遍歷磁碟會特別有效。他們將會發現管理員忽視的東西。
在大多數防火牆中，主要的磁碟空間問題會被日誌記錄下來。這些記錄應該自動進行，自動重新開始，這些數據最好把它壓縮起來。Trimlon程序能夠使這個處理程序自動化。當系統管理者要截斷或搬移記錄時，一定要停止程序或讓它們暫停記錄，如果在截斷或搬移記錄時，還有程序在嘗試寫入記錄文件，顯然就會有問題。事實上，即使只是有程序開啟了文件准備稍後寫入，也可能會惹上麻煩。
4.3 監視系統
對防火牆的維護、監視系統是維護防火牆的重點，它可以告訴系統管理者以下的問題：
·防火牆已岌岌可危了嗎？
·防火牆能提供用戶需求的服務嗎？
·防火牆還在正常運作嗎？
·嘗試攻擊防火牆的是哪些類型的攻擊？
要回答這幾個問題，首先應該知道什麼是防火牆的正常工作狀態。
1） 專用設備的監視
雖然大部分的監視工作都是利用防火牆上現成的工具或記錄數據，但是也可能會覺得如果有一些專用的監視設備會很方便。例如，可能需要在周圍網路上放一個監視站，以便確定通過的都是預料中的數據包。可以使用有網路窺視軟體包的一般計算機，也可以使用特殊用途的網路檢測器。
如何確定這一台監視機器不會被入侵者利用呢？事實上，最好根本不要讓入侵者知道它的存在。在某些網路硬體設備上，只要利用一些技術和一對斷線器（wire cutter）取消網路介面的傳輸功能，就可以使這台機器無法被檢測到，也很難被入侵者利用。如果有操作系統的原始程序，也可以從那裡取消傳輸功能，隨時停止傳輸。但是，在這種情況下很難確認操作是否已經做成功了。
2） 應該監視的內容
理想的情況是，應該知道通過防火牆的一切事情，包括每一條連接，以及每一個丟棄或接受的數據包。然而實際的情況是很難做到的，而折衷的辦法是，在不至於影響主機速度也不會太快填滿磁碟的情況下，盡量多做記錄，然後再為所產生的記錄整理出摘要。
在特殊情況下，要記錄好以下內容：一是所有拋棄的包和被拒絕的連接；二是每一個成功的連接通過堡壘主機的時間、協議和用戶名；三是所有從路由器中發現的錯誤、堡壘主機和一些代理程序。
3） 監視工作中的一些經驗
應該把可疑的事件劃分為幾類：一是知道事件發生的原因，而且這不是一個安全方面的問題；二是不知道是什麼原因，也許永遠不知道是什麼原因引起的，但是無論它是什麼，它從未再出現過；三是有人試圖侵入，但問題並不嚴重，只是試探一下；四是有人事實上已經侵入。
這些類別之間的界限比較含糊。要提供以上任何問題的詳細徵兆是不可能的，但是下面這些歸納出的經驗可能會對網路系統管理員有所幫助。如果發現以下情況，網路系統管理員就有理由懷疑有人在探試站點：一是試圖訪問在不安全的埠上提供的服務（如企圖與埠映射或者調試伺服器連接）；二是試圖利用普通賬戶登錄（如guest）；三是請求FTP文件傳輸或傳輸NFS（Network File System，網路文件系統）映射；四是給站點的SMTP（Simple Mail Transfer Protocol，簡單郵件傳輸協議）伺服器發送debug命令。
如果網路系統管理員見到以下任何情況，應該更加關注。因為侵襲可能正在進行之中：一是多次企圖登錄但多次失敗的合法賬戶，特別是網際網路上的通用賬戶；二是目的不明的數據包命令；三是向某個范圍內每個埠廣播的數據包；四是不明站點的成功登錄。
如果網路系統管理員了發現以下情況，應該懷疑已有人成功地侵入站點：一是日誌文件被刪除或者修改；二是程序突然忽略所期望的正常信息；三是新的日誌文件包含有不能解釋的密碼信息或數據包痕跡；四是特權用戶的意外登錄（例如root用戶），或者突然成為特權用戶的意外用戶；五是來自本機的明顯的試探或者侵襲，名字與系統程序相近的應用程序；六是登錄提示信息發生了改變。
4） 對試探作出的處理
通常情況下，不可避免地發覺外界對防火牆進行明顯試探——有人向沒有向Internet提供的服務發送數據包，企圖用不存在的賬戶進行登錄等。試探通常進行一兩次，如果他們沒有得到令人感興趣的反應，他們通常就會走開。而如果想弄明白試探來自何方，這可能就要花大量時間追尋類似的事件。然而，在大多數情況下，這樣做不會有很大成效，這種追尋試探的新奇感很快就會消失。
一些人滿足於建立防火牆機器去誘惑人們進行一般的試探。例如，在匿名的FTP區域設置裝有用戶賬號數據的文件，即使試探者破譯了密碼，看到的也只是一個虛假信息。這對於消磨空閑時間是沒有害處的，這還能得到報復的快感，但是事實上它不會改善防火牆的安全性。它只能使入侵者惱怒，從而堅定了入侵者闖入站點的決心。
4.4 保持最新狀態
保持防火牆的最新狀態也是維護和管理防火牆的一個重點。在這個侵襲與反侵襲的領域中，每天都產生新的事物、發現新的毛病，以新的方式進行侵襲，同時現有的工具也會不斷地被更新。因此，要使防火牆能同該領域的發展保持同步。
當防火牆需要修補、升級一些東西，或增加新功能時，就必須投入較多的時間。當然所花的時間長短視修補、升級、或增加新功能的復雜程度而定。如果開始時對站點需求估計的越准確，防火牆的設計和建造做的越好，防火牆適應這些改變所花的時間就越少。
5 結束語
隨著Internet在我國的迅速發展，網路安全的問題越來越得到重視，防火牆技術也引起了各方面的廣泛關注。我們國家除了自行展開了對防火牆的一些研究，還對國外的信息安全和防火牆的發展進行了密切的關注，以便能更快掌握這方面的信息，更早的應用到我們的網路上面。當然，金無足赤，人無完人，我們從防火牆維護和管理的研究上得知，防火牆能保護網路的安全，但並不是絕對安全的，而是相對的。
參考文獻
[1] 虞益誠.網路技術及應用.東南大學出版社，2005.2
[2] 王 睿，林海波.網路安全與防火牆技術.清華大學出版社，2005.7
[3] 黃志暉.計算機網路設備全攻略.西安電子科技大學出版社
[4] 石良武.計算機網路與應用.清華大學出版社，2005.2

3. 什麼是防火牆，以及防火牆可以實現什麼功能.

一、防火牆的基本概念

古時候，人們常在寓所之間砌起一道磚牆，一旦火災發生，它能夠防止火勢蔓延到別的寓所。現在，如果一個網路接到了Internet上面，它的用戶就可以訪問外部世界並與之通信。但同時，外部世界也同樣可以訪問該網路並與之交互。為安全起見，可以在該網路和Internet之間插入一個中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網路對本網路的威脅和入侵，提供扼守本網路的安全和審計的唯一關卡，它的作用與古時候的防火磚牆有類似之處，因此我們把這個屏障就叫做「防火牆」。

在電腦中，防火牆是一種裝置，它是由軟體或硬體設備組合而成，通常處於企業的內部區域網與Internet之間，限制Internet用戶對內部網路的訪問以及管理內部用戶訪問外界的許可權。換言之，防火牆是一個位於被認為是安全和可信的內部網路與一個被認為是不那麼安全和可信的外部網路(通常是Internet)之間的一個封鎖工具。防火牆是一種被動的技術，因為它假設了網路邊界的存在，它對內部的非法訪問難以有效地控制。因此防火牆只適合於相對獨立的網路，例如企業內部的區域網絡等。

二、防火牆的基本准則

1.過濾不安全服務

基於這個准則，防火牆應封鎖所有信息流，然後對希望提供的安全服務逐項開放，對不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。這是一種非常有效實用的方法，可以造成一種十分安全的環境，因為只有經過仔細挑選的服務才能允許用戶使用。

2.過濾非法用戶和訪問特殊站點

基於這個准則，防火牆應先允許所有的用戶和站點對內部網路的訪問，然後網路管理員按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。這種方法構成了一種更為靈活的應用環境，網路管理員可以針對不同的服務面向不同的用戶開放，也就是能自由地設置各個用戶的不同訪問許可權。

三、防火牆的基本措施

防火牆安全功能的實現主要採用兩種措施。

1.代理伺服器(適用於撥號上網)

這種方式是內部網路與Internet不直接通訊，內部網路計算機用戶與代理伺服器採用一種通訊方式，即提供內部網路協議（NetBIOS、TCP/IP），代理伺服器與Internet之間的通信採取的是標准TCP/IP網路通信協議，防火牆內外的計算機的通信是通過代理伺服器來中轉實現的，結構如下所示:

內部網路→代理伺服器→Internet

這樣便成功地實現了防火牆內外計算機系統的隔離，由於代理伺服器兩端採用的是不同的協議標准，所以能夠有效地阻止外界直接非法入侵。

代理伺服器通常由性能好、處理速度快、容量大的計算機來充當，在功能上是作為內部網路與Internet的連接者，它對於內部網路來說像一台真正的伺服器一樣，而對於互聯網上的伺服器來說，它又是一台客戶機。當代理伺服器接受到用戶的請求以後，會檢查用戶請求的站點是否符合設定要求，如果允許用戶訪問該站點的話，代理伺服器就會和那個站點連接，以取回所需信息再轉發給用戶。

另外，代理伺服器還能提供更為安全的選項，例如它可以實施較強的數據流的監控、過濾、記錄和報告功能，還可以提供極好的訪問控制、登錄能力以及地址轉換能力。但是這種防火牆措施，在內部網路終端機很多的情況下，效率必然會受到影響，代理伺服器負擔很重，並且許多訪問Internet的客戶軟體在內部網路計算機中無法正常訪問Internet。

2.路由器和過濾器

這種結構由路由器和過濾器共同完成對外界計算機訪問內部網路的限制，也可以指定或限制內部網路訪問Internet。路由器只對過濾器上的特定埠上的數據通訊加以路由，過濾器的主要功能就是在網路層中對數據包實施有選擇的通過，依照IP（Internet Protocol）包信息為基礎，根據IP源地址、IP目標地址、封裝協議埠號，確定它是否允許該數據包通過。這種防火牆措施最大的優點就是它對於用戶來說是透明的，也就是說不須用戶輸入賬號和密碼來登錄，因此速度比代理伺服器快，且不容易出現瓶頸現象。然而其缺點也是很明顯的，就是沒有用戶的使用記錄，這樣我們就不能從訪問記錄中發現非法入侵的攻擊記錄。 ....

4. 網路防火牆是什麼樣子的

防火牆不是現實中的一堵牆，它是一段程序，在網路的幕後，是無形的、看不見的一張過濾網，專門過濾那些惡意程序、盜號木馬程序、偷窺隱私程序。

5. 為了保護公司內部網路的安全，公司的硬體防火牆應該如何部署，請做出拓撲圖

你可以參考一下。

6. 網路防火牆是什麼意思

防火牆也被稱為防護牆，它是一種位於內部網路與外部網路之間的網路安全系統，可以將內部網路和外部網路隔離。

通常，防火牆可以保護內部／私有區域網免受外部攻擊，並防止重要數據泄露。在沒有防火牆的情況下，路由器會在內部網路和外部網路之間盲目傳遞流量且沒有過濾機制，而防火牆不僅能夠監控流量，還能夠阻止未經授權的流量。

簡介

在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路。

同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

7. 網路防火牆是什麼

防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。

防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有「單向導通」性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這里所講的防火牆的「安全策略」，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的「單向導通性」。
我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性：
（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆
這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。
根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連接企事業單位內部的區域網，而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。

（二）只有符合安全策略的數據流才能通過防火牆
防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。如下圖：

（三）防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。

8. 網路安全拓撲圖和網路拓撲區別

網路安全拓撲圖與網路拓撲圖沒有什麼太大的區別。

網路拓撲圖：也就是把一些網路設備連接在一起，通過傳輸介質達到互連互通的目的。