【文章內(nèi)容簡介】 ，防火墻就必須配置成一個ARP代理（ARP Proxy）在內(nèi)網(wǎng)主機和路由器之間傳遞ARP包。防火墻所要做的就是當(dāng)路由器發(fā)送ARP廣播包詢問內(nèi)網(wǎng)內(nèi)的某一主機的硬件地址時，防火墻用和路由器相連 接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機發(fā)送ARP廣播包詢問路由器的硬件地址時，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和 內(nèi)網(wǎng)主機都認為將數(shù)據(jù)包發(fā)給了對方，而實際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。顯然，此時防火墻還必須實現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外， 防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時實現(xiàn)應(yīng)用層代理、過濾等功能），此時需要端口轉(zhuǎn)發(fā)來實現(xiàn)（？這個地方不是十分清 楚，也沒找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓撲結(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個網(wǎng)段（也和子 網(wǎng)在同一個網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。這個過程如下：1. 用ARP代理實現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2. 用路由轉(zhuǎn)發(fā)在IP層實現(xiàn)數(shù)據(jù)包傳遞（IP層）3. 用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。透明代理主要是 為實現(xiàn)內(nèi)網(wǎng)主機可以透明的訪問外網(wǎng)，而無需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時不是透明模式）。需要澄清的一點是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒有必然的聯(lián)系。透明模式下的防火墻能實現(xiàn)透明代理，非透明模式下的防火墻（此時它必然又是一個網(wǎng)關(guān)）也能實現(xiàn)透明代理。它們的共同點在于可以簡化內(nèi)網(wǎng)客戶的設(shè)置而已。目前國內(nèi)大多防火墻都實現(xiàn)了透明代理，但實現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來：如果哪個防火墻實現(xiàn)了透明模式，它的廣告中肯定會和透明代理區(qū)分開而大書特書的。5．可靠性防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個內(nèi)網(wǎng)的主機都將根本無法訪問外網(wǎng)，這甚至比路由器故障（路由器的 拓撲結(jié)構(gòu)一般都是冗余設(shè)計）更讓人無法承受。防火墻的可靠性也表現(xiàn)在兩個方面：硬件和軟件。國外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說，采用PC架構(gòu)的其硬件也多是專門設(shè)計，系統(tǒng)各個部分從網(wǎng)絡(luò)接口到存儲設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。國內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。國內(nèi)已經(jīng)有部分廠家意識到了這個問題，開始自行設(shè)計硬件。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國內(nèi)整個軟件行業(yè)的 可靠性體系還沒有成熟，軟件可靠性測試大多處于極其初級的水平（可靠性測試和bug測試完全是兩個概念）。一方面是可靠性體系建立不起來，一方面是為了迎 合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴充和修改中，其可靠性更不能讓人恭維?？偟膩碚f，如同國內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒有引起人們的重視。 6．市場定位市場上防火墻的售價極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求?？偟恼f來，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個報價：CheckPoint Firewall1 25user CheckPoint Firewall1 50user CheckPoint Firewall1 100user CheckPoint Firewall1 250user CheckPoint Firewall1 無限用戶 從用戶量上防火墻可以分為：a． 10－25用戶：這個區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測、管理、實時報警、日志。一般另有可選功能：VPN、帶寬管理等等。這個區(qū)間的防火墻報價一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價格更低）。據(jù)調(diào)查，這個區(qū)間的防火墻反而種類不多，也許是國內(nèi)廠商不屑于這個市場的緣故？b． 25－100用戶這個區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開始升級到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管理往往成為標準模塊。這個區(qū)間的防火墻報價從3萬到15萬不等，根據(jù)功能價格有較大區(qū)別。相對來說，這個區(qū)間上硬件防火墻價格明顯高于軟件防火墻。目前國內(nèi)防火墻絕大部分集中在這個區(qū)間中。c． 100－數(shù)百用戶這個區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開始支持雙機熱備份。這個區(qū)間的防火墻報價一般在20萬以上。這樣的中高端 防火墻國內(nèi)較少，有也是25－100用戶的升級版，其可用性令人懷疑。d． 數(shù)百用戶以上這個區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價格也很高端，從數(shù)十萬到數(shù)百萬不等?？偟膩碚f，防火墻的價格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價格就越貴。如Netscreen的百兆防火墻： NetScreen100f(AC Power) 帶防火墻+流量控制等功能,交流電源,沒有VPN功能報價在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報價則高出5萬元： ￥317,5007． 研發(fā)費用如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費用也是很高的。防火墻由于技術(shù)含量較高， 人員技術(shù)儲備要求較高，防火墻核心部分的研發(fā)必須要對操作系統(tǒng)有相當(dāng)?shù)氖煜?，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國內(nèi)真正能拿的出手的UNIX程序員數(shù) 量還是太少（遠遠少于Windows平臺下開發(fā)人員），人員成本很高。總的來說，防火墻的研發(fā)是一個大項目，而且其前期定位一定要準確，該做什么、不該做什么，哪些功能得實現(xiàn)，哪些功能不必實現(xiàn)、哪些功能可以在后期實現(xiàn)，一定要清楚，否則費用會遠遠超出預(yù)計。下邊對一個中小型企業(yè)級防火墻的研發(fā)費用作個簡單的估計。研發(fā)時，防火墻可以細分為（當(dāng)然在具體操作時往往需要再具體劃分）：內(nèi)核模塊防火墻模塊（含狀態(tài)檢測模塊）NAT模塊帶寬管理模塊通信協(xié)議模塊管理模塊圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實質(zhì)屬于NAT模塊）透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應(yīng)用代理模塊（包括URL過濾模塊）VPN模塊流量統(tǒng)計與計費模塊審計模塊其他模塊（如MAC、IP地址綁定模塊、簡單的IDS、自我保護等等）上邊把防火墻劃分為12個模塊，其中每一個模塊都有相當(dāng)?shù)墓ぷ髁恳?，除了彈性較大 的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設(shè)計目標不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當(dāng)大），兩個主模塊 各按20人周計算，防火墻實現(xiàn)總共需要150人周。加上前期10－ 15人周論證、定方案，后期20人周（保守數(shù)字）集成、測試，前后總共需要約210人周。按每人周1200元開發(fā)費用（折合工資5000月，但由于有運行 費用、保險等費用攤分，個人工資應(yīng)遠低于這個數(shù)字），開發(fā)費用約需25萬。顯然，這個數(shù)字只是一個局外人估計的下限，實際的研發(fā)應(yīng)該超出這個數(shù)字很多。8． 可升級能力（適用性）和靈活性對用戶來說，防火墻作為大成本投入的商品，勢必要考慮到可升級性的問題，如果防火墻 不能升級，那它的可用性和可選擇余地勢必要大打折扣。目前國內(nèi)防火墻一般都是軟件可升級的，這是因為大多數(shù)防火墻采用電子硬盤（少數(shù)采用磁盤），實現(xiàn)升級 功能只要很小的工作量要做。但究竟升級些什么內(nèi)容？升級周期多長一次？這就涉及到一個靈活性的問題。防火墻的靈活性主要體現(xiàn)在以下幾點：a． 易于升級b． 支持大量協(xié)議c． 易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來）d． 功能可擴展這里對功能可擴展做一簡單討論。一般情況下，防火墻在設(shè)計完成以后，其過濾規(guī)則都是 定死的，用戶可定制的余地很小。特別如URL過濾規(guī)則（對支持URL過濾的防火墻而言），當(dāng)前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻 擊的就是Windows機器IIS服務(wù)器的ida漏洞，而我們?nèi)绻軌蚣皶r定義過濾規(guī)則，對于“GET /”的請求及時過濾，那么內(nèi)網(wǎng)主機（此時一般為DMZ內(nèi)主機）的安全性就會高很多，內(nèi)網(wǎng)管理人員也不必時時密切關(guān)注網(wǎng)絡(luò)漏洞（這是 個工作量很大，既耗費體力又容易出現(xiàn)遺漏的工作）。這樣大部分工作留給防火墻廠家來做（相應(yīng)需要有一個漏洞監(jiān)測體系），用戶肯定會滿意很多。另外，靈活性 一開始也往往不是前期設(shè)計所能設(shè)計的很完美的，它需要和用戶具體實踐相配合。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。 如何構(gòu)建網(wǎng)絡(luò)整體安全方案整體的安全方案分成技術(shù)方案、服務(wù)方案以及支持方案三部分?！　∫?、技術(shù)解決方案　　安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強。同時能夠有效降低安全管理的難度，提高安全管理的有效性?！　∠旅娼榻B在局域網(wǎng)中增加的安全設(shè)備的安裝位置以及他們的作用。　　防火墻　　安裝位置：局域網(wǎng)與路由器之間。WWW服務(wù)器與托管機房局域網(wǎng)之間?！　【钟蚓W(wǎng)防火墻作用：　　(1)　實現(xiàn)單向訪問，允許局域網(wǎng)用戶訪問INTERNET資源，但是嚴格限制INTERNET用戶對局域網(wǎng)資源的訪問?！　?2)　通過防火墻，將整個局域網(wǎng)劃分INTERNET，DMZ區(qū)，內(nèi)網(wǎng)訪問區(qū)這三個邏輯上分開的區(qū)域，有利于對整個網(wǎng)絡(luò)進行管理?！　?3)局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護之下，只要通過防火墻設(shè)置的修改，就能有限絕大部分防止來自INTERNET上的攻擊，網(wǎng)絡(luò)管理員只需要關(guān)注DMZ區(qū)對外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞?！　?4)通過防火墻的過濾規(guī)則，實現(xiàn)端口級控制，限制局域網(wǎng)用戶對INTERNET的訪問?！　?5)進行流量控制，確保重要業(yè)務(wù)對流量的要求。　　(6)通過過濾規(guī)則，以時間為控制要素，限制大流量網(wǎng)絡(luò)應(yīng)用在上班時間的使用?！　⊥泄軝C房防火墻的作用：　　(7)　通過防火墻的過濾規(guī)則，限制INTERNET用戶對WWW服務(wù)器的訪問，將訪問權(quán)限控制在最小的限度，在這種情況下，網(wǎng)絡(luò)管理員可以忽略服務(wù)器系統(tǒng)的安全漏洞，只需要關(guān)注WWW應(yīng)用服務(wù)軟件的安全漏洞?！　?8)通過過濾規(guī)則，對遠程更新的時間、來源(通過IP地址)進行限制?！　∪肭謾z測　　安裝位置：局域網(wǎng)DMZ區(qū)以及托管機房服務(wù)器區(qū)?！　DS的作用：　　(1)　作為旁路設(shè)備，監(jiān)控網(wǎng)絡(luò)中的信息，統(tǒng)計并記錄網(wǎng)絡(luò)中的異常主機以及異常連接?！　?2)中斷異常連接?！　?3)通過聯(lián)動機制，向防火墻發(fā)送指令，在限定的時間內(nèi)對特定的IP地址實施封堵?！　【W(wǎng)絡(luò)防病毒軟件控制中心以及客戶端軟件　　安裝位置：局域網(wǎng)防病毒服務(wù)器以及各個終端　　防病毒服務(wù)器作用：　　(1)　作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件?！　?2)記錄各個終端的病毒庫升級情況?！　?3)記錄局域網(wǎng)中計算機病毒出現(xiàn)的時間、類型以及后續(xù)處理措施?！　》啦《究蛻舳塑浖淖饔茫骸　?4)　對本機的內(nèi)存、文件的讀寫進行監(jiān)控，根據(jù)預(yù)定的處理方法處理帶毒文件?！　?5)　監(jiān)控郵件收發(fā)軟件，根據(jù)預(yù)定處理方法處理帶毒郵件。　　郵件防病毒服務(wù)器　　安裝位置：郵件服務(wù)器與防火墻之間　　郵件防病毒軟件：對來自INTERNTE的電子郵件進行檢測，根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件(對于壓縮文件同樣也進行檢測)　　反垃圾郵件系統(tǒng)　　安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺服務(wù)器上?！　》蠢]件系統(tǒng)作用：　　(1)　拒絕轉(zhuǎn)發(fā)來自INTERNET的垃圾郵件?！　?2)　拒絕轉(zhuǎn)發(fā)來自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng)　　用戶的IP地址通過電子郵件等方式通報網(wǎng)管?！　?3)　記錄發(fā)垃圾郵件的終端地址?！　?4)　通過電子郵件等方式通知網(wǎng)管垃圾郵件的處理情況?！　討B(tài)口令認證系統(tǒng)　　安裝位置：服務(wù)器端安裝在WWW服務(wù)器(以及其他需要進行口令加強的敏感服務(wù)器)，客戶端配置給網(wǎng)頁更新人員(或者服務(wù)器授權(quán)訪問用戶)。　　動態(tài)口令認證系統(tǒng)的作用：　　通過定期修改密碼，確保密碼的不可猜測性?！　【W(wǎng)絡(luò)管理軟件　　安裝位置：局域網(wǎng)中?！　【W(wǎng)絡(luò)管理軟件的作用：　　(1)　收集局域網(wǎng)中所有資源的硬件信息?！　?2)　收集局域網(wǎng)中所有終端和服務(wù)器的操作系統(tǒng)、系統(tǒng)補丁等軟件信息?！　?3)　收集交換機等網(wǎng)絡(luò)設(shè)備的工作狀況等信息?！　?4)　判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡(luò)設(shè)備與INTERNET連接?！　?5)　顯示實時網(wǎng)絡(luò)連接情況?！　?6)　如果交換機等核心網(wǎng)絡(luò)設(shè)備出現(xiàn)異常，及時向網(wǎng)管中心報警?！　OS流量管理　　安裝位置：如果是專門的產(chǎn)品安裝在路由器和防火墻之間。部分防火墻本身就有QOS帶寬管理模塊。　　QOS