【正文】 。 防火墻的特殊安全功能要求企業(yè)安全政策中往往有些特殊需求不是每一個(gè)防火墻都會(huì)提供的，這方面常會(huì)成為選擇防火墻的考慮因素之一，常見(jiàn)的需求如下： l 端口數(shù)目新一代防火墻一般具有三個(gè)或三個(gè)以上的端口，并且高端防火墻端口數(shù)更多，并且被模塊化，用戶可以根據(jù)網(wǎng)絡(luò)需要進(jìn)行擴(kuò)展。l 多級(jí)過(guò)濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平，新型防火墻采用了三級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒的IP源地址；在應(yīng)用網(wǎng)關(guān)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制；現(xiàn)在已經(jīng)在向深度包過(guò)濾技術(shù)發(fā)展。l 多種地址翻譯（NAT）模式具有正向和反向NAT功能，具有端口地址翻譯（PAT）功能。l 適用于多種網(wǎng)絡(luò)模式根據(jù)網(wǎng)絡(luò)模式的不同，支持路由模式、透明模式、NAT模式。l 支持HA在電信級(jí)網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的可靠性至關(guān)重要。因此新型防火墻一般支持雙機(jī)熱備模式，或者負(fù)載均衡模式，以提高可靠性。l 內(nèi)容過(guò)濾不僅對(duì)數(shù)據(jù)包頭進(jìn)行過(guò)濾，能對(duì)Java、ActiveX、JavaScript、VBscript、URL記錄和攔截和過(guò)濾。還可以對(duì)郵件過(guò)濾，丟棄假來(lái)源地址的信件，可設(shè)定傳送信件的大小，可消除內(nèi)部信件傳遞路徑信息,避免內(nèi)部主機(jī)暴露給外界，提供Email地址轉(zhuǎn)換功能。有些防火墻能支持病毒過(guò)濾，但是支持病毒過(guò)濾的防火墻是少數(shù)，并且在將來(lái)也不會(huì)成為主流。即使現(xiàn)在的網(wǎng)關(guān)型的病毒防火墻，也并不支持對(duì)所有協(xié)議類型的數(shù)據(jù)進(jìn)行過(guò)濾，而一般只支持三種協(xié)議SMTP、HTTP、FTP?？紤]到病毒屬于應(yīng)用層的數(shù)據(jù)，在應(yīng)用層過(guò)濾勢(shì)必嚴(yán)重影響網(wǎng)絡(luò)的性能，因此，人們把對(duì)病毒的查殺主要放在終端進(jìn)行，而不是指望防火墻能解決所有的問(wèn)題。l 審計(jì)和告警 新型防火墻產(chǎn)品的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)告警事件，發(fā)出郵件、聲響等多種方式報(bào)警。 此外新型防火墻還在網(wǎng)絡(luò)診斷，數(shù)據(jù)備份等方面具有特色。新型防火墻的日志文件可以異機(jī)備份，可以和日志分析軟件配合使用，通過(guò)日志分析軟件及時(shí)發(fā)現(xiàn)攻擊行為。l VPN功能越來(lái)越多的防火墻支持帶有IPSec的VPN功能。支持VPN功能已經(jīng)成為一種發(fā)展趨勢(shì)。VPN將是未來(lái)保證網(wǎng)絡(luò)安全傳輸?shù)闹饕侄?。防火墻一般需要使用NAT功能，而IPSec需要對(duì)IP包進(jìn)行重新封裝，二者在配合上存在很多問(wèn)題。因此，把防火墻和VPN功能集成在同一臺(tái)設(shè)備中將是一種比較好的選擇?？紤]到IPSec過(guò)于復(fù)雜，而SSL協(xié)議可以支持多種應(yīng)用層協(xié)議，應(yīng)用非常廣泛，因此，防火墻下一個(gè)發(fā)展趨勢(shì)是支持SSL VPN。即防火墻是SSL協(xié)議的終結(jié)者。支持SSL協(xié)議的客戶端可以很容易的與支持SSL協(xié)議的防火墻建立安全通道。l 支持多種入侵監(jiān)測(cè)功能防火墻集成一定程度的入侵檢測(cè)功能將成為一種趨勢(shì)。有越來(lái)越多的防火墻能檢測(cè)一些常見(jiàn)的攻擊行為，如SYN Flood、Ping of Death、ICMP Flood、TearDrop等攻擊行為。同時(shí)可以和防火墻的規(guī)則進(jìn)行聯(lián)動(dòng)，當(dāng)發(fā)現(xiàn)攻擊時(shí)，能阻止攻擊。深度包檢測(cè)技術(shù)的應(yīng)用將使得防火墻的入侵檢測(cè)功能和抗攻擊能力大大加強(qiáng)。l 支持集中的安全網(wǎng)管原來(lái)很多防火墻只提供WEB方式的管理，不利于大規(guī)模部署。因此提供具有安全網(wǎng)管功能的防火墻將成為一種趨勢(shì)。l 帶寬管理防火墻可以針對(duì)不同IP限制用戶的最高帶寬，這樣防止某些用戶常時(shí)間占用大量帶寬，而造成其它用戶帶寬下降。l 為了和內(nèi)部網(wǎng)二層交換機(jī)配合使用，提高數(shù)據(jù)在內(nèi)部網(wǎng)的安全性，防火墻支持VLAN也是必要的。 選擇防火墻的考慮在選擇防火墻產(chǎn)品時(shí)，除了從以上的功能特點(diǎn)考慮之外，還應(yīng)該注意好的防火墻應(yīng)該是企業(yè)整體網(wǎng)絡(luò)的保護(hù)者，并能彌補(bǔ)其它操作系統(tǒng)的不足，使操作系統(tǒng)的安全性不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)的整體安全造成影響。防火墻應(yīng)該能夠支持多種平臺(tái)，因?yàn)槭褂谜卟攀峭耆目刂普?，而使用者的平臺(tái)往往是多種多樣的，它們應(yīng)選擇一套符合現(xiàn)有環(huán)境需求的防火墻產(chǎn)品。由于新產(chǎn)品的出現(xiàn)，就會(huì)有人研究新的破解方法，所以好的防火墻產(chǎn)品應(yīng)擁有完善及時(shí)的售后服務(wù)體系。 好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來(lái)發(fā)現(xiàn)。 沒(méi)有一個(gè)防火墻的設(shè)計(jì)能夠適用于所有的環(huán)境，所以建議選擇防火墻時(shí)，還應(yīng)根據(jù)具體的需求和環(huán)境特點(diǎn)來(lái)選擇合適的防火墻。下面是選擇一個(gè)防火墻時(shí)考慮的因素： 216。 網(wǎng)絡(luò)受威脅的程度； 216。 若入侵者闖入網(wǎng)絡(luò)，將要受到的潛在的損失； 216。 其他已經(jīng)用來(lái)保護(hù)網(wǎng)絡(luò)及其資源的安全措施； 216。 由于硬件或軟件失效，或防火墻遭到“拒絕服務(wù)攻擊”，而導(dǎo)致用戶不能訪問(wèn)Internet，造成的整個(gè)機(jī)構(gòu)的損失； 216。 機(jī)構(gòu)所希望提供給Internet的服務(wù)，希望能從Internet得到的服務(wù)以及可以同時(shí)通過(guò)防火墻的用戶數(shù)目； 216。 站點(diǎn)是否有經(jīng)驗(yàn)豐富的管理員； 216。 今后可能的要求，如要求增加通過(guò)防火墻的網(wǎng)絡(luò)活動(dòng)或要求新的Internet服務(wù)。6 防火墻的管理與配置 安全策略配置基本策略配置請(qǐng)參見(jiàn)第五章《防火墻的功能要求》對(duì)用戶數(shù)據(jù)保護(hù)功能、識(shí)別與鑒別功能、保密功能、可信安全功能保護(hù)和安全審計(jì)功能部分。具體策略配置案例（用戶數(shù)據(jù)保護(hù)功能類）：具體策略的制定需要根據(jù)各分公司的網(wǎng)絡(luò)應(yīng)用情況結(jié)合上述原則進(jìn)行。以下是獨(dú)立于產(chǎn)品的、符合移動(dòng)業(yè)務(wù)的一般性防火墻安全策略（policy）的配置范例，僅供參考：Source地址Source端口Destination地址Destination端口行動(dòng)注釋1防火墻自身地址AnyAnyAnyDeny(禁止)阻止防火墻自身直接與任何一端相連接2AnyAny防火墻自身地址AnyDeny(禁止)組止任何外部到防火墻的直接連接（防火墻遠(yuǎn)程管理的連接已被默許）3公司內(nèi)部地址AnyAnyHTTPHTTPSAllow(允許)允許公司內(nèi)部地址對(duì)外部網(wǎng)站的訪問(wèn)4AnyAny公司外部電子郵件服務(wù)器地址SMTPAllow(允許)允許公司外部用戶發(fā)送電子郵件到公司電子郵件服務(wù)器5AnyAnyAnyAnyDeny(禁止)最后一條，禁止所有未被允許的連接 通信策略防火墻是整個(gè)安全系統(tǒng)中的關(guān)鍵部分，其通信策略的采用對(duì)防火墻自身的安全性非常重要。一般來(lái)說(shuō)，防火墻就象通常的網(wǎng)絡(luò)設(shè)備一樣，支持console、telnet等常用的訪問(wèn)手段，但是常用的通信和訪問(wèn)手段可能會(huì)對(duì)防火墻帶來(lái)致命的安全問(wèn)題，例如，telnet采用的明碼方式，使防火墻的遠(yuǎn)程管理和通信有可能被hacker中途竊取。所以，防火墻的通信策略必須要求安全性， 通信方式必須支持更加安全的技術(shù)，即：SSH，或者基于vpn隧道技術(shù)等等。通信策略定義通信對(duì)象間的通信方式，通信方式可以分為4種：Transfer, NAT, Map, Tunnel。地址轉(zhuǎn)換通信NAT將通信數(shù)據(jù)包中的源IP地址轉(zhuǎn)化為防火墻的NAT對(duì)象地址再轉(zhuǎn)發(fā)出防火墻，相反，返回的數(shù)據(jù)包也是直接針對(duì)防火墻，防火墻再將通信數(shù)據(jù)轉(zhuǎn)發(fā)到NAT前的源通信主機(jī)；NAT隱藏了真正的通信源主機(jī)信息，同時(shí)為使用保留IP的主機(jī)與Internet主機(jī)通信提供支持，實(shí)現(xiàn)了IP地址復(fù)用。如可以通過(guò)防火墻把私有網(wǎng)絡(luò)地址轉(zhuǎn)換為公有網(wǎng)絡(luò)地址等。在防火墻中，訪問(wèn)策略控制通信是否允許進(jìn)行，通信策略控制通信如何進(jìn)行。它們是互相獨(dú)立的，例如管理員可以禁止機(jī)器A訪問(wèn)服務(wù)器B，他同時(shí)可以描述機(jī)器A訪問(wèn)服務(wù)器B時(shí)必須NAT。通信策略的具體對(duì)象定義方式為：名字意義目的機(jī)器一個(gè)或多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)、子網(wǎng)、對(duì)象組，這些對(duì)象可以來(lái)自不同的區(qū)域。源機(jī)器一個(gè)或多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)、子網(wǎng)、對(duì)象組，這些對(duì)象可以來(lái)自不同的區(qū)域。通信協(xié)議使用的協(xié)議，如TCP/UDP/ICMP等。目的端口如TCP 21，UDP 53等。通信方式有這幾種通信方式：① 普通的轉(zhuǎn)發(fā)：實(shí)際上就是正常的透明或路由通信方式。② NAT：說(shuō)明源機(jī)器訪問(wèn)目的機(jī)器時(shí)必須做地址轉(zhuǎn)換。此時(shí)可以另外說(shuō)明一個(gè)地址池（可以是網(wǎng)絡(luò)節(jié)點(diǎn)或?qū)ο蠼M，如果是對(duì)象組，則組中的每個(gè)成員必須是子網(wǎng)類型的。）。如果說(shuō)明了地址池，則防火墻每次進(jìn)行NAT時(shí)動(dòng)態(tài)地選擇地址池中的地址作為源地址，如果沒(méi)有說(shuō)明地址池，則防火墻使用自己某個(gè)端口的地址作為源地址。③ MAP：即地址映射。這時(shí)，目的機(jī)器只是一個(gè)虛擬的機(jī)器，實(shí)際上是不存在的，當(dāng)源機(jī)器訪問(wèn)這個(gè)虛的目的機(jī)器時(shí)，防火墻必須將他重定向到真正的機(jī)器上。這個(gè)真正的機(jī)器可以是一臺(tái)機(jī)器，也可以是多臺(tái)機(jī)器，在多臺(tái)機(jī)器的情況下就是服務(wù)器負(fù)載均衡。因此，地址映射時(shí)必須說(shuō)明真正的機(jī)器，如果真正的機(jī)器是一臺(tái)機(jī)器，則用網(wǎng)絡(luò)節(jié)點(diǎn)說(shuō)明，如果真正的機(jī)器是多臺(tái)機(jī)器，則用對(duì)象組說(shuō)明，且對(duì)象組中的每個(gè)成員必須是網(wǎng)絡(luò)節(jié)點(diǎn)類型。地址映射時(shí)，可以進(jìn)行IP地址的映射，也可以進(jìn)行端口之間的映射，此時(shí)必須說(shuō)明虛的目的機(jī)器的端口，還必須說(shuō)明真正的機(jī)器的端口。通信方式非轉(zhuǎn)換通信(Transfer)此類通信防火墻不做轉(zhuǎn)換，防火墻根據(jù)IP路由原理直接將其從特定防火區(qū)發(fā)送出去；此通信方式用于應(yīng)用系統(tǒng)必須通信源IP地址信息或通信雙方均使用注冊(cè)地址情況下；NAT將通信數(shù)據(jù)包中的源IP地址轉(zhuǎn)化為防火墻的NAT對(duì)象地址再轉(zhuǎn)發(fā)出防火墻，同樣，返回的數(shù)據(jù)包是直接針對(duì)防火墻的，由防火墻再將通信數(shù)據(jù)轉(zhuǎn)發(fā)到NAT前的源通信主機(jī)；NAT隱藏了真正的通信源主機(jī)信息，同時(shí)為使用保留IP的主機(jī)與internet主機(jī)通信提供支持，實(shí)現(xiàn)了IP地址復(fù)用；MAP此通信方式將外部對(duì)防火墻接口的訪問(wèn)轉(zhuǎn)發(fā)到內(nèi)部主機(jī)上；映射可以實(shí)現(xiàn)如下目標(biāo)：IP到IP的映射；端口到端口的映射；隧道隧道方式下，通信對(duì)象間的通信進(jìn)行了加密認(rèn)證封裝；隧道通信為一種機(jī)密通信，通信信息可以避免被監(jiān)聽(tīng)和篡改。 訪問(wèn)策略防火墻的訪問(wèn)策略， 主要有下列幾個(gè)方面：216。 保證防火墻的物理安全性；216。 對(duì)于防火墻的訪問(wèn)需要被限制在特定的ip地址范圍， 例如網(wǎng)管中心的相關(guān)地址；216。 對(duì)于防火墻的訪問(wèn)認(rèn)證，要有集中的基于數(shù)據(jù)庫(kù)的管理；216。 系統(tǒng)支持多用戶， 管理權(quán)限要有多級(jí)，并且可以進(jìn)行日志記錄；216。 對(duì)企業(yè)的整個(gè)防火墻系統(tǒng)的管理，最好要有集中的管理系統(tǒng)，可以在中心管理系統(tǒng)上，下推按照企業(yè)應(yīng)用策略來(lái)設(shè)置的防火墻相應(yīng)配置和升級(jí)軟件等等；216。 可以支持多個(gè)syslog日志服務(wù)器，并且最好對(duì)不同的信息可以分配不同的syslog等級(jí)； 應(yīng)用策略一個(gè)有針對(duì)性和可靠的安全應(yīng)用策略對(duì)整個(gè)企業(yè)是至關(guān)重要的。在制定防火墻的安全應(yīng)用策略的時(shí)候， 首先要分析清楚系統(tǒng)面臨的安全風(fēng)險(xiǎn)，然后制定有效的策略。制定安全策略需要考慮下列事項(xiàng)：216。 辨別重要的、必要的網(wǎng)絡(luò)應(yīng)用；216。 辨別和上述應(yīng)用相關(guān)的安全風(fēng)險(xiǎn)；216。 解決上述應(yīng)用安全問(wèn)題的手段，需要的開(kāi)銷；216。 列出上述應(yīng)用的網(wǎng)絡(luò)數(shù)據(jù)流向矩陣；216。 根據(jù)上述網(wǎng)絡(luò)數(shù)據(jù)流向矩陣，制定相應(yīng)的安全策略和規(guī)則一個(gè)防火墻系統(tǒng)支持的網(wǎng)絡(luò)應(yīng)用協(xié)議的多樣性決定了其實(shí)施安全策略的完善性和精確性。制定安全策略時(shí)需要注意：216。 保證設(shè)備在使用上和網(wǎng)絡(luò)設(shè)計(jì)上簡(jiǎn)單有效。過(guò)于復(fù)雜的功能和設(shè)計(jì)， 最容易由于不慎帶來(lái)潛在的威脅；216。 采用不同的設(shè)備完成不同的功能；216。 保護(hù)程度越高系統(tǒng)越安全：216。 在對(duì)外接入路由器上，如果支持包過(guò)濾功能，則合理的利用；如果可以采用多級(jí)防火墻結(jié)構(gòu)，則采用；關(guān)鍵服務(wù)器的OS可以提供安全保護(hù)功能，則采用。216。 注意來(lái)自內(nèi)部的攻擊：216。 需考慮防火墻安全特性配置策略（如synflood監(jiān)測(cè)閥值如何確定等）216。 整個(gè)策略的實(shí)施和監(jiān)控是在動(dòng)態(tài)變化的，是一個(gè)循環(huán)的過(guò)程。需要不斷地監(jiān)控和維護(hù)。許多統(tǒng)計(jì)資料都顯示，來(lái)自內(nèi)部的安全威脅和攻擊占安全事件的70％以上。采用多級(jí)防火墻的同時(shí)注意保護(hù)內(nèi)部服務(wù)器不受內(nèi)網(wǎng)攻擊才能更有效地保障系統(tǒng)的安全。 安全策略流程管理安全策略的變更流程如下圖所示。安全策略的添加、刪除或更改均屬于安全策略的變更，需嚴(yán)格按照該流程實(shí)施。 增添安全策略流程由于防火墻通常被部署在網(wǎng)絡(luò)的關(guān)鍵進(jìn)出口處，防火墻安全策略的變更直接影響網(wǎng)絡(luò)上的應(yīng)用。安全策略增添流程可以確保在防火墻安全策略變更的情況下網(wǎng)絡(luò)應(yīng)用不受影響。增添防火墻安全策略，大致可以通過(guò)以下流程來(lái)完成：216。 所需添加策略的確定216。 所添加策略與現(xiàn)有策略的合理性分析216。 在防火墻系統(tǒng)上添加策略216。 所添加策略的驗(yàn)證216。 實(shí)施過(guò)程歸檔所需添加策略的確定如果有新的應(yīng)用上線或開(kāi)通新的業(yè)務(wù)，通常應(yīng)用部門(mén)會(huì)要求網(wǎng)絡(luò)安全部門(mén)對(duì)防火墻的安全策略進(jìn)行調(diào)整。由于防火墻的策略包含以下元素，源IP地址，目的IP地址，服務(wù)，帶寬的要求等。防火墻管理員需要根據(jù)策略的元素進(jìn)行逐一確定：新應(yīng)用的源主機(jī)地址，是否需要地址轉(zhuǎn)換，訪問(wèn)的方向，服務(wù)的協(xié)議類型(TCP,UDP…)和端口號(hào)，該服務(wù)的特殊要求，比如BOSS系統(tǒng)中計(jì)費(fèi)所使用的中間件系統(tǒng)需要保持的會(huì)話的Timeout時(shí)間，該應(yīng)用的帶寬要求，是否要對(duì)該應(yīng)用進(jìn)行帶寬控制（如最大帶寬，優(yōu)先級(jí)，TOS置位等）等。所添加策略與現(xiàn)有策略的合理性分析確定了所需要添加的策略后，要對(duì)現(xiàn)有防火墻的策略進(jìn)行合理性分析。由于防火墻包含有眾多的安全策略，每一個(gè)策略的位置和功能對(duì)整個(gè)防火墻系統(tǒng)的安全至關(guān)重要。如果所需添加的策略與現(xiàn)有策略有沖突，要及時(shí)對(duì)策略進(jìn)行詳細(xì)分析。通過(guò)對(duì)整個(gè)安全策略的分析，最