前言 3一、防火墙的概况、应用及功能 31.1 防火墙的定义 31.2防火墙的种类 41.2.2网络层防火墙 41.2.2应用层防火墙 41.2.3数据库防火墙 51.3 防火墙的功能 5二、使用设置 52.1使用习惯 62.1.1所有防火墙文件规则必须更改 62.1 .2以最小的权限安装所有的访问规则 62.1.3 根据法规协议和更改需求来校验每项防火墙的更改 62.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 72.3工作模式 82.3.1 透明网桥模式 82.3.1.1适用环境 92.3.1.2组网实例 92.3.2 路由模式 102.3.2.1适用环境 112.3.2.2NAT（网络地址转换） 112.3.2.3组网实例 12三、总结 13一、前言随着计算机的日益发展，计算机早已深入到各个领域，计算机网络已无处不在。

而internet的飞速发展，使计算机网络资源共享进一步加强。

随之而来的安全问题也日益突出。

在人们对网络的优越性还没有完全接受的时候，黑客攻击开始肆虐全球的各大网站；而病毒制造者们也在各显其能，从CIH到爱虫．中毒者不计其数。

一般认为，计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。

目前,人们也开始重视来自网络内部的安全威胁。

我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。

其中防火墙是运用非常广泛和效果最好的选择。

然而购买了防火墙设备，却不是仅仅装上了硬件就能发挥作用的，而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略，才能满足你的安全需求。

由此引出的问题和解决办法就是本文的主要研究对象。

一、防火墙的概况、应用及功能1、防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

2、防火墙的种类防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。

主要类型分为网络层防火墙、应用层防火墙、数据库防火墙。

其中：I、网络层防火墙网络层防火墙可视为一种IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。

我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。

这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。

操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP地址、来源端口号、目的IP 地址或端口号、服务类型(如WWW 或是FTP)。

也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

II、应用层防火墙应用层防火墙是在TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用FTP 时的数据流都是属于这一层。

应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。

理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。

XML 防火墙是一种新型态的应用层防火墙。

根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

III、数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。

基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。

数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

3、防火墙的功能作为控制网络访问的安全设备。

防火墙应具备以下功能：◆隐藏内部网络结构及资源；◆保护不安全的网络服务；◆执行网络间的访问控制策略：◆统一集中的安全管理；◆记录并统计网络使用情况；◆监视和预警。

二、使用及配置1.使用习惯1、所有的防火墙文件规则必须更改。

尽管这种方法听起来很容易，但是由于防火墙没有内置的变动管理流程，因此文件更改对于许多企业来说都不是最佳的实践方法。

如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改，那么他撞到枪口上的可能性就会比较大。

但是如果这种更改抵消了之前的协议更改，会导致宕机吗？这是一个相当高发的状况。

防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础，因此团队的所有成员都必须达成共识，观察谁进行了何种更改。

这样就能及时发现并修理故障，让整个协议管理更加简单和高效。

2、以最小的权限安装所有的访问规则。

另一个常见的安全问题是权限过度的规则设置。

防火墙规则是由三个域构成的：即源（IP地址），目的地（网络/子网络）和服务（应用软件或者其他目的地）。

为了确保每个用户都有足够的端口来访问他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目标对象。

当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络，这些规则就会变得权限过度释放，因此就会增加不安全因素。

服务域的规则是开放65535个TCP端口的ANY。

防火墙管理员真的就意味着为黑客开放了65535个攻击矢量？3、根据法规协议和更改需求来校验每项防火墙的更改。

在防火墙操作中，日常工作都是以寻找问题，修正问题和安装新系统为中心的。

在安装最新防火墙规则来解决问题，应用新产品和业务部门的过程中，我们经常会遗忘防火墙也是企业安全协议的物理执行者。

每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神，而不仅是一篇法律条文。

4、当服务过期后从防火墙规则中删除无用的规则。

规则膨胀是防火墙经常会出现的安全问题，因为多数运作团队都没有删除规则的流程。

业务部门擅长让你知道他们了解这些新规则，却从来不会让防火墙团队知道他们不再使用某些服务了。

了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。

运行无用规则的报表是另外一步。

黑客喜欢从来不删除规则的防火墙团队。

2.配置防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。

Dual-homed方式最简单。

Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。

这种结构成本低，但是它有单点失败的问题。

这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。

它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。

这种结构依赖Screeningrouter 和Bastionhost，只要有一个失败，整个网络就暴露了。

Screened-subnet包含两个Screeningrouter和两个Bastionhost。

在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。

这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

3.工作模式一般来说，防火墙设备提供了两种工作模式：路由模式和透明（网桥）模式。

当防火墙处于路由模式时，防火墙作为三层设备。

可以帮助解决内部网络使用私有地址问题。

此时防火墙需要处理一些简单的静态路由。

防火墙和用户网络也需要进行相关的调整和配置；当防火墙处于透明模式时，防火墙作为二层设备，对于用户网络透明接入。

防火墙网络接口无需配置IP地址，用户网络也无需进行任何调整或者配置，但无法解决用户内部网络使用私有地址问题。

现在随着实际组网环境的不断变化，一些防火墙开始引入了对防火墙混合模式接入的支持——即一台防火墙可同时工作在路由和透明模式下。

便于防火墙接入各种复杂的网络环境以满足网络多样化的部署需求。

1、透明（网桥）模式在透明模式下，防火墙更像一个网桥，它不干涉网络结构，从拓扑中看来，它似乎是不存在的（因此称为透明）。

但是，透明模式的防火墙同样具备数据包过滤的功能。

透明网桥模式在数据链路层实现。

该模式下的防火墙不需要配置IP地址。

防火墙在该模式下工作时，可以透明地接入到网络的任何部位，无需改动用户网络结构和配置，即插即用，简便高效，使用方便。

1.1适用环境在网络中使用哪种工作模式的防火墙取决于你的网络环境。

一般来说，在下面所述情况下比较适合使用透明模式：（1）你的服务器需要使用真实互联网IP地址。

因为在该模式下，你的服务器看起来像直接面对互联网一样，所有对服务器的访问请求都直接到达服务器。

当然，在数据包到达服务器之前会经过防火墙的检测，不符合规则的数据包会被丢弃掉（从服务器编程的角度看，它不会觉察到数据包实际已被处理过）。

（2）需要保护同一子网上不同区域（部门）的主机。

这时，原来的网络拓扑结构无须做任何改变。

比如，企业的财务部是企业重要部门，即使内部员工也不允许随便访问．因此，需要特别的保护。

但企业网络已经建成，相应改造会带来许多工作。

而选择透明模式，既不用改造企业网络结构．也可以在没有经过防火墙授权的情况下．禁止非法人员访问财务部的主机。

如此一来，起到了局部信息保密和保护的效果。

1.2组网实例气象短信系统，有两台短信网关服务器，要求分别和电信、移动短信中心连接。