【正文】 器相連 接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機(jī)發(fā)送ARP廣播包詢問(wèn)路由器的硬件地址時(shí)，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和 內(nèi)網(wǎng)主機(jī)都認(rèn)為將數(shù)據(jù)包發(fā)給了對(duì)方，而實(shí)際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。另外， 防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時(shí)實(shí)現(xiàn)應(yīng)用層代理、過(guò)濾等功能），此時(shí)需要端口轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)（？這個(gè)地方不是十分清 楚，也沒(méi)找到相關(guān)資料）。這個(gè)過(guò)程如下：1. 用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2. 用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）3. 用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）前邊我們討論過(guò)透明代理，和這里所說(shuō)的防火墻的透明模式是兩個(gè)概念。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時(shí)防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時(shí)不是透明模式）。透明模式下的防火墻能實(shí)現(xiàn)透明代理，非透明模式下的防火墻（此時(shí)它必然又是一個(gè)網(wǎng)關(guān)）也能實(shí)現(xiàn)透明代理。目前國(guó)內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式的并不多。5．可靠性防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。防火墻的可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。國(guó)內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲(chǔ)設(shè)備。國(guó)內(nèi)已經(jīng)有部分廠家意識(shí)到了這個(gè)問(wèn)題，開始自行設(shè)計(jì)硬件。另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。一方面是可靠性體系建立不起來(lái)，一方面是為了迎 合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。 6．市場(chǎng)定位市場(chǎng)上防火墻的售價(jià)極為懸殊，從數(shù)萬(wàn)元到數(shù)十萬(wàn)元，甚至到百萬(wàn)元不等。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求。如checkpoint的一個(gè)報(bào)價(jià)：CheckPoint Firewall1 25user CheckPoint Firewall1 50user CheckPoint Firewall1 100user CheckPoint Firewall1 250user CheckPoint Firewall1 無(wú)限用戶 從用戶量上防火墻可以分為：a． 10－25用戶：這個(gè)區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。一般另有可選功能：VPN、帶寬管理等等。據(jù)調(diào)查，這個(gè)區(qū)間的防火墻反而種類不多，也許是國(guó)內(nèi)廠商不屑于這個(gè)市場(chǎng)的緣故？b． 25－100用戶這個(gè)區(qū)間用戶主要為小型企業(yè)網(wǎng)。VPN、帶寬管理往往成為標(biāo)準(zhǔn)模塊。相對(duì)來(lái)說(shuō)，這個(gè)區(qū)間上硬件防火墻價(jià)格明顯高于軟件防火墻。c． 100－數(shù)百用戶這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。并且開始支持雙機(jī)熱備份。這樣的中高端 防火墻國(guó)內(nèi)較少，有也是25－100用戶的升級(jí)版，其可用性令人懷疑。我們接觸較少，不多做討論?？偟膩?lái)說(shuō)，防火墻的價(jià)格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價(jià)格就越貴。防火墻由于技術(shù)含量較高， 人員技術(shù)儲(chǔ)備要求較高，防火墻核心部分的研發(fā)必須要對(duì)操作系統(tǒng)有相當(dāng)?shù)氖煜?，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國(guó)內(nèi)真正能拿的出手的UNIX程序員數(shù) 量還是太少（遠(yuǎn)遠(yuǎn)少于Windows平臺(tái)下開發(fā)人員），人員成本很高。下邊對(duì)一個(gè)中小型企業(yè)級(jí)防火墻的研發(fā)費(fèi)用作個(gè)簡(jiǎn)單的估計(jì)。加上前期10－ 15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測(cè)試，前后總共需要約210人周。顯然，這個(gè)數(shù)字只是一個(gè)局外人估計(jì)的下限，實(shí)際的研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。目前國(guó)內(nèi)防火墻一般都是軟件可升級(jí)的，這是因?yàn)榇蠖鄶?shù)防火墻采用電子硬盤（少數(shù)采用磁盤），實(shí)現(xiàn)升級(jí) 功能只要很小的工作量要做。防火墻的靈活性主要體現(xiàn)在以下幾點(diǎn)：a． 易于升級(jí)b． 支持大量協(xié)議c． 易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來(lái)）d． 功能可擴(kuò)展這里對(duì)功能可擴(kuò)展做一簡(jiǎn)單討論。特別如URL過(guò)濾規(guī)則（對(duì)支持URL過(guò)濾的防火墻而言），當(dāng)前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻 擊的就是Windows機(jī)器IIS服務(wù)器的ida漏洞，而我們?nèi)绻軌蚣皶r(shí)定義過(guò)濾規(guī)則，對(duì)于“GET /”的請(qǐng)求及時(shí)過(guò)濾，那么內(nèi)網(wǎng)主機(jī)（此時(shí)一般為DMZ內(nèi)主機(jī)）的安全性就會(huì)高很多，內(nèi)網(wǎng)管理人員也不必時(shí)時(shí)密切關(guān)注網(wǎng)絡(luò)漏洞（這是 個(gè)工作量很大，既耗費(fèi)體力又容易出現(xiàn)遺漏的工作）。另外，靈活性 一開始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)的很完美的，它需要和用戶具體實(shí)踐相配合。 如何構(gòu)建網(wǎng)絡(luò)整體安全方案整體的安全方案分成技術(shù)方案、服務(wù)方案以及支持方案三部分。同時(shí)能夠有效降低安全管理的難度，提高安全管理的有效性?！　》阑饓Α　“惭b位置：局域網(wǎng)與路由器之間?！　【钟蚓W(wǎng)防火墻作用：　　(1)　實(shí)現(xiàn)單向訪問(wèn)，允許局域網(wǎng)用戶訪問(wèn)INTERNET資源，但是嚴(yán)格限制INTERNET用戶對(duì)局域網(wǎng)資源的訪問(wèn)?！　?3)局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護(hù)之下，只要通過(guò)防火墻設(shè)置的修改，就能有限絕大部分防止來(lái)自INTERNET上的攻擊，網(wǎng)絡(luò)管理員只需要關(guān)注DMZ區(qū)對(duì)外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞?！　?5)進(jìn)行流量控制，確保重要業(yè)務(wù)對(duì)流量的要求?！　⊥泄軝C(jī)房防火墻的作用：　　(7)　通過(guò)防火墻的過(guò)濾規(guī)則，限制INTERNET用戶對(duì)WWW服務(wù)器的訪問(wèn)，將訪問(wèn)權(quán)限控制在最小的限度，在這種情況下，網(wǎng)絡(luò)管理員可以忽略服務(wù)器系統(tǒng)的安全漏洞，只需要關(guān)注WWW應(yīng)用服務(wù)軟件的安全漏洞。　　入侵檢測(cè)　　安裝位置：局域網(wǎng)DMZ區(qū)以及托管機(jī)房服務(wù)器區(qū)。　　(2)中斷異常連接?！　【W(wǎng)絡(luò)防病毒軟件控制中心以及客戶端軟件　　安裝位置：局域網(wǎng)防病毒服務(wù)器以及各個(gè)終端　　防病毒服務(wù)器作用：　　(1)　作為防病毒軟件的控制中心，及時(shí)通過(guò)INTERNET更新病毒庫(kù)，并強(qiáng)制局域網(wǎng)中已開機(jī)的終端及時(shí)更新病毒庫(kù)軟件?！　?3)記錄局域網(wǎng)中計(jì)算機(jī)病毒出現(xiàn)的時(shí)間、類型以及后續(xù)處理措施?！　?5)　監(jiān)控郵件收發(fā)軟件，根據(jù)預(yù)定處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來(lái)自INTERNET的電子郵件以及所屬附件(對(duì)于壓縮文件同樣也進(jìn)行檢測(cè))　　反垃圾郵件系統(tǒng)　　安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺(tái)服務(wù)器上?！　?2)　拒絕轉(zhuǎn)發(fā)來(lái)自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng)　　用戶的IP地址通過(guò)電子郵件等方式通報(bào)網(wǎng)管?！　?4)　通過(guò)電子郵件等方式通知網(wǎng)管垃圾郵件的處理情況?！　?dòng)態(tài)口令認(rèn)證系統(tǒng)的作用：　　通過(guò)定期修改密碼，確保密碼的不可猜測(cè)性?！　【W(wǎng)絡(luò)管理軟件的作用：　　(1)　收集局域網(wǎng)中所有資源的硬件信息?！　?3)　收集交換機(jī)等網(wǎng)絡(luò)設(shè)備的工作狀況等信息?！　?5)　顯示實(shí)時(shí)網(wǎng)絡(luò)連接情況?！　OS流量管理　　安裝位置：如果是專門的產(chǎn)品安裝在路由器和防火墻之間?！　OS流量管理的作用：　　(1)　通過(guò)IP地址，為重要用戶分配足夠的帶寬?！　?3)　限制非業(yè)務(wù)流量的帶寬?！　≈匾K端個(gè)人防護(hù)軟件　　安裝位置：重要終端　　個(gè)人防護(hù)軟件的作用：　　(1)　保護(hù)個(gè)人終端不受攻擊?！　?3)　防止局域網(wǎng)感染病毒主機(jī)通過(guò)攻擊的方式感染重要終端?！　?2)　通過(guò)特殊的認(rèn)證機(jī)制，允許授權(quán)用戶修改頁(yè)面文件?！　《?、安全服務(wù)解決方案　　在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)、改進(jìn)，以達(dá)到動(dòng)態(tài)增進(jìn)網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。(2)分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見(jiàn)。一方面，通過(guò)網(wǎng)絡(luò)拓?fù)浞治?，能夠形成網(wǎng)絡(luò)整體拓?fù)鋱D，為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)日常管理等管理行為提供必要的技術(shù)資料?！　≈行臋C(jī)房管理制度制訂以及修改　　服務(wù)對(duì)象：中心機(jī)房　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：協(xié)助用戶制訂并修改機(jī)房管理制度?！　》?wù)作用：嚴(yán)格控制中心機(jī)房的人員進(jìn)出、設(shè)備進(jìn)出并及時(shí)登記設(shè)備的配置更新情況，有助于網(wǎng)絡(luò)核心設(shè)備的監(jiān)控，確保網(wǎng)絡(luò)的正常運(yùn)行。(2)出現(xiàn)大型補(bǔ)丁(如微軟的SP)，及時(shí)更新所有相關(guān)系統(tǒng)。　　防病毒軟件病毒庫(kù)定期升級(jí)　　服務(wù)對(duì)象：防病毒服務(wù)器、安裝防病毒客戶端的終端　　服務(wù)周期：每周一次　　服務(wù)內(nèi)容：(1)　防病毒服務(wù)器通過(guò)INTERNET更新病毒庫(kù)?！　》?wù)作用：通過(guò)不斷升級(jí)病毒庫(kù)確保防病毒軟件能夠及時(shí)發(fā)現(xiàn)新的病毒?！　》?wù)作用：(1)　找出對(duì)應(yīng)服務(wù)器操作系統(tǒng)中存在的系統(tǒng)漏洞。(3)　找出安全強(qiáng)度較低的用戶名和用戶密碼?！　》?wù)作用：通過(guò)流量簡(jiǎn)圖找出流量異常的時(shí)間段，通過(guò)檢查流量較大的主機(jī)，找出局域網(wǎng)中的異常主機(jī)?！　》?wù)作用：防止日志過(guò)大導(dǎo)致檢索、分析的難度，另一方面也有利于事后的檢查?！　“卓蜐B透　　服務(wù)對(duì)象：對(duì)INTERBET提供服務(wù)的服務(wù)器　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：服務(wù)商在用戶指定的時(shí)間段內(nèi)，通過(guò)INTERNET，使用各種工具在不破壞應(yīng)用的前提下攻擊服務(wù)器，最終提供檢測(cè)報(bào)告。根據(jù)最終檢測(cè)報(bào)告進(jìn)一步增強(qiáng)系統(tǒng)的安全性　　設(shè)備備份系統(tǒng)　　服務(wù)對(duì)象：骨干交換機(jī)、路由器等網(wǎng)絡(luò)骨干設(shè)備　　服務(wù)周期：實(shí)時(shí)　　服務(wù)內(nèi)容：根據(jù)用戶的網(wǎng)絡(luò)情況，提供骨干交換機(jī)、路由器等核心網(wǎng)絡(luò)設(shè)備的備份?！　》?wù)作用：一旦核心設(shè)備出現(xiàn)故障，使用備件替換以減少網(wǎng)絡(luò)故障時(shí)間?！　?定期總體安全分析報(bào)告　　服務(wù)對(duì)象：整個(gè)網(wǎng)絡(luò)　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：綜合網(wǎng)絡(luò)拓?fù)鋱?bào)告、各種安全設(shè)備日志、服務(wù)器日志等信息，對(duì)網(wǎng)絡(luò)進(jìn)行總體安全綜合性分析，分析內(nèi)容包括網(wǎng)絡(luò)安全現(xiàn)狀、網(wǎng)絡(luò)安全隱患分析，并提出改進(jìn)建議意見(jiàn)?！　∫陨鲜欠?wù)解決方案，眾所周知，安全產(chǎn)品一般是共性的產(chǎn)品，通過(guò)安全服務(wù)，能夠配制出適合本網(wǎng)絡(luò)的安全設(shè)備，使得安全產(chǎn)品在特定的網(wǎng)絡(luò)中發(fā)揮最大的效能，使得各種設(shè)備協(xié)同工作，增強(qiáng)網(wǎng)絡(luò)的安全性和可用性。下面將提出技術(shù)支持解決方案。其主要作用是在用戶網(wǎng)絡(luò)發(fā)生重要安全事件后，通過(guò)及時(shí)、高效的安全服務(wù)，達(dá)到盡快恢復(fù)網(wǎng)絡(luò)應(yīng)用的目的?！　?2)應(yīng)用服務(wù)無(wú)法訪問(wèn)(如不能對(duì)外提供WWW服務(wù))?！　∽饔茫阂坏┚W(wǎng)絡(luò)出現(xiàn)異常，為用戶提供及時(shí)、有效的網(wǎng)絡(luò)服務(wù)?！　?zāi)難恢復(fù)　　支持范圍：設(shè)備遇到物理?yè)p害網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用異常。通過(guò)備份文件的復(fù)原，盡快恢復(fù)網(wǎng)絡(luò)的電子資源?！　〔檎夜粼础　≈С址秶骸【W(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊，并需要確定攻擊來(lái)源?！　?shí)時(shí)檢索日志文件　　支持范圍：　遭到實(shí)時(shí)的攻擊(如DOS，SYN FLOODING等)，需要及時(shí)了解攻擊源以及攻擊強(qiáng)度。如果攻擊強(qiáng)度超出網(wǎng)絡(luò)能夠承受的范圍，可采取進(jìn)一步措施進(jìn)行防范?！　∽饔茫杭词咕W(wǎng)絡(luò)中出現(xiàn)病毒，通過(guò)及時(shí)有效的技術(shù)支持，在最短的時(shí)間內(nèi)查處感染病毒的主機(jī)并即時(shí)查殺病毒，恢復(fù)網(wǎng)絡(luò)應(yīng)用。　　作用：通過(guò)網(wǎng)絡(luò)監(jiān)控，近可能發(fā)現(xiàn)網(wǎng)絡(luò)中存在的前期網(wǎng)絡(luò)故障，在故障擴(kuò)大化以前及時(shí)進(jìn)行防治。　　綜上所述，局域網(wǎng)的安全由三大部分組成，涵蓋設(shè)備、技術(shù)、制度、管理、服務(wù)等各個(gè)部分?！　〉谝浑A段　　(1)技術(shù)方面，采用防火墻、網(wǎng)絡(luò)防病毒軟件、頁(yè)面防篡改系統(tǒng)來(lái)建立一個(gè)結(jié)構(gòu)上較完善的網(wǎng)絡(luò)系統(tǒng)?！　?3)支持方面，要求服務(wù)商提供故障排除服務(wù)，以提高網(wǎng)絡(luò)的可靠性，降低網(wǎng)絡(luò)故障對(duì)網(wǎng)絡(luò)的整體影響。　　(1)技術(shù)方面，采用入侵檢測(cè)、郵件防病毒軟件、動(dòng)態(tài)口令認(rèn)證系統(tǒng)、并在重要客戶端安裝個(gè)人版防護(hù)軟件?！　?3)支持方面，要求服務(wù)商提供災(zāi)難恢復(fù)、實(shí)時(shí)日志檢索、實(shí)時(shí)查殺病毒、實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控等技術(shù)支持?！　?1)技術(shù)方面，采用反垃圾郵件系統(tǒng)、網(wǎng)絡(luò)管理軟件、QOS流量管理軟件?！　?3)支持方面，要求能夠?qū)崟r(shí)或者時(shí)候查找攻擊源。　　另外，隨著新技術(shù)、新產(chǎn)品的不斷涌現(xiàn)，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，對(duì)于網(wǎng)絡(luò)安全的要求不斷提高，在實(shí)際實(shí)施過(guò)程中采取的措施完全可能超越本文中提及的產(chǎn)品、服務(wù)、支持，這也是安全建設(shè)的最基本原則：不斷改進(jìn)，不斷增強(qiáng)，安全無(wú)止境?！　?duì)于企業(yè)網(wǎng)絡(luò)而言，一個(gè)沒(méi)有配備防火墻的網(wǎng)絡(luò)無(wú)異于“開門揖盜”，安全性無(wú)從談起。防火墻種類　　在選購(gòu)之前，企業(yè)用戶首先需要弄清防火墻的種類?！　∏度胧椒阑饓?: 就是內(nèi)嵌于路由器或交換機(jī)的防火墻。用戶也可以購(gòu)買防火墻模塊，安裝到已有的路由器或交換機(jī)中。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣， 所以不是所有的網(wǎng)絡(luò)服務(wù)都能得到嵌入式防火墻的有效處理。就本質(zhì)而言，嵌入式防火墻常常是無(wú)監(jiān)控狀態(tài)的，它在傳遞信息包時(shí)并不考慮以前的連接狀態(tài)。如果用戶的服務(wù)器裝有企業(yè)級(jí)操作系統(tǒng)，購(gòu)買基于軟件的防火墻則是合理的選擇。　　基于硬件的防火墻 : 多捆綁于“交鑰匙”系統(tǒng)(Turnkey system)中，是一個(gè)已經(jīng)裝有軟件的硬件設(shè)備?！　√厥夥阑饓?: 側(cè)重于某一應(yīng)用的防火墻產(chǎn)品。OKENA的StormWatch雖然沒(méi)有標(biāo)明是防火墻， 但也具有防火墻類規(guī)則和應(yīng)用防范禁閉功能。而硬件防火墻經(jīng)過(guò)廠商的預(yù)先包裝，啟動(dòng)及運(yùn)作要比軟件防火墻快得多。如果用戶對(duì)防火墻運(yùn)行的硬件平臺(tái)沒(méi)有特殊要求，硬件防火墻則是這類用戶理想的選擇。防火墻的功能與性能考慮　　用戶節(jié)點(diǎn)數(shù)　　在選購(gòu)防火墻時(shí)，用戶需要考慮保護(hù)的節(jié)點(diǎn)數(shù)。大多數(shù)情況下，SOHO防火墻能夠應(yīng)付50個(gè)以內(nèi)的用戶連接請(qǐng)求，如果需要保護(hù)50個(gè)以上用戶，就必須采用企業(yè)防火墻。生產(chǎn)企業(yè)防火墻的供應(yīng)商大都提供作為選件的中央管理控制臺(tái)。 大多數(shù)防火墻都標(biāo)明了用戶連接數(shù)。NAT使用戶能夠把專用或非法IP地址轉(zhuǎn)換成合法的公共地址?！　∫粚?duì)一尋址是NAT最基本的形式，可以把內(nèi)部IP地址映射到不同的外部公共IP地址。多對(duì)多尋址將其他網(wǎng)絡(luò)上幾組不同的IP地址映射成內(nèi)部或外部的IP地址。一對(duì)多尋址則使用于需要把一個(gè)IP地址分成兩個(gè)地址的負(fù)載均衡場(chǎng)合?！　?duì)簡(jiǎn)單網(wǎng)絡(luò)而言，一對(duì)一NAT功能就已足夠。這類防火墻通常被用作VPN的端點(diǎn)。用戶要牢記VPN必須有兩個(gè)端點(diǎn)。VPN通過(guò)加密隧道發(fā)送數(shù)據(jù)，從而把數(shù)據(jù)與外界隔離開來(lái)。捆綁密碼加速器是為了提高VPN的速度。為更好地管理網(wǎng)絡(luò)，用戶最好選購(gòu)能夠記錄多種事件的日志、過(guò)濾多種事件的