【文章內(nèi)容簡(jiǎn)介】 ，防火墻就必須配置成一個(gè)ARP代理（ARP Proxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞ARP包。防火墻所要做的就是當(dāng)路由器發(fā)送ARP廣播包詢問(wèn)內(nèi)網(wǎng)內(nèi)的某一主機(jī)的硬件地址時(shí)，防火墻用和路由器相連 接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機(jī)發(fā)送ARP廣播包詢問(wèn)路由器的硬件地址時(shí)，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和 內(nèi)網(wǎng)主機(jī)都認(rèn)為將數(shù)據(jù)包發(fā)給了對(duì)方，而實(shí)際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。顯然，此時(shí)防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外， 防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時(shí)實(shí)現(xiàn)應(yīng)用層代理、過(guò)濾等功能），此時(shí)需要端口轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)（？這個(gè)地方不是十分清 楚，也沒(méi)找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個(gè)網(wǎng)段（也和子 網(wǎng)在同一個(gè)網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個(gè)網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。這個(gè)過(guò)程如下：1. 用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2. 用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）3. 用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）前邊我們討論過(guò)透明代理，和這里所說(shuō)的防火墻的透明模式是兩個(gè)概念。透明代理主要是 為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以透明的訪問(wèn)外網(wǎng)，而無(wú)需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時(shí)防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時(shí)不是透明模式）。需要澄清的一點(diǎn)是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒(méi)有必然的聯(lián)系。透明模式下的防火墻能實(shí)現(xiàn)透明代理，非透明模式下的防火墻（此時(shí)它必然又是一個(gè)網(wǎng)關(guān)）也能實(shí)現(xiàn)透明代理。它們的共同點(diǎn)在于可以簡(jiǎn)化內(nèi)網(wǎng)客戶的設(shè)置而已。目前國(guó)內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來(lái)：如果哪個(gè)防火墻實(shí)現(xiàn)了透明模式，它的廣告中肯定會(huì)和透明代理區(qū)分開(kāi)而大書特書的。5．可靠性防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個(gè)故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問(wèn)題，整個(gè)內(nèi)網(wǎng)的主機(jī)都將根本無(wú)法訪問(wèn)外網(wǎng)，這甚至比路由器故障（路由器的 拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計(jì)）更讓人無(wú)法承受。防火墻的可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。國(guó)外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說(shuō)，采用PC架構(gòu)的其硬件也多是專門設(shè)計(jì)，系統(tǒng)各個(gè)部分從網(wǎng)絡(luò)接口到存儲(chǔ)設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。國(guó)內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲(chǔ)設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。國(guó)內(nèi)已經(jīng)有部分廠家意識(shí)到了這個(gè)問(wèn)題，開(kāi)始自行設(shè)計(jì)硬件。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國(guó)內(nèi)整個(gè)軟件行業(yè)的 可靠性體系還沒(méi)有成熟，軟件可靠性測(cè)試大多處于極其初級(jí)的水平（可靠性測(cè)試和bug測(cè)試完全是兩個(gè)概念）。一方面是可靠性體系建立不起來(lái)，一方面是為了迎 合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。總的來(lái)說(shuō)，如同國(guó)內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒(méi)有引起人們的重視。 6．市場(chǎng)定位市場(chǎng)上防火墻的售價(jià)極為懸殊，從數(shù)萬(wàn)元到數(shù)十萬(wàn)元，甚至到百萬(wàn)元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價(jià)格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求?？偟恼f(shuō)來(lái)，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個(gè)報(bào)價(jià)：CheckPoint Firewall1 25user CheckPoint Firewall1 50user CheckPoint Firewall1 100user CheckPoint Firewall1 250user CheckPoint Firewall1 無(wú)限用戶 從用戶量上防火墻可以分為：a． 10－25用戶：這個(gè)區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對(duì)硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過(guò)濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測(cè)、管理、實(shí)時(shí)報(bào)警、日志。一般另有可選功能：VPN、帶寬管理等等。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在萬(wàn)元以上2萬(wàn)元以下（沒(méi)有VPN和帶寬管理的價(jià)格更低）。據(jù)調(diào)查，這個(gè)區(qū)間的防火墻反而種類不多，也許是國(guó)內(nèi)廠商不屑于這個(gè)市場(chǎng)的緣故？b． 25－100用戶這個(gè)區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開(kāi)始升級(jí)到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管理往往成為標(biāo)準(zhǔn)模塊。這個(gè)區(qū)間的防火墻報(bào)價(jià)從3萬(wàn)到15萬(wàn)不等，根據(jù)功能價(jià)格有較大區(qū)別。相對(duì)來(lái)說(shuō)，這個(gè)區(qū)間上硬件防火墻價(jià)格明顯高于軟件防火墻。目前國(guó)內(nèi)防火墻絕大部分集中在這個(gè)區(qū)間中。c． 100－數(shù)百用戶這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個(gè)區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開(kāi)始支持雙機(jī)熱備份。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬(wàn)以上。這樣的中高端 防火墻國(guó)內(nèi)較少，有也是25－100用戶的升級(jí)版，其可用性令人懷疑。d． 數(shù)百用戶以上這個(gè)區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價(jià)格也很高端，從數(shù)十萬(wàn)到數(shù)百萬(wàn)不等?？偟膩?lái)說(shuō)，防火墻的價(jià)格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價(jià)格就越貴。如Netscreen的百兆防火墻： NetScreen100f(AC Power) 帶防火墻+流量控制等功能,交流電源,沒(méi)有VPN功能報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報(bào)價(jià)則高出5萬(wàn)元： ￥317,5007． 研發(fā)費(fèi)用如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費(fèi)用也是很高的。防火墻由于技術(shù)含量較高， 人員技術(shù)儲(chǔ)備要求較高，防火墻核心部分的研發(fā)必須要對(duì)操作系統(tǒng)有相當(dāng)?shù)氖煜?，所需為UNIX系統(tǒng)下開(kāi)發(fā)人員，而目前國(guó)內(nèi)真正能拿的出手的UNIX程序員數(shù) 量還是太少（遠(yuǎn)遠(yuǎn)少于Windows平臺(tái)下開(kāi)發(fā)人員），人員成本很高。總的來(lái)說(shuō)，防火墻的研發(fā)是一個(gè)大項(xiàng)目，而且其前期定位一定要準(zhǔn)確，該做什么、不該做什么，哪些功能得實(shí)現(xiàn)，哪些功能不必實(shí)現(xiàn)、哪些功能可以在后期實(shí)現(xiàn)，一定要清楚，否則費(fèi)用會(huì)遠(yuǎn)遠(yuǎn)超出預(yù)計(jì)。下邊對(duì)一個(gè)中小型企業(yè)級(jí)防火墻的研發(fā)費(fèi)用作個(gè)簡(jiǎn)單的估計(jì)。研發(fā)時(shí)，防火墻可以細(xì)分為（當(dāng)然在具體操作時(shí)往往需要再具體劃分）：內(nèi)核模塊防火墻模塊（含狀態(tài)檢測(cè)模塊）NAT模塊帶寬管理模塊通信協(xié)議模塊管理模塊圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實(shí)質(zhì)屬于NAT模塊）透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應(yīng)用代理模塊（包括URL過(guò)濾模塊）VPN模塊流量統(tǒng)計(jì)與計(jì)費(fèi)模塊審計(jì)模塊其他模塊（如MAC、IP地址綁定模塊、簡(jiǎn)單的IDS、自我保護(hù)等等）上邊把防火墻劃分為12個(gè)模塊，其中每一個(gè)模塊都有相當(dāng)?shù)墓ぷ髁恳觯藦椥暂^大 的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設(shè)計(jì)目標(biāo)不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當(dāng)大），兩個(gè)主模塊 各按20人周計(jì)算，防火墻實(shí)現(xiàn)總共需要150人周。加上前期10－ 15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測(cè)試，前后總共需要約210人周。按每人周1200元開(kāi)發(fā)費(fèi)用（折合工資5000月，但由于有運(yùn)行 費(fèi)用、保險(xiǎn)等費(fèi)用攤分，個(gè)人工資應(yīng)遠(yuǎn)低于這個(gè)數(shù)字），開(kāi)發(fā)費(fèi)用約需25萬(wàn)。顯然，這個(gè)數(shù)字只是一個(gè)局外人估計(jì)的下限，實(shí)際的研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。8． 可升級(jí)能力（適用性）和靈活性對(duì)用戶來(lái)說(shuō)，防火墻作為大成本投入的商品，勢(shì)必要考慮到可升級(jí)性的問(wèn)題，如果防火墻 不能升級(jí)，那它的可用性和可選擇余地勢(shì)必要大打折扣。目前國(guó)內(nèi)防火墻一般都是軟件可升級(jí)的，這是因?yàn)榇蠖鄶?shù)防火墻采用電子硬盤（少數(shù)采用磁盤），實(shí)現(xiàn)升級(jí) 功能只要很小的工作量要做。但究竟升級(jí)些什么內(nèi)容？升級(jí)周期多長(zhǎng)一次？這就涉及到一個(gè)靈活性的問(wèn)題。防火墻的靈活性主要體現(xiàn)在以下幾點(diǎn)：a． 易于升級(jí)b． 支持大量協(xié)議c． 易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來(lái)）d． 功能可擴(kuò)展這里對(duì)功能可擴(kuò)展做一簡(jiǎn)單討論。一般情況下，防火墻在設(shè)計(jì)完成以后，其過(guò)濾規(guī)則都是 定死的，用戶可定制的余地很小。特別如URL過(guò)濾規(guī)則（對(duì)支持URL過(guò)濾的防火墻而言），當(dāng)前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻 擊的就是Windows機(jī)器IIS服務(wù)器的ida漏洞，而我們?nèi)绻軌蚣皶r(shí)定義過(guò)濾規(guī)則，對(duì)于“GET /”的請(qǐng)求及時(shí)過(guò)濾，那么內(nèi)網(wǎng)主機(jī)（此時(shí)一般為DMZ內(nèi)主機(jī)）的安全性就會(huì)高很多，內(nèi)網(wǎng)管理人員也不必時(shí)時(shí)密切關(guān)注網(wǎng)絡(luò)漏洞（這是 個(gè)工作量很大，既耗費(fèi)體力又容易出現(xiàn)遺漏的工作）。這樣大部分工作留給防火墻廠家來(lái)做（相應(yīng)需要有一個(gè)漏洞監(jiān)測(cè)體系），用戶肯定會(huì)滿意很多。另外，靈活性 一開(kāi)始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)的很完美的，它需要和用戶具體實(shí)踐相配合。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。 如何構(gòu)建網(wǎng)絡(luò)整體安全方案整體的安全方案分成技術(shù)方案、服務(wù)方案以及支持方案三部分?！　∫?、技術(shù)解決方案　　安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過(guò)在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強(qiáng)。同時(shí)能夠有效降低安全管理的難度，提高安全管理的有效性?！　∠旅娼榻B在局域網(wǎng)中增加的安全設(shè)備的安裝位置以及他們的作用?！　》阑饓Α　“惭b位置：局域網(wǎng)與路由器之間。WWW服務(wù)器與托管機(jī)房局域網(wǎng)之間?！　【钟蚓W(wǎng)防火墻作用：　　(1)　實(shí)現(xiàn)單向訪問(wèn)，允許局域網(wǎng)用戶訪問(wèn)INTERNET資源，但是嚴(yán)格限制INTERNET用戶對(duì)局域網(wǎng)資源的訪問(wèn)。　　(2)　通過(guò)防火墻，將整個(gè)局域網(wǎng)劃分INTERNET，DMZ區(qū)，內(nèi)網(wǎng)訪問(wèn)區(qū)這三個(gè)邏輯上分開(kāi)的區(qū)域，有利于對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理?！　?3)局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護(hù)之下，只要通過(guò)防火墻設(shè)置的修改，就能有限絕大部分防止來(lái)自INTERNET上的攻擊，網(wǎng)絡(luò)管理員只需要關(guān)注DMZ區(qū)對(duì)外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞?！　?4)通過(guò)防火墻的過(guò)濾規(guī)則，實(shí)現(xiàn)端口級(jí)控制，限制局域網(wǎng)用戶對(duì)INTERNET的訪問(wèn)?！　?5)進(jìn)行流量控制，確保重要業(yè)務(wù)對(duì)流量的要求?！　?6)通過(guò)過(guò)濾規(guī)則，以時(shí)間為控制要素，限制大流量網(wǎng)絡(luò)應(yīng)用在上班時(shí)間的使用?！　⊥泄軝C(jī)房防火墻的作用：　　(7)　通過(guò)防火墻的過(guò)濾規(guī)則，限制INTERNET用戶對(duì)WWW服務(wù)器的訪問(wèn)，將訪問(wèn)權(quán)限控制在最小的限度，在這種情況下，網(wǎng)絡(luò)管理員可以忽略服務(wù)器系統(tǒng)的安全漏洞，只需要關(guān)注WWW應(yīng)用服務(wù)軟件的安全漏洞。　　(8)通過(guò)過(guò)濾規(guī)則，對(duì)遠(yuǎn)程更新的時(shí)間、來(lái)源(通過(guò)IP地址)進(jìn)行限制?！　∪肭謾z測(cè)　　安裝位置：局域網(wǎng)DMZ區(qū)以及托管機(jī)房服務(wù)器區(qū)?！　DS的作用：　　(1)　作為旁路設(shè)備，監(jiān)控網(wǎng)絡(luò)中的信息，統(tǒng)計(jì)并記錄網(wǎng)絡(luò)中的異常主機(jī)以及異常連接?！　?2)中斷異常連接?！　?3)通過(guò)聯(lián)動(dòng)機(jī)制，向防火墻發(fā)送指令，在限定的時(shí)間內(nèi)對(duì)特定的IP地址實(shí)施封堵?！　【W(wǎng)絡(luò)防病毒軟件控制中心以及客戶端軟件　　安裝位置：局域網(wǎng)防病毒服務(wù)器以及各個(gè)終端　　防病毒服務(wù)器作用：　　(1)　作為防病毒軟件的控制中心，及時(shí)通過(guò)INTERNET更新病毒庫(kù)，并強(qiáng)制局域網(wǎng)中已開(kāi)機(jī)的終端及時(shí)更新病毒庫(kù)軟件。　　(2)記錄各個(gè)終端的病毒庫(kù)升級(jí)情況。　　(3)記錄局域網(wǎng)中計(jì)算機(jī)病毒出現(xiàn)的時(shí)間、類型以及后續(xù)處理措施?！　》啦《究蛻舳塑浖淖饔茫骸　?4)　對(duì)本機(jī)的內(nèi)存、文件的讀寫進(jìn)行監(jiān)控，根據(jù)預(yù)定的處理方法處理帶毒文件?！　?5)　監(jiān)控郵件收發(fā)軟件，根據(jù)預(yù)定處理方法處理帶毒郵件。　　郵件防病毒服務(wù)器　　安裝位置：郵件服務(wù)器與防火墻之間　　郵件防病毒軟件：對(duì)來(lái)自INTERNTE的電子郵件進(jìn)行檢測(cè)，根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來(lái)自INTERNET的電子郵件以及所屬附件(對(duì)于壓縮文件同樣也進(jìn)行檢測(cè))　　反垃圾郵件系統(tǒng)　　安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺(tái)服務(wù)器上?！　》蠢]件系統(tǒng)作用：　　(1)　拒絕轉(zhuǎn)發(fā)來(lái)自INTERNET的垃圾郵件?！　?2)　拒絕轉(zhuǎn)發(fā)來(lái)自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng)　　用戶的IP地址通過(guò)電子郵件等方式通報(bào)網(wǎng)管。　　(3)　記錄發(fā)垃圾郵件的終端地址?！　?4)　通過(guò)電子郵件等方式通知網(wǎng)管垃圾郵件的處理情況?！　?dòng)態(tài)口令認(rèn)證系統(tǒng)　　安裝位置：服務(wù)器端安裝在WWW服務(wù)器(以及其他需要進(jìn)行口令加強(qiáng)的敏感服務(wù)器)，客戶端配置給網(wǎng)頁(yè)更新人員(或者服務(wù)器授權(quán)訪問(wèn)用戶)?！　?dòng)態(tài)口令認(rèn)證系統(tǒng)的作用：　　通過(guò)定期修改密碼，確保密碼的不可猜測(cè)性?！　【W(wǎng)絡(luò)管理軟件　　安裝位置：局域網(wǎng)中。　　網(wǎng)絡(luò)管理軟件的作用：　　(1)　收集局域網(wǎng)中所有資源的硬件信息。　　(2)　收集局域網(wǎng)中所有終端和服務(wù)器的操作系統(tǒng)、系統(tǒng)補(bǔ)丁等軟件信息?！　?3)　收集交換機(jī)等網(wǎng)絡(luò)設(shè)備的工作狀況等信息?！　?4)　判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡(luò)設(shè)備與INTERNET連接?！　?5)　顯示實(shí)時(shí)網(wǎng)絡(luò)連接情況?！　?6)　如果交換機(jī)等核心網(wǎng)絡(luò)設(shè)備出現(xiàn)異常，及時(shí)向網(wǎng)管中心報(bào)警。　　QOS流量管理　　安裝位置：如果是專門的產(chǎn)品安裝在路由器和防火墻之間。部分防火墻本身就有QOS帶寬管理模塊?！　OS