防火墙在企业网中的应用

问题描述：

5000字左右 谢谢~~！！什么型号的防火墙 怎么运用他！！！！

问题解答：

在IT安全领域，防火墙是一个重要的角色，通常被部署在企业网络和外部互联网中间，来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。然而由于很多人对防火墙接触的很少，加上防火墙种类繁多，常常让一些新手朋友在选择购买防火墙的时候感到困惑，本文笔者将和大家一起简单了解一下在购买防火墙需要明确的一些概念，以及不同类型防火墙的主要优点和缺点。
一、防火墙概念及选购要素

尽管防火墙有很多种分类，我们还是可以给它下一个广泛的定义：一系列相关的安全程序被安装在一个网络入口服务器(或专用设备)上，两者共同筑起一道安全“墙”，共同保护内网资源免遭外网人员攻击。

尽管所有防火墙都运行软件，防火墙市场本身还是被人们划分为两大阵营：硬件防火墙和软件防火墙。硬件防火墙是专门的安全设备，上面预装着安全软件，其操作系统一般是专用操作系统。另一方面，软件防火墙通常可以被安装在任何可用的服务器上，服务器的操作系统一般是通用的网络操作系统，诸如Windows或Linux等。

企业在选择防火墙产品的时候，没有一套完全正确的规则可参考，因为每个企业的实际网络环境不一样，而且每个企业对防火墙功能要求也不同，因此企业通常要立足于需要和自己公司的实际情况来选择合适的防火墙。不过在选购防火墙的时候，还是有一些要考虑的共同问题，如以下问题。

·防火墙的体系架构(硬件还是软件);

·防火墙要求的并发会话(session)数量是多少，并发会话数是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数;

·外部访问的类型和范围要求;

·需要的VPN(虚拟专用网)协议的数量和类型;要求保护的并发VPN的数量;

·喜欢的管理用户界面(命令行、图形或基于网页)，以及是否需要高可用性功能。

防火墙的价格相差很大，用户保护家庭或小企业网络的简单防火墙价格比较低，而用于专门保护企业资源的行业级别的硬件防火墙价格则非常高。

没有两个企业的网络是完全相同的，因此厂商提供了许多不同类型的防火墙实现(包括基于硬件和软件的)，来满足特定客户需要。最基本的实现可以被划分为包过滤、电路层和应用层三类。

二、包过滤防火墙
单纯的包过滤防火墙除了过滤数据包之外什么操作也不做。包过滤防火墙根据预先定义好的规则来决定接受或拒绝IP数据包。通过包过滤，该防火墙仔细的检查每一个数据包的协议和地址信息;数据包的内容不检查。

包过滤防火墙检查每一个传入包，查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后，将这些信息与设立的规则相比较。举个例子来说，如果你设定了规则阻挡外网用户对内网计算机或设备使用telnet，而包的目的端口是23的话，那么该包就会被丢弃。

图1、包过滤防火墙

多个复杂规则的组合也是可行的。如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。

主要优势：

包过滤防火墙相对比较简单，成本较低，部署简单快速。

现在单纯的硬件包过滤防火墙已经比较少，不过多数防火墙中都具有包过滤功能。而一般家用和小企业用的软件防火墙多数属于此类防火墙，Windows早期内置的防火墙就属于包过滤防火墙。另外，对于使用Linux操作系统的朋友来说，也可以配置其自带防火墙实现包过滤功能。

三、链路级防火墙
这类防火墙不是简单的接受或拒绝数据包，它还根据一系列预定义规则来决定一个连接是否合法。如果一切通过验证，防火墙会打开一个会话，并允许指定源地址的数据通过防火墙进入网络内部。这个通信只被允许在限定时间内进行。

图2、链路级防火墙

另外，这个防火墙还可以根据以下对象来执行连接验证，例如源IP地址或源端口，目的IP地址或目的端口，使用的协议，用户ID，密码和时间等等，多数情况下要根据几种条件的组合来进行验证。我们可以看出，包级别的过滤在这种防火墙中也可能发生。

主要优点：

·链路级防火墙通常比应用层防火墙更快，因为它们执行更少的操作;

·通过禁用特定互联网源地址与内部计算机的连接，链路级防火墙可以帮助保护整个网络;

·通过与网络地址解析联合使用，你可以使用链路级防火墙来阻止外部用户访问内部网络IP地址。

主要缺点：

·运行在传输层，因此必须要对传输函数编程进行比较大的修改。这可能影响到网络的性能和运行。

·链路级防火墙需要安装人员和维护人员具有一定的专业知识。

四、应用级防火墙
在这种防火墙实现方式中，防火墙的角色是一个应用程序代理，与远端系统实现所有数据交换。这种防火墙背后的设计思想是让所有服务器藏在防火墙后面，对远端系统不可见。

一个应用层防火墙可以根据特定规则来接受或拒绝通信。举个例子来说，这种防火墙可以允许某些命令被传送到一个服务器上，而拒绝其它命令。这个技术还可以被用来限制访问特定的文件类型，同样也可以为授权和未授权用户提供不同级别的访问级别。

图3、应用级防火墙

对于那些喜欢对网络流量进行详细监控和记录日志的用户来说，可能会比较喜欢应用层防火墙，因为使用应用防火墙实现这些功能非常简单，而且不会进一步影响性能。IT管理员可以设定一个应用层防火墙来实现在预定义事件发生的时候触发报警器和发出提示。应用程序网关一般被部署在一台单独的联网计算机上，人们通常称之为代理服务器。

除了上述三种类型的防火墙外，还有一种状态检查多级防火墙，这类防火墙通常由厂商作为“最佳品牌”解决方案来提供，目的是将前面几种防火墙的优点组合起来。状态防火墙可以执行网络包过滤，同时还可以识别和处理应用层的数据。这类防火墙通常可以提供超强网络保护，但是价格可能比较昂贵。

另外值得注意的是，多数防火墙厂商提供了一系列的辅助功能，来提供那些基本防火墙服务之外的功能。此类的功能包括反病毒保护，内容过滤，入侵防护和网络行为和使用报表。随着网络安全的迅速发展，对于企业来说，购买一个可以轻松升级到更高性能和更多新功能的产品，这是一个不错的观点。

作为企业信息安全保护最基础的硬件，防火墙在企业整体防范体系中占据至关重要的地位。一款反应和处理能力不高的防火墙，不但保护不了企业的信息安全，甚至会成为安全的最大隐患，所以，选择防火墙必须谨慎。

首先，应购买具有品牌优势、质量信得过的产品。厂商的持续开发能力以及升级和维护能力非常重要。要注意检查欲购产品通过了哪些认证，而且在可能的情况下，要向厂商索取测试文档，以便确切了解产品的各项指标，作为产品选型的依据。目前对国内安全产品的认证有四种：中国信息安全产品测评认证中心的认证（针对企业应用）、国家保密局测评认证中心的认证（针对政府涉密网应用）、公安部计算机信息安全产品质量监督检验中心（获得销售许可）以及中国人民解放军信息安全测评认证中心（针对军队使用）。

其次，在性能方面只选适合的，不一定选最高的，除了要考虑产品本身应该安全可靠还要考虑防火墙性能的稳定，并应有良好的扩展性与适应性，方便管理和控制也是必须考虑的。除此之外对防火墙的基本性能，如效率与安全防护能力、网络吞吐量、提供专业代理的数量以及与其他信息安全产品的联动等，也必须好好考虑，原则是在预算范围内，选择最好的。在产品选型时，需要考察该产品能够与哪些厂商的哪些产品实现联动和集成，是否对其他厂商开放应用接口，是否加入开放性的安全联盟。好的防火墙，应该是企业整体网络的保护者，能弥补操作系统的不足，并支持多种平台。

第三，价格并非越贵越好。不同价格的防火墙保证的安全程度也不同。硬件防火墙因为比软件防火墙稳定和效率更高，一般价格也要高一些。而单一的防火墙与整套防火墙解决方案的安全保护能力也不同，价格更相差悬殊。对于有条件的企业来说，最好选择整套企业级的防火墙解决方案。

第四，用户在选择防火墙时，除了考虑性能与价格外，还应考虑厂商提供的售后服务。在购买产品前，不仅要询问厂商是否具备技术支持电话和网上在线支持，是否能对产品的安装、配置及使用予以明确指导，更为重要的是考察厂商的快速响应能力：一旦使用中遇到用户解决不了的问题或故障时，厂商能否及时响应、快速解决问题。

防火墙应用误区

用户在了解了防火墙技术、产品、方案和选购等系列内容后，似乎就等着买回一款产品安装，然后就可以高忱无忧地享用防火墙了。然而，除选购合适的防火墙外，更为重要的是用好防火墙。不少用户在花费大量资金购置防火墙之后，由于缺乏相应技术贮备或对产品功能的了解，并没能充分发挥防火墙的作用。在使用防火墙产品时还存在着误区。

误区一：企业认为一旦采用防火墙，即可高枕无忧。许多公司过度相信防火墙，以至于忽略了网络的一些其他弱点。现今威胁网络安全的因素越来越复杂，来自企业网络内外部的非法入侵超出了防火墙安全的范围。企业的IT管理者在制定、审查安全策略，防止通过网络后门或社会公共网络对系统的攻击时，受到了对防火墙过度信任等因素的困扰。

误区二：企业防火墙的配置没有反映出企业的业务需求。对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险与麻烦。

误区三：许多企业仍在使用老式电路级防火墙，没有仔细分析并抵御那些老式防火墙无法阻止的最新威胁，选择具备最新安全技术的防火墙。

如何有效使用防火墙

防火墙的安全防护功能的发挥需要依赖很多因素，不仅某些病毒和黑客可以通过系统漏洞或者其他手段避开防火墙，内部人员管理控制欠完善也有可能使得防火墙形同虚设。企业必须根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。防火墙只是保证安全的一种技术手段，要想真正实现安全，企业的安全策略是核心问题。

随着信息化程度的不断提高，企业会构建很多应用系统，防火墙应支持尽可能多的应用协议。“安全当头，应用为先”，如果不支持网络应用，再好的安全设施也是没有意义的。

为了提高防火墙的安全性，用户可以将防火墙和其他安全工具相结合，例如和漏洞扫描器与IDS搭配使用。购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持哪些品牌和型号，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。保护网络安全不仅仅需要防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。

安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具，只有保持不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说，要与厂商保持密切的联系，时刻注视厂商的动态，时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁，对它进行升级和维护，及时对防火墙进行更新。

防火墙（Firewall）在网络中是一个逻辑装置，用来保护内部的网络不受来自Internet的侵害。严格意义的防火墙，就是一个或一组系统，用来在两个或多个网络间加强访问控制。它的目的在于把那些不信任的网络隔离在特定的网络之外，但又不影响正常工作。其核心思想就是在不安全的网间网环境中构造一个相对安全的子网环境。

防火墙有很多种分类方法：依据采用的技术的不同，防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙；按照应用对象的不同，防火墙产品可分为企业级防火墙与个人防火墙；根据防御方式的不同，防火墙产品又可分为包过滤型（Packet Filtering）防火墙、应用级网关型（Application Level Gateway）防火墙和代理服务型（Proxy Service）防火墙。

买个华为防火墙

具体说明书作用说明数上有
可以 搜索 华为防火墙

感觉还可以 网络管理很强大

谷歌搜索，防火墙在企业网中的应用