防火墙应用指导手册防火墙应用指导手册防火墙是为防止非法访问或保护专用网络而设计的一种系统。

防火墙可用于硬件、软件或二者的组合。

防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。

本文将从防火墙的简介、种类、选择的方法、配置、管理和维护等几个方面向您做详细的讲解。

防火墙简介防火墙是为防止非法访问或保护专用网络而设计的一种系统。

所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。

防火墙简介防火墙的种类每一种防火墙都有自己的特点，或许它们的区别可能与你所想的不一致。

网络层防火墙和应用层防火墙的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。

本文主要讲述网络层防火墙、应用层防火墙、代理防火墙及统一威胁管理。

网络层防火墙应用层防火墙代理防火墙统一威胁管理如何选择防火墙为了选择最佳的周边安全解决方案，首先要考虑的就是防火墙的功能。

比较好的是，那些在产品间做决定的主流防火墙都起相同的核心作用。

每个都会执行状态检测包过滤，及允许实施基本的周边防御。

谁来负责防火墙防火墙的安全风险有哪些购买建议防火墙配置当为一个企业开发边界保护策略时，最常见的问题是“我应该把防火墙设置在哪里，以发挥其最大效用？我们目前的网络有两套防火墙系统：Fortinet的FortiGate和思科的PIX Firewall。

从安全角度讲，采用不同厂商的多个防火墙有什么好处吗？防火墙安置两个网络防火墙比一个网络防火墙好吗防火墙管理与维护在通过了防火墙的选择和架构设计阶段的挑战后，我们面对的是持续的改变要求和厂商对我们的防火墙可执行操作的补丁之间的平衡。

迅速而频繁的改变配置使得日常维护任务变得很难。

防火墙行为审计防火墙简介介绍防火墙是为防止非法访问或保护专用网络而设计的一种系统。

防火墙可用于硬件、软件或二者的组合。

防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。

所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。

一般来说，配置防火墙是为了防止外部无权限的交互式登录。

这有助于防止“黑客”从机器登录到你的网络。

更复杂的防火墙能够阻止从外部到内部的流量，但允许内网用户更自由的与外部交流。

防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。

防火墙提供了一个重要的记录和审计功能；它们经常为管理员提供关于已处理过的流量类型和数值的摘要。

这是个非常重要的“点”，因为阻止点在网络中的作用相当于警卫保卫财产。

从理论上说，有两种类型的防火墙：1.网络层防火墙2.应用层防火墙它们的区别可能与你所想的不一致。

二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。

国际标准化组织（ISO）开放系统互联(OSI)模型把网络分成七层，每一层都为上一层服务。

更重要的是要认识到转发机制所在的层次越低，防火墙的检查就越少。

网络层防火墙这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。

一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。

现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。

另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。

网络层防火墙的发展很迅速，对于用户来说几乎是透明的。

应用层防火墙应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。

由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。

应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。

在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。

早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。

然而，许多现代应用层防火墙是完全透明的。

与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的安全模型。

未来的防火墙将处于网络层防火墙和应用层防火墙之间。

网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。

最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。

(来源：TechTarget中国 译者：王菲)网络层防火墙这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。

一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。

现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。

另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。

网络层防火墙的发展很迅速，对于用户来说几乎是透明的。

(来源：TechTarget中国 译者：王菲)应用层防火墙应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。

由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。

应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。

在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。

早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。

然而，许多现代应用层防火墙是完全透明的。

与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的安全模型。

未来的防火墙将处于网络层防火墙和应用层防火墙之间。

网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。

最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。

(来源：TechTarget中国 译者：王菲)代理防火墙简而言之，代理防火墙能比其他类型的防火墙能提供更多的安全保护，但这是以牺牲速度和功能为代价的，因为它们可能会限制您的网络所能够支持的应用程序。

那么，为什么它们更安全呢？状态防火墙（stateful firewall）允许或阻止通过的网络数据包以及受保护的网络，并且流量不通过代理，代理防火墙是不同于状态防火墙（stateful firewall）的。

相反的，在代理防火墙中计算机作为中介需要建立到代理的连接，并在要求下初始化一个新的网络连接。

由于代理防火墙从不接收目标系统直接创建的数据包，这就防止了防火墙两边系统之间的直接连接，使攻击者很难发现网络。

代理防火墙也为它们所支持的协议提供全面的协议意识安全分析。

相比于那些只考虑数据包头信息的产品，这使得它们能做出更安全的判定。

例如，特定的支持FTP的代理防火墙，它能够监视实际流出命令通道的FTP命令，并能够停止任何禁止的活动。

由于服务器被代理防火墙所保护，而且代理防火墙允许协议意识记录，这使得识别攻击方法以及备份现有记录更容易。

尽管如此，代理防火墙增加安全性也是要付出代价的。

额外的代价是为每个会话建立两个连接所需的花费，加上应用层验证请求所需的时间，以及性能的降低。

你可以将钱花费在代理服务器上，但在真正的高带宽网络上仍有可能到达瓶颈。

可能您会发现为您的网络正确安装以及配置所需的代理是困难的，还可能很难使VPN（虚拟专用网）通过代理防火墙工作。

此外，最新的代理防火墙为代理机构提供了一整套的互联网协议，如果您的网络所使用的协议代理防火墙不支持，那您就不得不使用一种通用的代理或开发一种新的代理机构。

使用通用的代理，您将会失去协议意识分析和记录功能，只剩下基本的安全检查。

必须注意的是，主要由于性能和兼容性问题，代理防火墙正在远离这个行业。

业界似乎青睐深度包检测防火墙，它更加灵活，并且能够处理更高速的网络。

然而，我们都知道，在选择之前，工作在应用层的深度包检测如代理机构，仍然是计算机系统间的一种直接连接。

正如上面所提到的，直接连接使得攻击者更容易执行操作系统以及应用指纹来决定使用什么类型来攻击客户端系统。

(作者：Michael Cobb来源：TechTarget中国 译者：王菲)统一威胁管理许多有目的建造的边界防火墙现在已经演变成为多功能统一威胁管理（UTM）设备了。

这些强健的一体化网络安全平台在单个整合的盒子里提供防火墙、入侵预防和防病毒服务。

还有许多产品可以提供进一步的安全服务，包括反间谍软件和VPN功能，以及反垃圾邮件和Web过滤。

根据IDC的统计， UTM是安全设备市场业务增长最快的部分。

2009年的全球销售预计将超过30亿美元。

为什么UTM设备如此受欢迎，且增长这么快？目前的网络威胁组合了多种攻击技术，以逃避传统的网络防御措施。

举例来说，间谍软件——特别是Trojans和Rootkit——是极具的危险性并难以消除的。

其中的大部分是由增产垃圾邮件或恶意网站进行传播的。

一旦侵入，它们就会通过后门通道穿越宽松的边界防火墙而将保密数据送出。

基于网络的IPS、反病毒、反垃圾邮件以及Web过滤可以阻止间谍软件到达桌面系统。

较小的业务很难承受部署多个独立的同类最佳安全系统所带来的成本和复杂性。

而大型的企业能够更好地管理这些系统，但是为每一个新的威胁增加一个新的集群会增加网络的延迟，降低可靠性，并增加投资及运营开支。

有了UTM，就可以有效地整合多种安全服务使之服务于每个业务和位置。

UTM并不是单独一个产品，而是目前一种以最小代价对抗复杂网络攻击的方法。

对于许多业务而言，问题并不在于是否要应用UTM ，而在于何时、何地和如何整合安全服务。

成功的UTM部署需要认真的规划，要先考虑在网络的哪个位置整合安全服务，再考虑这样做之后所带来的好处和影响。

想要将所有的东西都整合在一个平台上是不切实际的，而应该有计划地将安全服务分布到多个UTM设备或UTM群上。

在一个分层防御的可信的内部边界内应用UTM来分发工作量并根据增加的粒度加强策略。

例如，粗糙的网络或入侵防护过滤器应该应用于外部边界，之后对进入服务器池的消息进行详细的电子邮件检测。

最后，虽然UTM可能导致较旧的系统下线，但是它并不强制要求替换满足业务需要的同类最佳解决方法。

公司安全策略的粒度越多，那么就越有可能需要至少有一部分的同类最佳的深度方案必须用于填补UTM的广度需求。

统一威胁管理（UTM）许多有目的建造的边界防火墙现在已经演变成为多功能统一威胁管理（UTM）设备了。

这些强健的一体化网络安全平台在单个整合的盒子里提供防火墙、入侵预防和防病毒服务。