售前電話
135-3656-7657
售前電話 : 135-3656-7657
1.為什么要用防火墻
在前文已經(jīng)討論了Internet防火墻的優(yōu)點(diǎn)與缺點(diǎn),但是作為Internet的本身存在的缺陷容易被人利用,對網(wǎng)絡(luò)安全帶來很大的威脅,所以就在網(wǎng)絡(luò)安全中采用防火墻技術(shù)是非常有用的,這是因?yàn)椋?/p>
□Internet是普遍依賴于TCP/IP協(xié)議的,這是一種在一種機(jī)型間的通信協(xié)議,它本身就很安全。
□Internet所提供的各種服務(wù),如電子郵件、文件傳輸、遠(yuǎn)程登錄、萬維網(wǎng)等都存在著安全隱患。
□Internet上使用了薄弱的認(rèn)證環(huán)節(jié),薄弱的、靜態(tài)的口令;一些TCP或UDP服務(wù)只能對主機(jī)地址進(jìn)行認(rèn)證,而不能對指定的用戶進(jìn)行認(rèn)證。
□在Internet±存在著IP地址欺騙(偽裝)。
□有缺陷的局域網(wǎng)服務(wù)(NIS和NFS)和主機(jī)之間存在著有缺陷的相互信任關(guān)系。特別是近幾年掀起的電子商務(wù)、電子政務(wù)熱潮,使用防火墻就顯得相當(dāng)重要了。
2.防火墻的產(chǎn)品分類
目前,防火墻產(chǎn)品大致分為軟件防火墻、硬件防火墻和工業(yè)標(biāo)準(zhǔn)服務(wù)器形式的防火墻三類。
1軟件防火墻
軟件防火墻一般運(yùn)行在操作系統(tǒng)以上,以CheckpointFirewall/NAIGauntlet產(chǎn)品為例分別介紹。
1)Checkpoint Fire wall的主要特點(diǎn)如下:
FireWall-1主要的功能是在安全區(qū)域支持Entrust技術(shù)的數(shù)位證明(digitalcertificate)解決方案;以公用密鑰為基礎(chǔ),使用X.509的認(rèn)證機(jī)制IKE。FireWall-1支持LDAP目錄管理,可幫助使用者定義包羅廣泛的安全政策。
FireWall-1提供顧客包含遠(yuǎn)端的使用者使用多種安全的認(rèn)證機(jī)制,以存取企業(yè)資源。在通信被允許進(jìn)行之前,F(xiàn)ireWall-1認(rèn)證服務(wù)可安全地確認(rèn)他們身份的有效性,而不需要修改本地客戶端應(yīng)用軟件,認(rèn)證服務(wù)是完全地被集成到企業(yè)整體的安全政策內(nèi),并能由FireWall-1圖形使用者界面集中管理。所有的認(rèn)證能經(jīng)由防火墻日志瀏覽(logviewer)來監(jiān)視和追蹤。FireWall-1提供三種認(rèn)證方法:使用者認(rèn)證,提供以使用者為基礎(chǔ)的FTP、TELNET,HTTP和RLOGIN的存取權(quán)限,跟使用者的IP位址無關(guān);客戶端認(rèn)證能夠使管理者授予存取的特權(quán)給予在特定IP位址的特定使用者;會(huì)話認(rèn)證可以認(rèn)證基于會(huì)話的任何一種服務(wù)。目前該產(chǎn)品支持的平臺有WindowsNT.Window9x/2000.sunSolarisIBMAIX.HP-UX等。
2)NAI Gauntlet的主要特點(diǎn)如下:
作為最高類型一基于應(yīng)用層網(wǎng)關(guān)的Gauntlet防火墻,集成了NT的性能管理和易用性;應(yīng)用層安全按照安全策略檢查雙向的通信。具有用戶透明、集成管理、強(qiáng)力加密和內(nèi)容安全、高吞吐量的特性??蓱?yīng)用于Internet.企業(yè)內(nèi)部網(wǎng)和遠(yuǎn)程訪問。Gauntlet防火墻具有友好和管理界面,其基于Java或NT環(huán)境,可以運(yùn)行在Web瀏覽器中,支持遠(yuǎn)程管理和配置,如可從網(wǎng)絡(luò)管理平臺上監(jiān)控和配置,如NTServer和HPOpenViewGauntlet還支持通過服務(wù)器、企業(yè)內(nèi)部網(wǎng)、Internet來存取和管理SNMP設(shè)備。Gauntlet防火墻支持流行的多媒體實(shí)時(shí)服務(wù),如RealAudio/Video、Microsoft。
Gauntlet支持眾多的標(biāo)準(zhǔn)協(xié)議如終端服務(wù)(TELNET、rlogin)、文件傳送(FTP)、電子郵件(SMTP、POP3)、WWW(HTTP、SHTTP、SSL、Gopher)、Usenet新聞(NNTP)、域名服務(wù)(DNS)、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)、OracleSQL*NetShow、VDOLive,LDAP、PPTP。
2、硬件防火墻
硬件防火墻帶有特殊的硬件,通常軟件較少活動(dòng)。
NetScreen公司的NetScreen防火墻產(chǎn)品是一種硬件防火墻NetScreen產(chǎn)品完全基于硬件ASLC芯片,它就像個(gè)盒子一樣安裝使用起來很簡單。同時(shí)它還是一種集防火墻、VPN、流量控制三種能于一體的網(wǎng)絡(luò)產(chǎn)品。應(yīng)用場合如下:
1)NetScreen10適用于10Mbps以太網(wǎng)。
2)NetScreen100適用于10Mbps以太網(wǎng)。
3)NetScreen1000則可以支持千以太網(wǎng),適應(yīng)不同場合的需要。
硬件防火墻的主要特點(diǎn)為:
NetScreen把多種安全功能集成在一個(gè)ASIC芯片上、將防火墻、虛擬專用網(wǎng)(VPN),網(wǎng)絡(luò)流量控制和寬帶接入這些功能全部集成在專有的一體硬件中,該項(xiàng)技術(shù)能有效消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加密時(shí)的性能瓶頸,能實(shí)現(xiàn)最高級別的IPsec。
NetScreen防火墻的配置可在網(wǎng)絡(luò)上任何一臺帶有瀏覽器的機(jī)器上完成NetScreen的優(yōu)勢之一是采用了新的體系結(jié)構(gòu),可以有效地消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)的性能瓶頸,能實(shí)現(xiàn)最高級別的IP安全保護(hù)。
3.工業(yè)標(biāo)準(zhǔn)服務(wù)器防火墻
所謂工業(yè)標(biāo)準(zhǔn)服務(wù)器防火墻,即凡是符合工業(yè)標(biāo)準(zhǔn)的、大批量生產(chǎn)的、機(jī)架式服務(wù)器,無論是IA架構(gòu)的,還是像IBM的ISA架構(gòu)那樣的,只要符合上述標(biāo)準(zhǔn)都可以稱為標(biāo)準(zhǔn)服務(wù)器。因此,在這種平臺上的安裝、運(yùn)行防火墻軟件形成的防火墻系統(tǒng),都可以稱為工業(yè)標(biāo)準(zhǔn)服務(wù)器的防火墻。
工業(yè)標(biāo)準(zhǔn)服務(wù)器防火墻由于性能價(jià)格比非常高,而受到用戶的歡迎,主要原因有以下6點(diǎn)。
(1)速度快、性能高