在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關(guān)注。通常一個(gè)公司在購買網(wǎng)絡(luò)安全設(shè)備時(shí)，總是把防火墻放在首位。目前，防火墻已經(jīng)成為世界上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。那么，防火墻是如何保證網(wǎng)絡(luò)系統(tǒng)的安全，又如何實(shí)現(xiàn)自身安全的呢？

其實(shí)防火墻并不是真正的墻，它是一類防范措施的總稱，是一種有效的網(wǎng)絡(luò)安全模型，是機(jī)構(gòu)總體安全策略的一部分，它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。防火墻主要用來執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問控制策略，它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻是一種隔離控制技術(shù)，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。通過在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊數(shù)據(jù)，根據(jù)預(yù)先設(shè)定的安全規(guī)則，提供一種安全的網(wǎng)間數(shù)據(jù)通訊。

中小型局域網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。我們以學(xué)院為例，設(shè)計(jì)防火墻布局方案，布局結(jié)構(gòu)如圖所示：

在本方案中，采用防火墻設(shè)備確保如科研部、財(cái)務(wù)部、教學(xué)部等重要安全域的相對(duì)獨(dú)立。選購防火墻主要應(yīng)從安全角度考慮，在這里效率不應(yīng)成瓶頸問題，應(yīng)該選購業(yè)界大公司或資深信息安全研制單位的成熟產(chǎn)品。在防火墻上通過設(shè)置安全策略增加對(duì)服務(wù)器的保護(hù)，同時(shí)必要時(shí)還可以啟用防火墻的NAT功能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用日志來對(duì)非法訪問進(jìn)行監(jiān)控，使用防火墻與入侵檢測(cè)聯(lián)動(dòng)功能形成動(dòng)態(tài)、自適應(yīng)的安全防護(hù)平臺(tái)。網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。IP協(xié)議各廠家實(shí)現(xiàn)的不完善，因此，在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對(duì)更多。防火墻是近年發(fā)展起來的重要安全技術(shù)，在中小型公司系統(tǒng)中其主要作用是在網(wǎng)絡(luò)邊界處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。

根據(jù)網(wǎng)絡(luò)具體流量情況，采用型號(hào)為東軟NeteyeFW4120一H一XE6型上聯(lián)網(wǎng)通線路，下聯(lián)外網(wǎng)交換機(jī)華為6506快速以太網(wǎng)交換機(jī)。標(biāo)準(zhǔn)配置三接口的防火墻，其最大并發(fā)連接數(shù)將近60萬個(gè)，其中兩個(gè)接口分別接外網(wǎng)和內(nèi)網(wǎng)兩個(gè)網(wǎng)段，第三個(gè)口可以作為預(yù)留。內(nèi)網(wǎng)保護(hù)服務(wù)器群防火墻的配置：而在整個(gè)校園網(wǎng)中的資源信息服務(wù)器群則是整個(gè)網(wǎng)絡(luò)數(shù)據(jù)保護(hù)的關(guān)鍵，分別與兩個(gè)核心交換機(jī)相連。

核心交換機(jī)華為6505處配備一臺(tái)高性能天融信網(wǎng)絡(luò)衛(wèi)士防火墻4000系統(tǒng)，用于對(duì)內(nèi)部服務(wù)器群的訪問和聯(lián)動(dòng)保護(hù)。此處采用型號(hào)為NGFW4000一S標(biāo)準(zhǔn)配置三個(gè)接口的防火墻，其最大并發(fā)連接數(shù)達(dá)到60萬個(gè)，一個(gè)接口接核心交換機(jī)，一個(gè)接口接級(jí)聯(lián)交換機(jī)，另一個(gè)接口作為預(yù)留接口。從而實(shí)現(xiàn)對(duì)內(nèi)部服務(wù)器群的訪問控制保護(hù)。防火墻4000是天融信公司積多年來的防火墻開發(fā)經(jīng)驗(yàn)和應(yīng)用實(shí)踐及天融信廣大用戶寶貴建議基礎(chǔ)之上，基于對(duì)網(wǎng)絡(luò)安全的深刻理解，融合網(wǎng)絡(luò)科技的最新成果，獨(dú)創(chuàng)了系列安全構(gòu)架和實(shí)現(xiàn)技術(shù)，經(jīng)過多年的研究和近兩年的開發(fā)所完成的最新一代防火墻產(chǎn)品。應(yīng)能夠配置成分布式和集中統(tǒng)一管理，由防火墻管理代理程序和管理器組成。管理安全、方便靈活，防火墻4000經(jīng)過簡(jiǎn)單的配置即可接入網(wǎng)絡(luò)進(jìn)行通信和訪問控制，GUI管理界面提供了清晰的管理結(jié)構(gòu)，每一個(gè)管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。對(duì)所有管理加密（支持SSL和SSH），并進(jìn)行嚴(yán)格的審計(jì)，實(shí)現(xiàn)了真正的安全遠(yuǎn)程管理。同時(shí)，可以支持SNMP與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如HP即enview、Ciscoworks等，方便管理和維護(hù)。提供面向?qū)ο蟮姆?wù)模板功能，可以方便的定制過濾規(guī)則。通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻，防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護(hù)了中小型公司服務(wù)器，使其不受來自內(nèi)部的攻擊，也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自校園網(wǎng)內(nèi)部其它部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)一個(gè)部門，或者如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。同時(shí)防火墻根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則保護(hù)內(nèi)部網(wǎng)絡(luò)，提供完善的安全性設(shè)置，通過高性能的網(wǎng)絡(luò)核心進(jìn)行訪問控制。同時(shí)提供網(wǎng)絡(luò)地址轉(zhuǎn)換、透明的代理服務(wù)、信息過濾、內(nèi)容過濾、流量控制、帶寬管理，用戶身份認(rèn)證等功能。

當(dāng)然，防火墻本身也有其局限性，即不經(jīng)過防火墻的入侵，防火墻則是無能為力的。此時(shí)，在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠，此時(shí)，應(yīng)根據(jù)實(shí)際需求采取相應(yīng)的安全策略。