【正文】 st、DMZ、local，在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到防火墻本身的報(bào)文，保證了防火墻本身的安全防護(hù)，使得對(duì)防火墻本身的安全保護(hù)得到加強(qiáng)。例如，通過(guò)對(duì)本地安全區(qū)域的報(bào)文控制，可以很容易的防止不安全區(qū)域?qū)Ψ阑饓Ρ旧淼腡elnet、ftp等訪問(wèn)。SecPath防火墻還提供自定義安全區(qū)域，可以最大定義16個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口。SecPath系列防火墻支持根據(jù)不同的安全區(qū)域之間的訪問(wèn)設(shè)計(jì)不同的安全策略組，每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得防火墻的策略十分容易管理，方面用戶對(duì)各種邏輯安全區(qū)域的獨(dú)立管理。部分防火墻還是采用基于接口的安全策略管理機(jī)制，如圖。圖10 防火墻安全區(qū)域管理兩個(gè)接口：trust接口和DMZ接口共享untrust接口訪問(wèn)internet，如果在接口上使用安全策略進(jìn)行控制，則會(huì)導(dǎo)致策略混亂。因?yàn)樵趗ntrust接口流量中，即有從DMZ和internet之間的流量，也有從trust和internet之間的流量。這樣的策略控制模型不適合用戶進(jìn)行策略配置。而基于安全區(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問(wèn)，這樣的策略控制模型使得SecPath防火墻的網(wǎng)絡(luò)隔離功能具有很好的管理能力。 防火墻DOS/DDOS防御Dos（Deny of service）是一類攻擊方式的統(tǒng)稱（DDos也是Dos的一種），其攻擊的基本原理就是通過(guò)發(fā)送各種垃圾報(bào)文導(dǎo)致網(wǎng)絡(luò)的阻塞、服務(wù)的癱瘓。Dos攻擊方式其利用IP無(wú)連接的特點(diǎn)，可以制造各種不同的攻擊手段，而且攻擊方式非常簡(jiǎn)單。在Internet上非常流行，對(duì)企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴(yán)重的影響，引發(fā)很大的網(wǎng)絡(luò)事故，因此優(yōu)秀的Dos攻擊防范功能是防火墻的必備功能。現(xiàn)在幾乎所有的防火墻設(shè)備都宣傳具有Dos攻擊防御功能，但是那么為什么Dos攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓的攻擊事件為什么還是層出不窮呢？一個(gè)優(yōu)秀的Dos攻擊防御體系，應(yīng)該具有如下最基本的特征： 防御手段的健全和豐富。因?yàn)镈os攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御Dos攻擊。 優(yōu)秀的處理性能。因?yàn)镈os攻擊伴隨這一個(gè)重要特征就是網(wǎng)絡(luò)流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理Dos攻擊的同時(shí)本身就成為了網(wǎng)絡(luò)的瓶頸，根本就不可能抵御Dos攻擊。因?yàn)镈os攻擊的一個(gè)重要目的就是使得網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點(diǎn)發(fā)生了阻塞，則Dos攻擊的目的就達(dá)到了。防火墻設(shè)備不但要注重轉(zhuǎn)發(fā)性能，同時(shí)一定要保證對(duì)業(yè)務(wù)的處理能力。在進(jìn)行Dos攻擊防御的過(guò)程中，防火墻的每秒新建能力就成為保證網(wǎng)絡(luò)通暢的一個(gè)重要指標(biāo)，Dos攻擊的過(guò)程中，攻擊者都是在隨機(jī)變化源地址因此所有的連接都是新建連接。準(zhǔn)確的識(shí)別攻擊能力。很多防火墻在處理Dos攻擊的時(shí)候，僅僅能保證防火墻后端的流量趨于網(wǎng)絡(luò)可以接受的范圍，但是不能保證準(zhǔn)確的識(shí)別攻擊報(bào)文。這樣處理雖然可以保證網(wǎng)絡(luò)流量的正常，可以保證服務(wù)器不會(huì)癱瘓，但是這樣處理還是會(huì)阻擋正常用戶上網(wǎng)、訪問(wèn)等的報(bào)文，因此雖然網(wǎng)絡(luò)層面是正常的，但是真正的服務(wù)還是被拒絕了，因此還是不能達(dá)到真正的Dos攻擊防御的目的。SecPath系列防火墻產(chǎn)品，在對(duì)上述各個(gè)方面都做了詳盡的考慮，因此Dos防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強(qiáng)的優(yōu)勢(shì)。 防火墻TCP代理Tcp代理是SecPath系列防火墻為防止SYN Flood類的Dos攻擊，而專門開(kāi)發(fā)的一個(gè)安全特性。SYN Flood攻擊可以很快的消耗服務(wù)器資源，導(dǎo)致服務(wù)器崩潰。在一般的Dos防范技術(shù)中，在攻擊發(fā)生的時(shí)候不能準(zhǔn)確的識(shí)別哪些是合法用戶，哪些是攻擊報(bào)文。Eudemon防火墻采用了TCP透明代理的方式實(shí)現(xiàn)了對(duì)這種攻擊的防范，Eudemon防火墻通過(guò)精確的驗(yàn)證可以準(zhǔn)確的發(fā)現(xiàn)攻擊報(bào)文，對(duì)正常報(bào)文依然可以通過(guò)允許這些報(bào)文訪問(wèn)防火墻資源，而攻擊報(bào)文則被Eudemon防火墻丟棄。有些攻擊是建立一個(gè)完整的TCP連接用來(lái)消耗服務(wù)器的資源。Eudemon系列防火墻可以實(shí)現(xiàn)增強(qiáng)代理的功能，在客戶端與防火墻建立連接以后察看客戶是否有數(shù)據(jù)報(bào)文發(fā)送，如果有數(shù)據(jù)報(bào)文發(fā)送防火墻再與服務(wù)器端建立連接否則丟棄客戶端的報(bào)文。這樣可以保證即使采用完成TCP三次握手的方式消耗服務(wù)器資源，也可以被Eudemon防火墻發(fā)現(xiàn)。圖11 防火墻TCP代理 防火墻在數(shù)據(jù)中心的部署點(diǎn) ServerFarm 網(wǎng)絡(luò)邊界上的狀態(tài)防火墻園區(qū)網(wǎng)絡(luò)通常包括園區(qū)核心網(wǎng)、邊界網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、分支結(jié)構(gòu)網(wǎng)絡(luò)、數(shù)據(jù)中心(ServerFarm)網(wǎng)絡(luò)。核心網(wǎng)絡(luò)是所有網(wǎng)絡(luò)區(qū)域的中心，內(nèi)部網(wǎng)絡(luò)、數(shù)據(jù)中心、邊界網(wǎng)絡(luò)以星狀連接在核心周圍，邊界網(wǎng)的另一端還與Internet相連，可以為園區(qū)提供Internet出口，并且作為分支網(wǎng)絡(luò)的接入點(diǎn)，如圖所示。圖12 防火墻在數(shù)據(jù)中心的部署點(diǎn)防火墻應(yīng)該部署在信任與非信任網(wǎng)絡(luò)的鄰接點(diǎn)上，避免不安全因素的擴(kuò)散。上述園區(qū)網(wǎng)絡(luò)模型中存在兩個(gè)這樣的鄰接點(diǎn)，一是邊界網(wǎng)絡(luò)與Internet的接入點(diǎn)上，這個(gè)位置部署放火墻可以隔離來(lái)自Internet或外部網(wǎng)絡(luò)的有害數(shù)據(jù)；另一個(gè)在數(shù)據(jù)中心（ServerFarm）匯聚交換機(jī)與核心網(wǎng)交換機(jī)的接的接入點(diǎn)上，在此部署防火墻可避免來(lái)自內(nèi)部網(wǎng)絡(luò)的威脅，這種威脅可能是內(nèi)網(wǎng)員工惡意攻擊造成的，也可能是一些不恰當(dāng)?shù)牟僮鲗?duì)網(wǎng)絡(luò)造成的。 多層服務(wù)器區(qū)內(nèi)部的狀態(tài)防火墻在ServerFarm內(nèi)部多層服務(wù)器區(qū)的各層之間也可以部署防火墻以增強(qiáng)不同層次之間的安全性，如圖。由于web服務(wù)器直接面對(duì)訪問(wèn)者，通常來(lái)說(shuō)是網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，使用分層防御可以將重要的服務(wù)器通過(guò)防火墻進(jìn)行保護(hù)，即使web服務(wù)器被攻陷，也不會(huì)造成應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器的進(jìn)一步破壞。 數(shù)據(jù)中心應(yīng)用防護(hù)技術(shù)IPS可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力，同時(shí)配合以精心研究的攻擊特征知識(shí)庫(kù)和用戶規(guī)則，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊