有关防火墙的小论文

硬件防火墙市场调查报告

一、防火墙工作原理

（1）包过滤技术

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内

容，所以可能被黑客所攻破。

（2）应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

（3）状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

（4）复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS 功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

二、硬件防火墙的分类

目前我们将防火墙分为软件防火墙（又称基于通用操作系统的防火墙）、硬件防火墙（又称基于路由器的包过滤防火墙）和标准服务器形式的防火墙（又称基于专用安全操作系统的防火墙）三大类。

一般情况的硬件防火墙都是基于路由器的包过滤防火墙，但是一般情况大家将个别封装好的标准服务器形式防火墙也叫做硬件防火墙。

三、企业级硬件防火墙的特性

（1）安全性

谈到防火墙的安全性就不得提一下防火墙的配置。防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed 方式最简单。Dual-homed Gateway放置在两个网络之间，这个Dual-homed Gateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受黑客攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost 的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为"停火区"(DMZ，即DemilitarizedZone)，Bastionhost放置在"停火区"内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

（2）高效性

好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网

络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。防火墙与代理服务器最大的不同在于防火墙是专门为了保护网络安全而设计的，而一个好的防火墙不但应该具备包括检查、认证、警告、记录的功能，并且能够为使用者可能遇到的困境，事先提出解决方案，如IP不足形成的IP转换的问题，信息加密/解密的问题，大企业要求能够透过Internet集中管理的问题等，这也是选择防火墙时必须考虑的问题。

（3）配置便利性

硬件防火墙系统具有强大的功能，但是其配置安装也较为复杂，需要网管员对原网络配置进行较大的改动。支持透明通信的防火墙在安装时不需要对网络配置做任何改动。目前在市场上，有些防火墙只能在透明方式下或者网关方式下工作，而另外一些防火墙则可以在混合方式下工作。能工作于混合方式的防火墙显然更具方便性。配置方便性还表现为管理方便。用户在选择防火墙时也应该看其是否支持串口终端管理。如果防火墙没有终端管理方式，就不容易确定故障所在。一个好的防火墙产品必须符合用户的实际需要。对于国内用户来说，防火墙最好是具有中文界面，既能支持命令行方式管理，又能支持GUI 和集中式管理。

（4）可靠性

对于防火墙来说，其可靠性直接影响受控网络的可用性，它在重要行业及关键业务系统中的重要作用是显而易见的。提高防火墙的可靠性通常是在设计中采取措施，具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。此外防火墙应对操作系统应提供安全强化功能，最好完全不需要人为操作，就能确实强化操作系统。这项功能通常会暂时停止不必要的服务，并修补操作系统的安全弱点，虽然不是百分之百有效，但起码能防止外界一些不必要的干扰。

（5）可扩展性

对于一个好的防火墙系统而言，它的规模和功能应该能够适应网络规模和安全策略的变化。理想的防火墙系统应该是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。目前的防火墙一般标配三个网络接口，分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口，因为有些防火墙无法扩展。

四、企业级硬件防火墙品牌

（1）思科ASA5520-UC-BUN-K8（报价：24.95万）

Cisco ASA 5505自适应安全设备是一款下一代、全功能的安全设备，适用于小型企业、分支机构和大型企业远程工作人员等环境，在一个模块化的"即插即用"设备中提供了高性能防火墙、IPSec和SSL VPN，以及丰富的网络服务。利用基于Web的集成化思科自适应安全设备管理器，能够迅速部署和轻松管理Cisco ASA 5505，使企业能最大限度地降低运营成本。Cisco ASA 5505配有一个