防火墻分析匯報(bào)以前對(duì)防火墻接觸甚少，所了解也是從系統(tǒng)底層實(shí)現(xiàn)角度看一些分析細(xì)節(jié)，最近因?yàn)楣ぷ餍枰瑢?duì)防火墻發(fā)展、分類、現(xiàn)實(shí)狀況和趨向等方面做了概略了解，也有一些體會(huì)，做個(gè)簡(jiǎn)單總結(jié)。目錄第一部分，防火墻基本概念防火墻分類防火墻附加功效第二部分，防火墻實(shí)現(xiàn)防火墻功效分析防火墻設(shè)計(jì)中一些重點(diǎn)問題防火墻設(shè)計(jì)國(guó)家標(biāo)準(zhǔn)第三部分，分析第四部分，防火墻發(fā)展展望

第五部分：現(xiàn)在流行防火墻

第六部分：三種流行防火墻配置方案分析對(duì)比第七部分：調(diào)研感想第一部分，防火墻基本概念首先說明一些文中大量用到概念：外網(wǎng)（非受信網(wǎng)絡(luò)）：防火墻外網(wǎng)絡(luò)，通常為Internet；內(nèi)網(wǎng)（受信網(wǎng)絡(luò)）：防火墻內(nèi)網(wǎng)絡(luò)；受信主機(jī)和非受信主機(jī)分別對(duì)照內(nèi)網(wǎng)和外網(wǎng)主機(jī)。非軍事化區(qū)（DMZ）：為了配置管理方便，內(nèi)網(wǎng)中需要向外提供服務(wù)服務(wù)器往往放在一個(gè)單獨(dú)網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)。防火墻通常配置三塊網(wǎng)卡，在配置時(shí)通常分別分別連接內(nèi)部網(wǎng)，Internet和DMZ。最近伴隨網(wǎng)絡(luò)安全問題日益嚴(yán)重，網(wǎng)絡(luò)安全產(chǎn)品也被人們重視起來。防火墻作為最早出現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品和使用量最大安全產(chǎn)品，也受到用戶和研發(fā)機(jī)構(gòu)青睞。以往在沒有防火墻時(shí)，局域網(wǎng)內(nèi)部上每個(gè)節(jié)點(diǎn)都暴露給Internet上其它主機(jī)，此時(shí)局域網(wǎng)安全性要由每個(gè)節(jié)點(diǎn)堅(jiān)固程度來決定，而且安全性等同于其中最弱節(jié)點(diǎn)。而防火墻是放置在局域網(wǎng)與外部網(wǎng)絡(luò)之間一個(gè)隔離設(shè)備，它能夠識(shí)別并屏蔽非法請(qǐng)求，有效預(yù)防跨越權(quán)限數(shù)據(jù)訪問。防火墻將局域網(wǎng)安全性統(tǒng)一到它本身，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)全部節(jié)點(diǎn)上，這就簡(jiǎn)化了局域網(wǎng)安全管理。防火墻經(jīng)典功效，僅僅是以下：1．作為一個(gè)中心“遏制點(diǎn)”，將局域網(wǎng)安全管理集中起來；2．屏蔽非法請(qǐng)求，預(yù)防跨權(quán)限訪問（并產(chǎn)生安全報(bào)警）；一．防火墻分類隨即伴隨技術(shù)發(fā)展，防火墻技術(shù)也在不停發(fā)展，到今天，防火墻分類和功效也在不停細(xì)化，但總來說，能夠分為以下兩大類：包過濾防火墻、應(yīng)用級(jí)防火墻。至于和入侵檢測(cè)系統(tǒng)、分布式探測(cè)器融合起來防火墻（系統(tǒng)），不在本匯報(bào)討論范圍，其介紹見第三部分。1．包過濾防火墻又叫網(wǎng)絡(luò)級(jí)防火墻，因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層。它通常是經(jīng)過檢驗(yàn)單個(gè)包地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包經(jīng)過。路由器便是一個(gè)“傳統(tǒng)”網(wǎng)絡(luò)級(jí)防火墻。防火墻能夠提供內(nèi)部信息以說明所經(jīng)過連接狀態(tài)和一些數(shù)據(jù)流內(nèi)容，把判斷信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包經(jīng)過。包過濾防火墻檢驗(yàn)每一條規(guī)則直至發(fā)覺包中信息與某規(guī)則相符。假如沒有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，通常情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，經(jīng)過定義基于TCP或UDP數(shù)據(jù)包端口號(hào)，防火墻能夠判斷是否允許建立特定連接，如Telnet、FTP連接。專門防火墻系統(tǒng)通常在此之上加了功效擴(kuò)展，如狀態(tài)檢測(cè)等。狀態(tài)檢測(cè)又稱動(dòng)態(tài)包過濾，是在傳統(tǒng)包過濾上功效擴(kuò)展，最早由checkpoint提出。傳統(tǒng)包過濾在碰到利用動(dòng)態(tài)端口協(xié)議時(shí)會(huì)發(fā)生困難，如ftp，防火墻事先無法知道哪些端口需要打開，而假如采取原始靜態(tài)包過濾，又希望用到此服務(wù)話，就需要實(shí)現(xiàn)將全部可能用到端口打開，而這往往是個(gè)非常大范圍，會(huì)給安全帶來無須要隱患。而狀態(tài)檢測(cè)經(jīng)過檢驗(yàn)應(yīng)用程序信息（如ftpPORT和PASS命令），來判斷此端口是否允許需要暫時(shí)打開，而當(dāng)傳輸結(jié)束時(shí)，端口又馬上恢復(fù)為關(guān)閉狀態(tài)。網(wǎng)絡(luò)級(jí)防火墻簡(jiǎn)練、速度快、費(fèi)用低，而且對(duì)用戶透明，不過對(duì)網(wǎng)絡(luò)保護(hù)很有限，因?yàn)樗粰z驗(yàn)地址和端口，對(duì)網(wǎng)絡(luò)更高協(xié)議層信息無了解能力。2．應(yīng)用級(jí)防火墻應(yīng)用級(jí)防火墻主要工作在應(yīng)用層。應(yīng)用級(jí)防火墻往往又稱為應(yīng)用級(jí)網(wǎng)關(guān)，它此時(shí)也起到一個(gè)網(wǎng)關(guān)作用。應(yīng)用級(jí)防火墻檢驗(yàn)進(jìn)出數(shù)據(jù)包，經(jīng)過本身（網(wǎng)關(guān)）復(fù)制傳遞數(shù)據(jù)，預(yù)防在受信主機(jī)與非受信主機(jī)間直接建立聯(lián)絡(luò)。應(yīng)用級(jí)防火墻能夠了解應(yīng)用層上協(xié)議，能夠做復(fù)雜一些訪問控制，并做精細(xì)注冊(cè)和審核。其基本工作過程是：當(dāng)客戶機(jī)需要使用服務(wù)器上數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再依照這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。因?yàn)橥獠肯到y(tǒng)與內(nèi)部服務(wù)器之間沒有直接數(shù)據(jù)通道，外部惡意侵害也就極難傷害到內(nèi)網(wǎng)。慣用應(yīng)用級(jí)防火墻已經(jīng)有了對(duì)應(yīng)代理服務(wù)軟件，如HTTP、SMTP、FTP、Telnet、r系列等等，不過對(duì)于新開發(fā)應(yīng)用，尚沒有對(duì)應(yīng)代理服務(wù)，它們將經(jīng)過網(wǎng)絡(luò)級(jí)防火墻和通常代理服務(wù)（如sock代理）。應(yīng)用級(jí)網(wǎng)關(guān)有很好訪問控制，是現(xiàn)在最安全防火墻技術(shù)，但實(shí)現(xiàn)麻煩，而且有應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任網(wǎng)絡(luò)上經(jīng)過防火墻訪問Internet時(shí)，經(jīng)常會(huì)出現(xiàn)延遲和數(shù)次登錄才能訪問外網(wǎng)問題。顯然可知，應(yīng)用級(jí)防火墻每一個(gè)協(xié)議需要對(duì)應(yīng)代理軟件，使用時(shí)工作量大，效率顯著不如網(wǎng)絡(luò)級(jí)防火墻。在現(xiàn)在防火墻分類中，還有“電路級(jí)網(wǎng)關(guān)”、“規(guī)則過濾防火墻”、“監(jiān)測(cè)型防火墻”等等，但自己認(rèn)為這些只是以上兩大種防火墻中某一個(gè)技術(shù)上詳細(xì)實(shí)現(xiàn)時(shí)一個(gè)說法或者是兩種防火墻融合，故不再單獨(dú)討論。如所謂電路級(jí)網(wǎng)關(guān)是用來監(jiān)控受信主機(jī)與非受信主機(jī)間TCP握手信息來決定該會(huì)話（Session）是否正當(dāng)，是從OSI模型角度來稱呼（會(huì)話層），而在TCP/IP模型中，它仍是屬于網(wǎng)絡(luò)層。又如規(guī)則過濾防火墻即前邊討論加入狀態(tài)檢測(cè)功效包過濾防火墻。從趨勢(shì)上看，未來防火墻將位于網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻之間，也就是說，網(wǎng)絡(luò)級(jí)防火墻將變得愈加能夠識(shí)別經(jīng)過信息，而應(yīng)用級(jí)防火墻在現(xiàn)在功效上則向“透明”、“低級(jí)”方面發(fā)展。最終防火墻將成為一個(gè)快速注冊(cè)稽查系統(tǒng)，可保護(hù)數(shù)據(jù)以加密方式經(jīng)過，使全部組織能夠放心地在節(jié)點(diǎn)間傳送數(shù)據(jù)。二．防火墻附加功效因?yàn)榉阑饓λ巸?yōu)越位置（內(nèi)網(wǎng)與外網(wǎng)分界點(diǎn)），它在實(shí)際應(yīng)用中也往往加入一些其余功效如NAT、VPN、路由管理等功效。NAT（NetworkAddressTranslation）即網(wǎng)絡(luò)地址轉(zhuǎn)換。即將內(nèi)網(wǎng)IP地址或者外網(wǎng)IP地址轉(zhuǎn)換，通常分為源地址轉(zhuǎn)換SourceNAT（SNAT）和目標(biāo)地址轉(zhuǎn)換DestinationNAT（DNAT）。常見包偽裝（Masquerading）就是一個(gè)SNAT特例，主要用來將有限IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺問題。端口轉(zhuǎn)發(fā)（Portforwarding）、負(fù)載分擔(dān)、以及透明代理，都屬于DNAT，主要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)。虛擬專用網(wǎng)（VPN）是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)經(jīng)過安全“加密通道”在公共網(wǎng)絡(luò)中傳輸。VPN基本原理是經(jīng)過對(duì)IP包封裝及加密，認(rèn)證等伎倆，從而達(dá)成確保安全目標(biāo)。它往往是在防火墻上附加一個(gè)加密模塊實(shí)現(xiàn)。路由安全管理經(jīng)典實(shí)現(xiàn)可見checkpoint企業(yè)FireWall-1防火墻，它主要指為路由器提供集中管理和訪問列表控制。以上是防火墻一些附加功效，有些（如NAT）已經(jīng)成為大多數(shù)防火墻“標(biāo)準(zhǔn)”配置，但我們必須認(rèn)識(shí)到，這些并非防火墻本身必須實(shí)現(xiàn)功效，這對(duì)我們分析一個(gè)防火墻市場(chǎng)定位，在有限成本下實(shí)現(xiàn)一個(gè)防火墻是很主要。第二部分，防火墻實(shí)現(xiàn)一．防火墻功效分析當(dāng)前防火墻（應(yīng)該）主要實(shí)現(xiàn)以下功效：包過濾包過濾是防火墻所要實(shí)現(xiàn)最基本功效，現(xiàn)在防火墻已經(jīng)由最初地址、端口判定控制，發(fā)展到判斷通信報(bào)文協(xié)議頭各部分，以及通信協(xié)議應(yīng)用層命令、內(nèi)容、用戶認(rèn)證、用戶規(guī)則甚至狀態(tài)檢測(cè)等等。尤其要提到是狀態(tài)監(jiān)測(cè)技術(shù)，通常是加載一個(gè)檢測(cè)模塊，在不影響網(wǎng)絡(luò)正常工作前提下，模塊在網(wǎng)絡(luò)層截取數(shù)據(jù)包，然后在全部通信層上抽取關(guān)于狀態(tài)信息，據(jù)此判斷該通信是否符合安全策略。因?yàn)樗窃诰W(wǎng)絡(luò)層截獲數(shù)據(jù)包，所以它能夠支持多個(gè)協(xié)議和應(yīng)用程序，并能夠很輕易地實(shí)現(xiàn)應(yīng)用擴(kuò)充。現(xiàn)在國(guó)內(nèi)防火墻大多號(hào)稱已實(shí)現(xiàn)了狀態(tài)檢測(cè)技術(shù)，然而據(jù)朋友介紹，這些所謂“狀態(tài)檢測(cè)”防火墻并不是真正狀態(tài)檢測(cè)，因沒有接觸過這類防火墻，沒有太多了解，不能做過多評(píng)論。審計(jì)和報(bào)警機(jī)制在防火墻結(jié)合網(wǎng)絡(luò)配置和安全策略對(duì)相關(guān)數(shù)據(jù)分析完成以后，就要作出接收、拒絕、丟棄或加密等決定（target）。假如某個(gè)訪問違反安全要求，審計(jì)和報(bào)警機(jī)制開始起作用，并作統(tǒng)計(jì)，匯報(bào)等等。審計(jì)是一個(gè)主要安全方法，用以監(jiān)控通信行為和完善安全策略，檢驗(yàn)安全漏洞和錯(cuò)誤配置，并對(duì)入侵者起到一定威懾作用。報(bào)警機(jī)制是在通信違反相關(guān)策略以后，以多個(gè)方式如聲音、郵件、電話、手機(jī)短信息及時(shí)匯報(bào)給管理人員。防火墻審計(jì)和報(bào)警機(jī)制在防火墻體系中是很主要，只有有了審計(jì)和報(bào)警，管理人員才可能知道網(wǎng)絡(luò)是否受到了攻擊。另外，防火墻該功效也有很大發(fā)展空間，如日志過濾、抽取、簡(jiǎn)化等等。日志還能夠進(jìn)行統(tǒng)計(jì)、分析、（按照特征）存放（在數(shù)據(jù)庫中），稍加擴(kuò)展便又是一個(gè)網(wǎng)絡(luò)分析與查詢模塊。日志因?yàn)閿?shù)據(jù)量比較大，主要經(jīng)過兩種方式處理，一個(gè)是將日志掛接在內(nèi)網(wǎng)一臺(tái)專門存放日志日志服務(wù)器上；一個(gè)是將日志直接存放在防火墻本身存放器上。日志單獨(dú)存放這種方式配置較為麻煩，然而能夠存放日志量能夠很大；日志存放在防火墻本身時(shí)，無需做額外配置，然而因?yàn)榉阑饓θ萘客ǔ：苡邢蓿娣湃罩玖客^小。現(xiàn)在這兩種方案國(guó)內(nèi)（包含國(guó)外）都有使用。遠(yuǎn)程管理管理界面通常完成對(duì)防火墻配置、管理和監(jiān)控。管理界面設(shè)計(jì)直接關(guān)系到防火墻易用性和安全性。現(xiàn)在防火墻主要有兩種遠(yuǎn)程管理界面：web界面和GUI界面。對(duì)于硬件防火墻，通常還有串口配置模塊和/或控制臺(tái)控制界面。管理主機(jī)和防火墻之間通信通常經(jīng)過加密。國(guó)內(nèi)比較普遍采取自定義協(xié)議、一次性口令進(jìn)行管理主機(jī)與防火墻之間通信（適用GUI界面）。GUI界面能夠設(shè)計(jì)比較美觀和方便，而且能夠自定義協(xié)議，也為多數(shù)廠商使用。通常使用語言VB、VC，有部分廠家使用Java開發(fā)，并把此作為一個(gè)賣點(diǎn)（所謂跨平臺(tái)）。Web界面也有廠商使用，然而因?yàn)榉阑饓λ砸黾右粋€(gè)CGI解釋部分，降低了防火墻可靠性（GUI界面只需要一個(gè)簡(jiǎn)單后臺(tái)進(jìn)程就能夠），故應(yīng)用不是太廣泛。部分廠家增加了校驗(yàn)功效，即系統(tǒng)會(huì)自動(dòng)識(shí)別用戶配置上錯(cuò)誤，預(yù)防因配置錯(cuò)誤而造成不安全隱患。現(xiàn)在國(guó)內(nèi)大部分防火墻廠商均是在管理界面上做文章，反觀之管理界面當(dāng)然很主要，然而它畢竟不是一個(gè)防火墻全部，一個(gè)系統(tǒng)功效設(shè)計(jì)完善防火墻其管理部分必定輕易設(shè)計(jì)。NAT網(wǎng)絡(luò)地址轉(zhuǎn)換似乎已經(jīng)成了防火墻“標(biāo)配”，絕大多數(shù)防火墻都加入了該功效。現(xiàn)在防火墻通常采取雙向NAT：SNAT和DNAT。SNAT用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，使得對(duì)內(nèi)部攻擊愈加困難；并能夠節(jié)約IP資源，有利于降低成本。DNAT主要實(shí)現(xiàn)用于外網(wǎng)主機(jī)對(duì)內(nèi)網(wǎng)和DMZ區(qū)主機(jī)訪問。5．代理現(xiàn)在代理主要有以下幾個(gè)實(shí)現(xiàn)方式：透明代理（Transparentproxy）透明代理實(shí)質(zhì)上屬于DNAT一個(gè)，它主要指內(nèi)網(wǎng)主機(jī)需要訪問外網(wǎng)主機(jī)時(shí)，不需要做任何設(shè)置，完全意識(shí)不到防火墻存在，而完成內(nèi)外網(wǎng)通信。但其基本原理是防火墻截取內(nèi)網(wǎng)主機(jī)與外網(wǎng)通信，由防火墻本身完成與外網(wǎng)主機(jī)通信，然后把結(jié)果傳回給內(nèi)網(wǎng)主機(jī)，在這個(gè)過程中，不論內(nèi)網(wǎng)主機(jī)還是外網(wǎng)主機(jī)都意識(shí)不到它們其實(shí)是在和防火墻通信。而從外網(wǎng)只能看到防火墻，這就隱藏了內(nèi)網(wǎng)網(wǎng)絡(luò)，提升了安全性。傳統(tǒng)代理傳統(tǒng)代理工作原理與透明代理相同，所不一樣是它需要在客戶端設(shè)置代理服務(wù)器。如前所述，代理能實(shí)現(xiàn)較高安全性，不足之處是響應(yīng)變慢。MAC與IP地址綁定這其實(shí)是一個(gè)可有可無功效。MAC與IP地址綁定起來，主要用于預(yù)防受控（不可訪問外網(wǎng)）內(nèi)部用戶經(jīng)過更換IP地址訪問外網(wǎng)。因?yàn)樗鼘?shí)現(xiàn)起來太簡(jiǎn)單了，內(nèi)部只需要兩個(gè)命令就能夠?qū)崿F(xiàn)，所以絕大多數(shù)防火墻都提供了該功效。流量控制（帶寬管理）和統(tǒng)計(jì)分析、流量計(jì)費(fèi)流量控制能夠分為基于IP地址控制和基于用戶控制。基于IP地址控制是對(duì)經(jīng)過防火墻各個(gè)網(wǎng)絡(luò)接口流量進(jìn)行控制，基于用戶控制是經(jīng)過用戶登錄來控制每個(gè)用戶流量，從而預(yù)防一些應(yīng)用或用戶占用過多資源。而且經(jīng)過流量控制能夠確保主要用戶和主要接口連接。流量統(tǒng)計(jì)是建立在流量控制基礎(chǔ)之上。通常防火墻經(jīng)過對(duì)基于IP、服務(wù)、時(shí)間、協(xié)議等等進(jìn)行統(tǒng)計(jì)，并能夠與管理界面實(shí)現(xiàn)掛接，實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表形式輸出結(jié)果。流量計(jì)費(fèi)從而也是非常輕易實(shí)現(xiàn)。VPNVPN在前邊已經(jīng)介紹過。在以往網(wǎng)絡(luò)安全產(chǎn)品中VPN是作為一個(gè)單獨(dú)一個(gè)產(chǎn)品出現(xiàn)，現(xiàn)在更多廠家把二者捆綁到一起，這似乎表現(xiàn)了一個(gè)產(chǎn)品整合趨勢(shì)。8．URL級(jí)信息過濾這往往是代理模塊一部分，很多廠家把這個(gè)功效單獨(dú)提取出來，作為一個(gè)賣點(diǎn)，不過我們要知道，它實(shí)現(xiàn)起來其實(shí)是和代理結(jié)合在一起。URL過濾用來控制內(nèi)部網(wǎng)絡(luò)對(duì)一些站點(diǎn)訪問，如禁止訪問一些站點(diǎn)、禁止訪問站點(diǎn)下一些目錄、只允許訪問一些站點(diǎn)或者其下目錄等等。其余特殊功效這些功效純粹是為了迎合特殊客戶需要或者為贏得賣點(diǎn)而加上。如有時(shí)用戶要求，如限制同時(shí)上網(wǎng)人數(shù)；限制使用時(shí)間；限制特定使用者才能發(fā)送E-mail；限制FTP只能下載文件不能上傳文件；阻塞Java、ActiveX控件等，這些依需求不一樣而定。有些防火墻愈加入了掃毒功效，通常是與防病毒軟件搭配。二．防火墻設(shè)計(jì)中一些重點(diǎn)問題方案：硬件？還是軟件？從上面討論能夠看出，現(xiàn)在防火墻功效越來越多越花哨，如此多功效必定要求系統(tǒng)有一個(gè)高效處理能力。防火墻從實(shí)現(xiàn)上能夠分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint企業(yè)Firewall-I為代表，其實(shí)現(xiàn)是經(jīng)過dev_add_pack方法加載過濾函數(shù)（Linux，其余操作系統(tǒng)沒有作分析，估量類似），經(jīng)過在操作系統(tǒng)底層做工作來實(shí)現(xiàn)防火墻各種功效和優(yōu)化。國(guó)內(nèi)也有一些所謂軟件防火墻，但據(jù)了解大多是所謂“個(gè)人”防火墻，而且功效及其有限，故不在此討論范圍。在國(guó)內(nèi)現(xiàn)在已經(jīng)過公安部檢驗(yàn)防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一個(gè)是從硬件到軟件都單獨(dú)設(shè)計(jì)，經(jīng)典如Netscreen防火墻不但軟件部分單獨(dú)設(shè)計(jì)，硬件部分也采取專門ASIC集成電路。另外一個(gè)就是基于PC架構(gòu)使用經(jīng)過定制通用操作系統(tǒng)所謂硬件防火墻。現(xiàn)在國(guó)內(nèi)絕大多數(shù)防火墻都屬于這種類型。即使都號(hào)稱硬件防火墻，國(guó)內(nèi)廠家和國(guó)外廠家還是存在著巨大區(qū)分。硬件防火墻需要在硬件和軟件兩方面同時(shí)下功夫，國(guó)外廠家通常做法是軟件運(yùn)算硬件化，其所設(shè)計(jì)或選取運(yùn)行平臺(tái)本身性能可能并不高，但它將主要運(yùn)算程序（查表運(yùn)算是防火墻主要工作）做成芯片，以降低主機(jī)CPU運(yùn)算壓力。國(guó)內(nèi)廠家防火墻硬件平臺(tái)基本上采取通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是能夠節(jié)約硬件開發(fā)成本），在提升硬件性能方面所能做工作僅僅是提升系統(tǒng)CPU處理能力，增大內(nèi)存容量而已。現(xiàn)在國(guó)內(nèi)防火墻一個(gè)經(jīng)典結(jié)構(gòu)就是：工業(yè)主板+x86+128（256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增加一個(gè)日志服務(wù)器）+百兆網(wǎng)卡這么一個(gè)工業(yè)PC結(jié)構(gòu)。在軟件性能方面，國(guó)內(nèi)外廠家差異就更大了，國(guó)外（一些著名）廠家均是采取專用操作系統(tǒng)，自行設(shè)計(jì)防火墻。而國(guó)內(nèi)全部廠家操作系統(tǒng)系統(tǒng)都是基于通用Linux，無一例外。各廠家區(qū)分僅僅在于對(duì)Linux系統(tǒng)本身和防火墻部分（2.2內(nèi)核為ipchains，2.4以后內(nèi)核為netfilter）所作改動(dòng)量有多大。實(shí)際上，Linux只是一個(gè)通用操作系統(tǒng)，它并沒有針對(duì)防火墻功效做什么優(yōu)化，而且其處理大數(shù)據(jù)量通信方面能力一直并不突出，甚至比較低下（這也是Linux一直只是低端服務(wù)器寵兒主要原因，我自己認(rèn)為，在這一點(diǎn)上它還不如BSD系列，聽說國(guó)外有用BSD做防火墻，國(guó)內(nèi)還未見到）。現(xiàn)在絕大部分廠家，甚至包含號(hào)稱國(guó)內(nèi)最大天融信，在軟件方面所作工作無非也就是系統(tǒng)有針對(duì)性淘汰、防火墻部分代碼少許改動(dòng)（絕大部分還是沒有什么改動(dòng)）和少許系統(tǒng)補(bǔ)丁。而且我們?cè)诜治龈鲝S家產(chǎn)品時(shí)能夠注意這一點(diǎn)，假如哪個(gè)廠家對(duì)系統(tǒng)本身做了什么大改動(dòng)，它必定會(huì)把這個(gè)視為一個(gè)主要賣點(diǎn)，大吹特吹，遺憾是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個(gè)類似于checkpoint功效：開放式安全應(yīng)用接口TOPSEC，但它到底做了多少工作，還需要去仔細(xì)了解）。現(xiàn)在國(guó)內(nèi)廠家也已經(jīng)認(rèn)識(shí)到這個(gè)問題，有些在做一些底層工作，但有顯著成效，似乎還沒有。在此我們僅針對(duì)以Linux（或其余通用操作系統(tǒng)）為基礎(chǔ)、以PC架構(gòu)為硬件載體防火墻做討論，以下如不尤其提出，均同。內(nèi)核和防火墻設(shè)計(jì)現(xiàn)在有一個(gè)商業(yè)賣點(diǎn)，即所謂“建立在安全操作系統(tǒng)之上第四代防火墻”（關(guān)于防火墻分代問題，現(xiàn)在有很多討論，比較一致是把包過濾防火墻稱為第一代防火墻，把應(yīng)用型防火墻（通常結(jié)合了包過濾功效，所以也成為混合型防火墻）稱為第二代防火墻，有些廠家把增加了檢測(cè)通信信息、狀態(tài)檢測(cè)和應(yīng)用監(jiān)測(cè)防火墻稱為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采取安全操作系統(tǒng)防火墻，并把這個(gè)稱為第四代防火墻）。所謂安全操作系統(tǒng)，其實(shí)大多用還是Linux，所不一樣是需要做一些內(nèi)核加固和簡(jiǎn)單改造工作，主要有以下：取消危險(xiǎn)系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動(dòng)（如加載一些llkm）；限制命令執(zhí)行權(quán)限；取消IP轉(zhuǎn)發(fā)功效；檢驗(yàn)每個(gè)分組接口；采取隨機(jī)連接序號(hào)；駐留分組過濾模塊；取消動(dòng)態(tài)路由功效；采取多個(gè)安全內(nèi)核（這個(gè)只見有些人提出，但未見到實(shí)例，對(duì)此不是很清楚）。以上很多工作，其實(shí)基本上都沒有對(duì)內(nèi)核源碼做太大改動(dòng)，所以從個(gè)人角度來看算不上能夠太夸大地方。對(duì)于防火墻部分，國(guó)內(nèi)大部分已經(jīng)升級(jí)到2.4內(nèi)核所支持filter已經(jīng)是一個(gè)功效比較完善防火墻框架，它已經(jīng)支持基于狀態(tài)監(jiān)測(cè)（經(jīng)過connectiontrack模塊實(shí)現(xiàn)）。而且netfilter是一個(gè)設(shè)計(jì)很合理框架，能夠在適當(dāng)位置上登記一些需要處理函數(shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)，如在NF_IP_FORWARD點(diǎn)上登記了裝發(fā)包過濾功效（包過濾等功效便是由這些正式登記函數(shù)實(shí)現(xiàn)）。我們也能夠登記自己處理函數(shù)，在功效上作擴(kuò)展（如加入簡(jiǎn)單IDS功效等等）。這一點(diǎn)是國(guó)內(nèi)廠家能夠做文章地方，至于netfilter源碼修改，對(duì)國(guó)內(nèi)廠家來說似乎不太現(xiàn)實(shí)。至于采取其它防火墻模型，現(xiàn)在還沒有看到（可能是netfilter已經(jīng)設(shè)計(jì)很成功，不需要我們?cè)偃プ鎏喙ぷ鳎?．自我保護(hù)能力（安全性）因?yàn)榉阑饓μ厥夤πШ吞厥馕恢茫匀皇潜姸喙粽吣繕?biāo)，所以它自我包含能力在設(shè)計(jì)過程中應(yīng)該放在首要位置。A．管理上安全性防火墻需要一個(gè)管理界面，而管理過程怎樣設(shè)計(jì)更安全，是一個(gè)很主要問題。現(xiàn)在有兩種方案。設(shè)置專門服務(wù)端口為了降低管理上風(fēng)險(xiǎn)和降低設(shè)計(jì)上難度，有一些防火墻（如東方龍馬）在防火墻上專門添加了一個(gè)服務(wù)端口，這個(gè)端口只是用來和管理主機(jī)連接。除了專用服務(wù)口外，防火墻不接收來自任何其它端口直接訪問。這么做顯著特點(diǎn)就是降低了設(shè)計(jì)上難度，因?yàn)楣芾硗ㄐ攀菃为?dú)通道，不論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無法竊聽到該通信，安全性顯然很高，而且設(shè)計(jì)時(shí)也無需考慮通信過程加密問題。然而這么做，我們需要單獨(dú)設(shè)置一臺(tái)管理主機(jī)，顯然太過浪費(fèi)，而且這么管理起來靈活性也不好。通信過程加密這么無需一個(gè)專門端口，內(nèi)網(wǎng)任意一臺(tái)主機(jī)都能夠在適當(dāng)情況下成為管理主機(jī)，管理主機(jī)和防火墻之間采取加密方式通信。現(xiàn)在國(guó)內(nèi)有采取是使用自定義協(xié)議、一次性口令認(rèn)證。對(duì)加密這個(gè)領(lǐng)域了解不多，不做詳細(xì)討論。B．對(duì)來自外部（和內(nèi)部）攻擊反應(yīng)能力現(xiàn)在常見來自外部攻擊方式主要有：DOS（DDOS）攻擊（分布式）拒絕服務(wù)攻擊是現(xiàn)在一個(gè)很普遍攻擊方式，在預(yù)防上也是非常困難。現(xiàn)在防火墻對(duì)于這種攻擊似乎沒有太多處理方法，主要是提升防火墻本身健壯性（如增加緩沖區(qū)大小）。在Linux內(nèi)核中有一個(gè)預(yù)防Synflooding攻擊選項(xiàng)：CONFIG_SYN_COOKIES，它是經(jīng)過為每一個(gè)Syn建立一個(gè)緩沖（cookie）來分辨可信請(qǐng)求和不可信請(qǐng)求。另外對(duì)于ICMP攻擊，能夠經(jīng)過關(guān)閉ICMP回應(yīng)來實(shí)現(xiàn)。IP假冒（IPspoofing）IP假冒是指一個(gè)非法主機(jī)假冒內(nèi)部主機(jī)地址，騙取服務(wù)器“信任”，從而達(dá)成對(duì)網(wǎng)絡(luò)攻擊目標(biāo)。第一，防火墻設(shè)計(jì)上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外IP地址分配，從而丟棄全部來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址數(shù)據(jù)包。實(shí)際實(shí)現(xiàn)起來非常簡(jiǎn)單，只要在內(nèi)核中打開rp_filter功效即可。第二，防火墻將內(nèi)網(wǎng)實(shí)際地址隱蔽起來，外網(wǎng)極難知道內(nèi)部IP地址，攻擊難度加大。IP假冒主要來自外部，對(duì)內(nèi)網(wǎng)無需考慮此問題（其實(shí)同時(shí)內(nèi)網(wǎng)IP假冒情況也能夠得到遏制）。特洛伊木馬防火墻本身預(yù)防木馬比較簡(jiǎn)單，只要不讓系統(tǒng)不能執(zhí)行下載程序即可。一個(gè)需要說明地方是必須指出是，防火墻能抗特洛伊木馬攻擊并不意味著內(nèi)網(wǎng)主機(jī)也能預(yù)防木馬攻擊。實(shí)際上，內(nèi)網(wǎng)主機(jī)可能會(huì)透過防火墻下載執(zhí)行攜帶木馬程序而感染。內(nèi)網(wǎng)主機(jī)在預(yù)防木馬方面安全性依然需要主機(jī)自己處理（防火墻只能在內(nèi)網(wǎng)主機(jī)感染木馬以后起一定防范作用）。口令字攻擊口令字攻擊既可能來自外部，也可能來自內(nèi)部，主要是來自內(nèi)部。（在管理主機(jī)與防火墻經(jīng)過單獨(dú)接口通信情況下，口令字攻擊是不存在）來自外部攻擊即用窮舉方法猜測(cè)防火墻管理口令字，這個(gè)很輕易處理，只要不把管理部分提供給外部接口即可。內(nèi)部口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測(cè)網(wǎng)絡(luò)截獲管理主機(jī)給防火墻口令字，假如口令字已加密，則解密得到口令字。現(xiàn)在通常采取一次性口令和禁止直接登錄防火墻方法來預(yù)防對(duì)口令字攻擊。郵件詐騙郵件詐騙是現(xiàn)在越來越突出攻擊方式。防火墻本身預(yù)防郵件詐騙非常簡(jiǎn)單，不接收任何郵件就能夠了。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機(jī)仍可收發(fā)郵件，郵件詐騙危險(xiǎn)依然存在，其處理方法一個(gè)是內(nèi)網(wǎng)主機(jī)本身采取方法預(yù)防郵件詐騙，另一個(gè)是在防火墻上做過濾。反抗防火墻（anti-firewall）現(xiàn)在一個(gè)網(wǎng)絡(luò)安全中一個(gè)研究熱點(diǎn)就是反抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。一個(gè)是分析防火墻功效和探測(cè)防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，經(jīng)典如Firewalk。另外有一些其余網(wǎng)絡(luò)安全性分析工具本身具備雙刃性，這類工具用于攻擊網(wǎng)絡(luò)，也可能會(huì)很有效探測(cè)到防火墻和內(nèi)部網(wǎng)絡(luò)安全缺點(diǎn)，經(jīng)典如SATAN和ISS企業(yè)InternetSecurityScanner。現(xiàn)在對(duì)于這種探測(cè)（攻擊）伎倆，尚無有效預(yù)防方法，因?yàn)榉阑饓Ρ旧硎且粋€(gè)被動(dòng)?xùn)|西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提升本身安全性來反抗這些攻擊。C．透明代理采取應(yīng)用代理防火墻通常是經(jīng)過設(shè)置不一樣用戶訪問權(quán)限來實(shí)現(xiàn)，這么就需要有用戶認(rèn)證體系。以前防火墻在訪問方式上主要是要求用戶登錄進(jìn)系統(tǒng)（假如采取sock代理方式則需要修改客戶應(yīng)用）。透明代理采取，能夠降低系統(tǒng)登錄固有安全風(fēng)險(xiǎn)和犯錯(cuò)概率，從而提升了防火墻安全性。4．透明性防火墻透明性指防火墻對(duì)于用戶是透明，在防火墻接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻存在。防火墻作為一個(gè)實(shí)際存在物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對(duì)網(wǎng)絡(luò)有任何影響，就必須以網(wǎng)橋方式置入網(wǎng)絡(luò)。傳統(tǒng)方式下，防火墻安裝時(shí)，更象是一臺(tái)路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包含主機(jī)和路由器）設(shè)置（IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。但假如防火墻采取了透明模式，即采取類似網(wǎng)橋方式運(yùn)行，用戶將無須重新設(shè)定和修改路由，也不需要知道防火墻位置，防火墻就能夠直接安裝和放置到網(wǎng)絡(luò)中使用。透明模式最大好處于于現(xiàn)有網(wǎng)絡(luò)無需做任何改動(dòng)，這就方便了很多客戶，再者，從透明模式轉(zhuǎn)換到非透明模式又很輕易，適用性顯然較廣。當(dāng)然，此時(shí)防火墻僅僅起到一個(gè)防火墻作用，其余網(wǎng)關(guān)位置功效如NAT、VPN功效不再適用，當(dāng)然，其余功效如透明代理還能夠繼續(xù)使用。現(xiàn)在透明模式實(shí)現(xiàn)上可采取ARP代理和路由技術(shù)實(shí)現(xiàn)。此時(shí)防火墻相當(dāng)于一個(gè)ARP代理功效。內(nèi)網(wǎng)（能夠仍含有路由器或子網(wǎng)，依次類推）、防火墻、路由器位置大致以下：內(nèi)網(wǎng)―――――防火墻―――――路由器（需要說明是，這種方式是絕大多數(shù)校園網(wǎng)級(jí)網(wǎng)絡(luò)實(shí)現(xiàn)方式）內(nèi)網(wǎng)主機(jī)要想實(shí)現(xiàn)透明訪問，必須能夠透明傳送內(nèi)網(wǎng)和路由器之間ARP包，而此時(shí)因?yàn)閷?shí)際上內(nèi)網(wǎng)和路由器之間無法連通，防火墻就必須配置成一個(gè)ARP代理（ARPProxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞ARP包。防火墻所要做就是當(dāng)路由器發(fā)送ARP廣播包問詢內(nèi)網(wǎng)內(nèi)某一主機(jī)硬件地址時(shí)，防火墻用和路由器相連接口MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機(jī)發(fā)送ARP廣播包問詢路由器硬件地址時(shí)，防火墻用和內(nèi)網(wǎng)相連接口MAC地址回送ARP包，所以路由器和內(nèi)網(wǎng)主機(jī)都認(rèn)為將數(shù)據(jù)包發(fā)給了對(duì)方，而實(shí)際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。顯然，此時(shí)防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間數(shù)據(jù)包能夠透明轉(zhuǎn)發(fā)。另外，防火墻要起到防火墻作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時(shí)實(shí)現(xiàn)應(yīng)用層代理、過濾等功效），此時(shí)需要端口轉(zhuǎn)發(fā)來實(shí)現(xiàn)（？這個(gè)地方不是十分清楚，也沒找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上最大區(qū)分就是：透明模式兩塊網(wǎng)卡（與路由器相連和與內(nèi)網(wǎng)相連）在一個(gè)網(wǎng)段（也和子網(wǎng)在同一個(gè)網(wǎng)段）；而非透明模式兩塊網(wǎng)卡分別屬于兩個(gè)網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是正當(dāng)?shù)刂罚＿@個(gè)過程以下：1.用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)透明連接（網(wǎng)絡(luò)層）2.用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）3.用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）前邊我們討論過透明代理，和這里所說防火墻透明模式是兩個(gè)概念。透明代理主要是為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)能夠透明訪問外網(wǎng)，而無需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址情況下依然能夠使用透明代理，此時(shí)防火墻既起到網(wǎng)關(guān)作用又起到代理服務(wù)器作用（顯然此時(shí)不是透明模式）。需要澄清一點(diǎn)是，內(nèi)外網(wǎng)地址轉(zhuǎn)換（即NAT，透明代理也是一個(gè)特殊地址轉(zhuǎn)換）和透明模式之間并沒有必定聯(lián)絡(luò)。透明模式下防火墻能實(shí)現(xiàn)透明代理，非透明模式下防火墻（此時(shí)它必定又是一個(gè)網(wǎng)關(guān)）也能實(shí)現(xiàn)透明代理。它們共同點(diǎn)在于能夠簡(jiǎn)化內(nèi)網(wǎng)客戶設(shè)置而已。現(xiàn)在國(guó)內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式并不多。這些防火墻能夠很顯著從其廣告中看出來：假如哪個(gè)防火墻實(shí)現(xiàn)了透明模式，它廣告中必定會(huì)和透明代理區(qū)分開而大書特書。可靠性防火墻系統(tǒng)處于網(wǎng)絡(luò)關(guān)鍵部位，其可靠性顯然非常主要。一個(gè)故障頻頻、可靠性很差產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個(gè)內(nèi)網(wǎng)主機(jī)都將根本無法訪問外網(wǎng)，這甚至比路由器故障（路由器拓?fù)浣Y(jié)構(gòu)通常都是冗余設(shè)計(jì)）更讓人無法承受。防火墻可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。國(guó)外成熟廠商防火墻產(chǎn)品硬件方面可靠性通常較高，采取專門硬件架構(gòu)且無須多說，采取PC架構(gòu)其硬件也多是專門設(shè)計(jì)，系統(tǒng)各個(gè)部分從網(wǎng)絡(luò)接口到存放設(shè)備（通常為電子硬盤）集成在一起（一塊板子），這么自然提升了產(chǎn)品可靠性。國(guó)內(nèi)則顯著參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采取現(xiàn)成網(wǎng)卡，DOC/DOM作為存放設(shè)備。工業(yè)PC即使可靠性比普通PC要高不少，不過畢竟其依然是拼湊式，設(shè)備各部分分立，從可靠性角度看顯然不如集成（著名水桶原理）。國(guó)內(nèi)已經(jīng)有部分廠家意識(shí)到了這個(gè)問題，開始自行設(shè)計(jì)硬件。但大多數(shù)廠家還是從成本角度考慮使用通用PC架構(gòu)。另外首先，軟件可靠性提升也是防火墻優(yōu)劣主要差異所在。而國(guó)內(nèi)整個(gè)軟件行業(yè)可靠性體系還沒有成熟，軟件可靠性測(cè)試大多處于極其初級(jí)水平（可靠性測(cè)試和bug測(cè)試完全是兩個(gè)概念）。首先是可靠性體系建立不起來，首先是為了迎適用戶需求和跟隨網(wǎng)絡(luò)應(yīng)用不停發(fā)展，多數(shù)防火墻廠商一直處于不停擴(kuò)充和修改中，其可靠性更不能讓人恭維。總來說，如同國(guó)內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品尤其是防火墻可靠性似乎還沒有引發(fā)人們重視。市場(chǎng)定位市場(chǎng)上防火墻售價(jià)極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。因?yàn)橛脩魯?shù)量不一樣，用戶安全要求不一樣，功效要求不一樣，所以防火墻價(jià)格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不一樣用戶要求。總說來，防火墻是以用戶數(shù)量作為大分界限。如checkpoint一個(gè)報(bào)價(jià)：CheckPointFirewall-14.125user19000.00CheckPointFirewall-14.150user31000.00CheckPointFirewall-14.1100user51000.00CheckPointFirewall-14.1250user64000.00CheckPointFirewall-14.1無限用戶131000.00從用戶量上防火墻能夠分為：10－25用戶：這個(gè)區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻通常為10M（針對(duì)硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功效：包過濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測(cè)、管理、實(shí)時(shí)報(bào)警、日志。通常另有可選功效：VPN、帶寬管理等等。這個(gè)區(qū)間防火墻報(bào)價(jià)通常在萬元以上2萬元以下（沒有VPN和帶寬管理價(jià)格更低）。據(jù)調(diào)查，這個(gè)區(qū)間防火墻反而種類不多，可能是國(guó)內(nèi)廠商不屑于這個(gè)市場(chǎng)緣故？25－100用戶這個(gè)區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開始升級(jí)到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管理往往成為標(biāo)準(zhǔn)模塊。這個(gè)區(qū)間防火墻報(bào)價(jià)從3萬到15萬不等，依照功效價(jià)格有較大區(qū)分。相對(duì)來說，這個(gè)區(qū)間上硬件防火墻價(jià)格顯著高于軟件防火墻。現(xiàn)在國(guó)內(nèi)防火墻絕大部分集中在這個(gè)區(qū)間中。100－數(shù)百用戶這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，主要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個(gè)區(qū)間防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身健壯性。而且開始支持雙機(jī)熱備份。這個(gè)區(qū)間防火墻報(bào)價(jià)通常在20萬以上。這么中高端防火墻國(guó)內(nèi)較少，有也是25－100用戶升級(jí)版，其可用性令人懷疑。數(shù)百用戶以上這個(gè)區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價(jià)格也很高端，從數(shù)十萬到數(shù)百萬不等。總來說，防火墻價(jià)格和用戶數(shù)量、功效模塊親密相關(guān)，在用戶數(shù)量相同情況下，功效越多，價(jià)格就越貴。如Netscreen百兆防火墻：NetScreen-100f(ACPower)

-帶防火墻+流量控制等功效,交流電源,沒有VPN功效報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功效報(bào)價(jià)則高出5萬元：￥317,500研發(fā)費(fèi)用如同其余網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻研發(fā)費(fèi)用也是很高。防火墻因?yàn)榧夹g(shù)含量較高，人員技術(shù)貯備要求較高，防火墻關(guān)鍵部分研發(fā)必須要對(duì)操作系統(tǒng)有相當(dāng)熟悉，所需為UNIX系統(tǒng)下開發(fā)人員，而現(xiàn)在國(guó)內(nèi)真正能拿出手UNIX程序員數(shù)量還是太少（遠(yuǎn)遠(yuǎn)少于Windows平臺(tái)下開發(fā)人員），人員成本很高。總來說，防火墻研發(fā)是一個(gè)大項(xiàng)目，而且其前期定位一定要準(zhǔn)確，該做什么、不該做什么，哪些功效得實(shí)現(xiàn)，哪些功效無須實(shí)現(xiàn)、哪些功效能夠在后期實(shí)現(xiàn)，一定要清楚，不然費(fèi)用會(huì)遠(yuǎn)遠(yuǎn)超出預(yù)計(jì)。下邊對(duì)一個(gè)中小型企業(yè)級(jí)防火墻研發(fā)費(fèi)用作個(gè)簡(jiǎn)單估量。研發(fā)時(shí)，防火墻能夠細(xì)分為（當(dāng)然在詳細(xì)操作時(shí)往往需要再詳細(xì)劃分）：內(nèi)核模塊防火墻模塊（含狀態(tài)檢測(cè)模塊）NAT模塊帶寬管理模塊通信協(xié)議模塊管理模塊圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實(shí)質(zhì)屬于NAT模塊）透明模式模塊（包含ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應(yīng)用代理模塊（包含URL過濾模塊）VPN模塊流量統(tǒng)計(jì)與計(jì)費(fèi)模塊審計(jì)模塊其余模塊（如MAC、IP地址綁定模塊、簡(jiǎn)單IDS、自我保護(hù)等等）上邊把防火墻劃分為12個(gè)模塊，其中每一個(gè)模塊都有相當(dāng)工作量要做，除了彈性較大內(nèi)核模塊和防火墻模塊（它們工作量可能異常大，視設(shè)計(jì)目標(biāo)不一樣），其余模塊暫定10人周話就需要120周（VPN工作量也相當(dāng)大），兩個(gè)主模塊各按20人周計(jì)算，防火墻實(shí)現(xiàn)總共需要150人周。加上前期10－15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測(cè)試，前后總共需要約210人周。按每人周1200元開發(fā)費(fèi)用（折合工資5000月，但因?yàn)橛羞\(yùn)行費(fèi)用、保險(xiǎn)等費(fèi)用攤分，個(gè)人工資應(yīng)遠(yuǎn)低于這個(gè)數(shù)字），開發(fā)費(fèi)用約需25萬。顯然，這個(gè)數(shù)字只是一個(gè)局外人估量下限，實(shí)際研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。可升級(jí)能力（適用性）和靈活性對(duì)用戶來說，防火墻作為大成本投入商品，勢(shì)必要考慮到可升級(jí)性問題，假如防火墻不能升級(jí)，那它可用性和可選擇余地勢(shì)必要大打折扣。現(xiàn)在國(guó)內(nèi)防火墻通常都是軟件可升級(jí)，這是因?yàn)榇蠖鄶?shù)防火墻采取電子硬盤（少數(shù)采取磁盤），實(shí)現(xiàn)升級(jí)功效只要很小工作量要做。但到底升級(jí)些什么內(nèi)容？升級(jí)周期多長(zhǎng)一次？這就包括到一個(gè)靈活性問題。防火墻靈活性主要表現(xiàn)在以下幾點(diǎn)：易于升級(jí)支持大量協(xié)議易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來）功效可擴(kuò)展這里對(duì)功效可擴(kuò)展做一簡(jiǎn)單討論。通常情況下，防火墻在設(shè)計(jì)完成以后，其過濾規(guī)則都是定死，用戶可定制余地很小。尤其如URL過濾規(guī)則（對(duì)支持URL過濾防火墻而言），當(dāng)前網(wǎng)絡(luò)中漏洞是不停發(fā)覺，如最近很猖獗codered攻擊就是Windows機(jī)器IIS服務(wù)器ida漏洞，而我們假如能夠及時(shí)定義過濾規(guī)則，對(duì)于“GET/default.ida”請(qǐng)求及時(shí)過濾，那么內(nèi)網(wǎng)主機(jī)（此時(shí)通常為DMZ內(nèi)主機(jī)）安全性就會(huì)高很多，內(nèi)網(wǎng)管理人員也無須時(shí)時(shí)親密關(guān)注網(wǎng)絡(luò)漏洞（這是個(gè)工作量很大，既花費(fèi)體力又輕易出現(xiàn)遺漏工作）。這么大部分工作留給防火墻廠家來做（對(duì)應(yīng)需要有一個(gè)漏洞監(jiān)測(cè)體系），用戶必定會(huì)滿意很多。另外，靈活性一開始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)很完美，它需要和用戶詳細(xì)實(shí)踐相配合。另外靈活性也是和詳細(xì)環(huán)境親密結(jié)合，往往需要在不一樣用戶環(huán)境里考慮。三．防火墻設(shè)計(jì)國(guó)家標(biāo)準(zhǔn)在我國(guó)，防火墻作為一個(gè)信息安全產(chǎn)品，其進(jìn)入市場(chǎng)并不是隨意，有相關(guān)國(guó)家標(biāo)準(zhǔn)，也有對(duì)應(yīng)認(rèn)證中心。在我國(guó)1994年2月18日公布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中要求：國(guó)家對(duì)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售實(shí)施許可證制度。詳細(xì)方法由公安部會(huì)同關(guān)于部門制訂。（第十二章第16條要求）隨即公安部1997年頒布了《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理方法》要求：第三條中華人民共和國(guó)境內(nèi)安全專用產(chǎn)品進(jìn)入市場(chǎng)銷售,實(shí)施銷售許可證制度。安全專用產(chǎn)品生產(chǎn)者在其產(chǎn)品進(jìn)入市場(chǎng)銷售之前,必須申領(lǐng)《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》（以下簡(jiǎn)稱銷售許可證）。第四條安全專用產(chǎn)品生產(chǎn)者申領(lǐng)銷售許可證,必須對(duì)其產(chǎn)品進(jìn)行安全功效檢測(cè)和認(rèn)定。第五條公安部計(jì)算機(jī)管理監(jiān)察部門負(fù)責(zé)銷售許可證審批頒發(fā)工作和安全專用產(chǎn)品安全功效檢測(cè)機(jī)構(gòu)（以下簡(jiǎn)稱檢測(cè)機(jī)構(gòu)）審批工作。第十七條已取得銷售許可證安全專用產(chǎn)品,生產(chǎn)者應(yīng)該在固定位置標(biāo)明“銷售許可”標(biāo)識(shí)。任何單位和個(gè)人不得銷售無“銷售許可”標(biāo)識(shí)安全專用產(chǎn)品。國(guó)家于1999年經(jīng)過了關(guān)于放火墻相關(guān)國(guó)家標(biāo)準(zhǔn)：GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器安全技術(shù)要求GB/T18018-1999路由器安全技術(shù)要求GB/T18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求公安部專門成立了一個(gè)機(jī)構(gòu)：公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心（位于上海）來完成相關(guān)安全產(chǎn)品檢驗(yàn)工作。而且從9月起執(zhí)行上面三個(gè)新國(guó)家標(biāo)準(zhǔn)。這個(gè)檢測(cè)是強(qiáng)制，必須經(jīng)過這個(gè)檢測(cè)，才能夠進(jìn)入市場(chǎng)。另外又有中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心測(cè)評(píng)，據(jù)稱這個(gè)機(jī)構(gòu)認(rèn)證：“中華人民共和國(guó)國(guó)家信息安全認(rèn)證”是國(guó)家對(duì)信息安全技術(shù)、產(chǎn)品或系統(tǒng)安全質(zhì)量最高認(rèn)可。現(xiàn)在看到一些國(guó)內(nèi)大防火墻廠商防火墻產(chǎn)品都經(jīng)過了這個(gè)認(rèn)證。但它不是強(qiáng)制認(rèn)證（如著名checkpoint就沒有這個(gè)認(rèn)證）。假如想進(jìn)入國(guó)防行業(yè)，還要經(jīng)過中國(guó)人民解放軍信息安全測(cè)評(píng)認(rèn)證中心“軍用信息安全產(chǎn)品認(rèn)證證書”，拿到解放軍總參謀部“國(guó)防通信網(wǎng)設(shè)備器材進(jìn)網(wǎng)許可證”。另外還有國(guó)家保密局推薦等等，這些純粹就是部門瞎搞了。其余還有國(guó)外認(rèn)證如美國(guó)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)（ICSA）認(rèn)證和歐洲ITSECE3認(rèn)證等。第三部分，分析在前面討論了防火墻實(shí)現(xiàn)上一些問題，從當(dāng)前市場(chǎng)能夠看出，防火墻行業(yè)競(jìng)爭(zhēng)已經(jīng)非常激烈，且大多（對(duì)國(guó)內(nèi)廠商來說）集中在中小型企業(yè)網(wǎng)用戶這個(gè)有限用戶群。而且不停有廠家涌入這個(gè)市場(chǎng)。從97年公安部監(jiān)測(cè)中心建立起來以后，我們能夠從每年經(jīng)過認(rèn)證產(chǎn)品數(shù)量能夠看出：其中標(biāo)稱防火墻（不包含所謂產(chǎn)品總數(shù)安全產(chǎn)品其實(shí)起到防火墻功效）98年15499年1032821948129種（至8月）33從數(shù)字能夠看出，從98年到，網(wǎng)絡(luò)安全產(chǎn)品每年在不停快速增加，防火墻也在不停增加，且防火墻占網(wǎng)絡(luò)安全產(chǎn)品總數(shù)均略超出1/4。國(guó)內(nèi)市場(chǎng)上防火墻種類現(xiàn)在已經(jīng)超出100種（這些不包含沒有經(jīng)過檢測(cè)私自出售產(chǎn)品）。從對(duì)以上這一百多個(gè)防火墻大部分（有一部分資料無法取得）分析以后，發(fā)覺一個(gè)很奇怪現(xiàn)象，沒有多少防火墻針對(duì)辦公室級(jí)市場(chǎng)。如netscreen干脆就沒有把針對(duì)這個(gè)市場(chǎng)netscreen5送檢。第四部分，防火墻發(fā)展展望以下是一些防火墻技術(shù)展望。1．多級(jí)過濾技術(shù)所謂多級(jí)過濾技術(shù)，是指防火墻通常采取多級(jí)過濾方法，并輔以判別伎倆。在分組過濾（網(wǎng)絡(luò)層）一級(jí)，過濾掉全部源路由分組和假冒IP源地址；在傳輸層一級(jí)，遵照過濾規(guī)則，過濾掉全部禁止出或/和入?yún)f(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供所用通用服務(wù)。多級(jí)過濾技術(shù)其實(shí)就是現(xiàn)在防火墻已經(jīng)廣泛使用技術(shù)：包過濾、應(yīng)用網(wǎng)關(guān)。之所以把他提出來是因?yàn)檫@個(gè)提法比較科學(xué)，在分層上非常清楚，而且從這個(gè)概念出發(fā)，又有很多內(nèi)容能夠擴(kuò)展。2．網(wǎng)絡(luò)安全產(chǎn)品系統(tǒng)化現(xiàn)在有一個(gè)提法，叫做建立“以防火墻為關(guān)鍵網(wǎng)絡(luò)安全體系”，主要是伴隨現(xiàn)在網(wǎng)絡(luò)安全產(chǎn)品不停推出和防火墻在實(shí)際使用中表現(xiàn)出越來越大不足而提出。通常情況下，內(nèi)外網(wǎng)交界位置因?yàn)榉浅ｊP(guān)鍵，為了降低網(wǎng)絡(luò)傳輸延遲，只有不得不置于這個(gè)位置設(shè)備如防火墻才會(huì)放置在這里（通常必需還有病毒檢測(cè)設(shè)備等等），其余設(shè)備如IDS只能置于旁路位置。而在實(shí)際使用中，IDS任務(wù)往往不但在于檢測(cè)，很多時(shí)候在IDS發(fā)覺入侵行為以后，也需要IDS本身對(duì)入侵及時(shí)遏止（在這點(diǎn)上我了解為其實(shí)IDS是一個(gè)策略不停改變動(dòng)態(tài)“智能”防火墻，而防火墻本身是一個(gè)策略安全級(jí)最低靜態(tài)設(shè)備，這里所說IDS是指NIDS，而非基于主機(jī)）。顯然，要讓處于旁路偵聽I(yíng)DS完成這個(gè)任務(wù)又太難為，同時(shí)主鏈路又不能串接太多類似設(shè)備。在這種情況下，假如防火墻能和IDS、病毒檢測(cè)等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各自優(yōu)點(diǎn)，協(xié)同配合，共同建立一個(gè)有效安全防范體系，那么系統(tǒng)網(wǎng)絡(luò)安全性就能得以顯著提升。現(xiàn)在主要有兩種處理方法。一個(gè)是直接把IDS、病毒檢測(cè)部分直接“做”到防火墻中，使防火墻具備（簡(jiǎn)單）IDS和病毒檢測(cè)設(shè)備功效。另一個(gè)是各個(gè)產(chǎn)品分立，不過經(jīng)過某種通訊方式形成一個(gè)整體，即相關(guān)檢測(cè)系統(tǒng)專職某一類安全事件檢測(cè)，一旦發(fā)覺安全事件，則立刻通知防火墻，由防火墻完成過濾和匯報(bào)。第一個(gè)方法似乎前途不明確，因?yàn)镮DS本身也是一個(gè)非常復(fù)雜系統(tǒng)，且不說能不能“做”到防火墻里邊去，即使成為防火墻一部分，這么一個(gè)防火墻效率也極難說。第二種方法在實(shí)現(xiàn)起來困難一些，而且很顯著是：IDS、病毒檢測(cè)設(shè)備必須置于防火墻之外，假如置于防火墻之內(nèi)，就起不到對(duì)應(yīng)效果了。這么一來，IDS等設(shè)備本身安全性又不得不成為研究一個(gè)重點(diǎn)。3．管理通用化這一點(diǎn)其實(shí)主要是針對(duì)國(guó)內(nèi)防火墻而言。國(guó)外防火墻這一點(diǎn)已經(jīng)非常成熟，通常防火墻都不是作為一個(gè)特殊網(wǎng)絡(luò)產(chǎn)品來管理，而是納入通用網(wǎng)絡(luò)設(shè)備管理體系。國(guó)內(nèi)則相差很遠(yuǎn)，往往是防火墻就是防火墻，管理起來需要單獨(dú)管理，乃至單獨(dú)培訓(xùn)。不過國(guó)內(nèi)也已經(jīng)有所改觀，正在向網(wǎng)絡(luò)化、通用化發(fā)展，據(jù)稱億陽信通出品一個(gè)防火墻和VPN結(jié)合產(chǎn)物就支持遠(yuǎn)程通用管理。專用化和小型化這是自己一點(diǎn)想法，一個(gè)原因是基于上邊討論微小