硬件防火牆

硬件防火牆是指把防火牆程序做到芯片裏面，由硬件執行這些功能，能減少CPU的負擔，使路由更穩定。 ^[1] 

硬件防火牆是保障內部網絡安全的一道重要屏障。它的安全和穩定，直接關係到整個內部網絡的安全。因此，日常例行的檢查對於保證硬件防火牆的安全是非常重要的。 ^[1] 

至於價格高，原因在於，軟件防火牆只有包過濾的功能，硬件防火牆中可能還有除軟件防火牆以外的其他功能，例如CF（內容過濾）IDS（入侵偵測）IPS（入侵防護）以及VPN等等的功能。

也就是説硬件防火牆是指把防火牆程序做到芯片裏面，由硬件執行這些功能，能減少CPU的負擔，使路由更穩定。

硬件防火牆是保障內部網絡安全的一道重要屏障。它的安全和穩定，直接關係到整個內部網絡的安全。因此，日常例行的檢查對於保證硬件防火牆的安全是非常重要的。

系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭，例行檢查的任務就是要發現這些安全隱患，並儘可能將問題定位，方便問題的解決。

（1）包過濾防火牆

包過濾防火牆一般在路由器上實現，用以過濾用户定義的內容，如IP地址。包過濾防火牆的工作原理是：系統在網絡層檢查數據包，與應用層無關。這樣系統就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火牆的安全性有一定的缺陷，因為系統對應用層信息無感知，也就是説，防火牆不理解通信的內容，所以可能被黑客所攻破。

圖1：包過濾防火牆工作原理圖

（2）應用網關防火牆

應用網關防火牆檢查所有應用層的信息包，並將檢查的內容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火牆是通過打破客户機/服務器模式實現的。每個客户機/服務器通信需要兩個連接：一個是從客户端到防火牆，另一個是從防火牆到服務器。另外，每個代理需要一個不同的應用進程，或一個後台運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火牆具有可伸縮性差的缺點。（圖2）

圖2：應用網關防火牆工作原理圖

（3）狀態檢測防火牆

狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包，不關心數據包狀態的缺點，在防火牆的核心部分建立狀態連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理。可以這樣説，狀態檢測包過濾防火牆規範了網絡層和傳輸層行為，而應用代理型防火牆則是規範了特定的應用協議上的行為。（圖3）

圖3：狀態檢測防火牆工作原理圖

（4）複合型防火牆

複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆，進一步基於ASIC架構，把防病毒、內容過濾整合到防火牆裏，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規的防火牆並不能防止隱蔽在網絡流量裏的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火牆結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施。（圖4）

3、四類防火牆的對比

包過濾防火牆：包過濾防火牆不檢查數據區，包過濾防火牆不建立連接狀態表，前後報文無關，應用層控制很弱。

應用網關防火牆：不檢查IP、TCP報頭，不建立連接狀態表，網絡層保護比較弱。

狀態檢測防火牆：不檢查數據區，建立連接狀態表，前後報文相關，應用層控制很弱。

複合型防火牆：可以檢查整個數據包內容，根據需要建立連接狀態表，網絡層保護強，應用層控制細，會話控制較弱。

4、防火牆術語

網關：在兩個設備之間提供轉發服務的系統。網關是互聯網應用程序在兩台主機之間處理流量的防火牆。這個術語是非常常見的。

DMZ非軍事化區：為了配置管理方便，內部網中需要向外提供服務的服務器往往放在一個單獨的網段，這個網段便是非軍事化區。防火牆一般配備三塊網卡，在配置時一般分別分別連接內部網，internet和DMZ。

吞吐量：網絡中的數據是由一個個數據包組成，防火牆對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火牆的數據包數量。這是測量防火牆性能的重要指標。

最大連接數：和吞吐量一樣，數字越大越好。但是最大連接數更貼近實際網絡情況，網絡中大多數連接是指所建立的一個虛擬通道。防火牆對每個連接的處理也好耗費資源，因此最大連接數成為考驗防火牆這方面能力的指標。

數據包轉發率：是指在所有安全規則配置正確的情況下，防火牆對數據流量的處理速度。

SSL：SSL（Secure Sockets Layer）是由Netscape公司開發的一套Internet數據安全協議，當前版本為3.0。它已被廣泛地用於Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位於TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。

網絡地址轉換：網絡地址轉換（NAT）是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。NAT常用於私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火牆上實現NAT後，可以隱藏受保護網絡的內部拓撲結構，在一定程度上提高網絡的安全性。如果反向NAT提供動態網絡地址及端口轉換功能，還可以實現負載均衡等功能。

堡壘主機：一種被強化的可以防禦進攻的計算機，被暴露於因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。

第一要素：防火牆的基本功能防火牆系統可以説是網絡的第一道防線，因此一個企業在決定使用防火牆保護內部網絡的安全時，它首先需要了解一個防火牆系統應具備的基本功能，這是用户選擇防火牆產品的依據和前提。 ^[1] 

第二要素：企業的特殊要求企業安全政策中往往有些特殊需求不是每一個防火牆都會提供的，這方面常會成為選擇防火牆的考慮因素之一。 ^[1] 

不管你在安裝硬件防火牆的時候考慮得有多麼的全面和嚴密，一旦硬件防火牆投入到實際使用環境中，情況卻隨時都在發生改變。硬件防火牆的規則總會不斷地變化和調整着，配置參數也會時常有所改變。作為網絡安全管理人員，最好能夠編寫一套修改防火牆配置和規則的安全策略，並嚴格實施。所涉及的硬件防火牆配置，最好能詳細到類似哪些流量被允許，哪些服務要用到代理這樣的細節。

在安全策略中，要寫明修改硬件防火牆配置的步驟，如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分，如某人具體做修改，另一人負責記錄，第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬件防火牆配置的修改工作程序化，並能儘量避免因修改配置所造成的錯誤和安全漏洞。

如果在硬件防火牆上保留日誌記錄，那麼檢查硬件防火牆的磁盤使用情況是一件很重要的事情。如果不保留日誌記錄，那麼檢查硬件防火牆的磁盤使用情況就變得更加重要了。保留日誌記錄的情況下，磁盤佔用量的異常增長很可能表明日誌清除過程存在問題，這種情況相對來説還好處理一些。在不保留日誌的情況下，如果磁盤佔用量異常增長，則説明硬件防火牆有可能是被人安裝了Rootkit工具，已經被人攻破。

因此，網絡安全管理人員首先需要了解在正常情況下，防火牆的磁盤佔用情況，並以此為依據，設定一個檢查基線。硬件防火牆的磁盤佔用量一旦超過這個基線，就意味着系統遇到了安全或其他方面的問題，需要進一步的檢查。

和磁盤使用情況類似，CPU負載也是判斷硬件防火牆系統運行是否正常的一個重要指標。作為安全管理人員，必須瞭解硬件防火牆系統CPU負載的正常值是多少，過低的負載值不一定表示一切正常，但出現過高的負載值則説明防火牆系統肯定出現問題了。

過高的CPU負載很可能是硬件防火牆遭到DoS攻擊或外部網絡連接斷開等問題造成的。

每台防火牆在正常運行的情況下，都有一組精靈程序（Daemon），比如名字服務程序、系統日誌程序、網絡分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行，如果發現某些精靈程序沒有運行，則需要進一步檢查是什麼原因導致這些精靈程序不運行，還有哪些精靈程序還在運行中。

關鍵的系統文件的改變不外乎三種情況：管理人員有目的、有計劃地進行的修改，比如計劃中的系統升級所造成的修改；管理人員偶爾對系統文件進行的修改；攻擊者對文件的修改。

經常性地檢查系統文件，並查對系統文件修改記錄，可及時發現防火牆所遭到的攻擊。此外，還應該強調一下，最好在硬件防火牆配置策略的修改中，包含對系統文件修改的記錄。

硬件防火牆日誌記錄了所有允許或拒絕的通信的信息，是主要的硬件防火牆運行狀況的信息來源。由於該日誌的數據量龐大，所以，檢查異常日誌通常應該是一個自動進行的過程。當然，什麼樣的事件是異常事件，得由管理員來確定，只有管理員定義了異常事件並進行記錄，硬件防火牆才會保留相應的日誌備查。

上述6個方面的例行檢查也許並不能立刻檢查到硬件防火牆可能遇到的所有問題和隱患，但持之以恆地檢查對硬件防火牆穩定可靠地運行是非常重要的。如果有必要，管理員還可以用數據包掃描程序來確認硬件防火牆配置的正確與否，甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊，以考核硬件防火牆的能力。

硬件防火牆是軟硬件一體的，用户購買後不需要再投入其他費用。一般硬件防火牆的報價在1萬到2萬之間。

軟件防火牆有三方面的成本開銷：軟件的成本、安裝軟件的設備成本以及設備上操作系統的成本。Windows Server 2003價格在4400-6000之間。

備註：綜合以上的成本，要配置一套軟件防火牆按最小的網絡要求，其成本在1.0萬左右。

穩定性能的優劣主要來自於防火牆運行平台即操作系統上。

硬件防火牆一般使用經過內核編譯後的Linux，憑藉Linux本身的高可靠性和穩定性保證了防火牆整體的穩定性，Linux永遠都不會崩潰，其穩定性是由於它沒有像其他操作系統一樣內核龐大且漏洞百出。系統的穩定性主要取決於系統設計的結構。計算機硬件的結構自從1981設計開始就沒有作特別大的改動，而連續向後兼容性使那些編程風格極差的應用軟件勉強移植到Windows的最新版本，這種將就的軟件開發模式極大地阻礙了系統穩定性的發展。最令人注目的Linux開放源代碼的開發模式，它保證了任何系統的漏洞都能被及時發現和修正。Linux採取了許多安全技術措施，包括對讀、寫進行權限控制、帶保護的子系統、審計跟蹤、核心授權等，這為網絡多用户環境中的用户提供了必要的安全保障。

軟件防火牆一般要安裝在windows平台上，實現簡單，但同時由於windows本身的漏洞和不穩定性帶來了軟件防火牆的安全性和穩定性的問題。雖然Microsoft也在努力的彌補這些問題，Windows 2003 server本身的漏洞就比前期的Windows NT少了很多，但與Linux比起來還是漏洞倍出。在病毒侵害方面，從linux發展到如今，Linux幾乎不感染病毒。而作為Windows 平台下的病毒我們就不必多説了，只要是使用過電腦的人都有感受。像近幾個月以來在內網中廣泛傳播的ARP欺騙病毒，造成了內網不穩定、網絡時斷時序、經常掉線，無法開展正常的工作，使得很多的網絡管理人員束手無策。

吞吐量和報文轉發率是關係防火牆應用的主要指標，硬件防火牆的硬件設備是經專業廠商定製的，在定製之初就充分考慮了吞吐量的問題，在這一點上遠遠勝於軟件防火牆，因為軟件防火牆的硬件是用户自己選擇的很多情況下都沒有考慮吞吐量的問題，況且windows系統本身就很耗費硬件資源，其吞吐量和處理大數據流的能力遠不及硬件防火牆，這一點是不言而喻的。吞吐量太小的話，防火牆就是網絡的瓶頸，會帶來網絡速度慢、上網帶寬不夠等等問題。

軟件防火牆一般可以是包過濾機制。包過濾過濾規則簡單，只能檢查到第三層網絡層，只對源或目的IP做檢查，防火牆的能力遠不及狀態檢測防火牆，連最基本的黑客攻擊手法IP偽裝都無法解決，並且要對所經過的所有數據包做檢查，所以速度比較慢。硬件防火牆主要採用第四代狀態檢測機制。狀態檢測是在通信發起連接時就檢查規則是否允許建立連接，然後在緩存的狀態檢測表中添加一條記錄，以後就不必去檢查規則了只要查看狀態監測表就OK了，速度上有了很大的提升。因其工作的層次有了提高，其防黑功能比包過濾強了很多，狀態檢測防火牆跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態，防火牆還記錄有用的信息以幫助識別包，例如已有的網絡連接、數據的傳出請求等。

例如，如果傳入的包包含視頻數據流，而防火牆可能已經記錄了有關信息，防火牆進行匹配，包就可以被允許通過。。

硬件防火牆比軟件防火牆在實現的機制上有很大的不同，也帶來了軟硬件防火牆在防黑能力上很大差異。

軟件防火牆由於本身的工作原理造成了它不具備內網具體化的控制管理，比如，不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對具體的IP和MAC做上網控制等，其主要的功能在於對外。

硬件防火牆在基於狀態檢測的機制上，安全廠商又可以根據市場的不同需求開發應用層過濾規則，來滿足對內網的控制，能夠在高層進行過濾，做到了軟件防火牆不能做到的很多事。尤其是流行的ARP病毒，硬件防火牆針對其入侵的原理，做了相應的策略，徹底解除了ARP病毒的危害。

網絡安全(防火牆)已經不僅僅侷限於對外的防止黑客攻擊上，更多的企業內部網絡經常存在諸如上網速度慢、時斷時序、郵件收發不正常等問題。我們分析其主要的原因，在於內網用户的使用問題，很多的用户上班時間使用BT下載、瀏覽一些不正規的網站，這樣都會引起內網的諸多問題，比如病毒，很多病毒傳播都是使用者不良行為而造成的。所以説內網用户的控制和管理是非常必要的。