硬件防火墙安全设置_硬件防火墙怎么设置才能上网

1.请问内部防火墙和外部防火墙是什么意思啊（指硬件的防火墙）？

2.硬件防火墙有哪六大指标？

防火墙是目前使用最为广泛的网络安全产品之一，用户在选购时应该注意以下几点：\x0d\一、防火墙自身的安全性\x0d\防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。\x0d\二、系统的稳定性\x0d\目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断：\x0d\1．从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。\x0d\3．自己试用。在自己的网络上进行一段时间的试用（一个月左右）。\x0d\4．厂商开发研制的历史。一般来说，如果没有两年以上的开发经历，很难保证产品的稳定性。\x0d\5．厂商实力，如资金、技术开发人员、市场销售人员和技术支持人员多少等等。\x0d\三、是否高效\x0d\高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高。一般来说，防火墙加载上百条规则，其性能下降不应超过5％（指包过滤防火墙）。\x0d\四、是否可靠\x0d\可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件，这要求有较高的生产标准和设计冗余度。\x0d\五、是否功能灵活\x0d\对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。例如对普通用户，只要对IP地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。\x0d\六、是否配置方便\x0d\在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。\x0d\七、是否管理简便\x0d\网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。\x0d\八、是否可以抵抗拒绝服务攻击\x0d\在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。\x0d\九、是否可以针对用户身份过滤\x0d\防火墙过滤报文，需要一个针对用户身份而不是IP地址进行过滤的办法。目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在网络上泄露,这样，防火墙就可以确认登录上来的用户确实和他所声称的一致。\x0d\十、是否可扩展、可升级\x0d\用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。

请问内部防火墙和外部防火墙是什么意思啊（指硬件的防火墙）？

不知道你的防火墙是型号的。 血到教训告诉你。一个80端口足可以黑了你的站。SQL注入也是通过WEB的80端口进行的。他一旦上传了木马。**了admin 权限。FTP的权限。就可以对你的服务器进行提权。。

所以要问你硬件防火墙。还有策略是怎么做的。

例如我公司用的netscreen 我用的VIP做的策略。。映射端口80 。同时的策略是禁止外网写入到服务器的。因为公司没有留言。BBS等互动的。所以可以这么做。 如果FTP。我会用到***客户端进行。这样就没问题了。

我同学的CISCO 用了其他的策略。限定访问的数据和端口。

硬件防火墙有哪六大指标？

一、防火墙的概念

1. 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙 。

2. Rich Kosinski(Internet Security公司总裁）：

防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。

3. William Cheswick和Steve Beilovin（1994）：

防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：

（1）只允许本地安全策略授权的通信信息通过；

（2）双向通信信息必须通过防火墙；

（3）防火墙本身不会影响信息的流通。

4. 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

注意：防火墙主要用于保护安全网络免受不安全网络的侵害。

典型情况：安全网络为企业内部网络，不安全网络为因特网。

但防火墙不只用于因特网，也可用于Intranet各部门网络之间。（内部防火墙）。E.g.：财务部与市场部之间。

5. 在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。

在物理上，防火墙通常是一组硬件设备——路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。

防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。E.g.：加密和解密——***。

6. 防火墙的实质是一对矛盾（或称机制）：限制数据流通，允许数据流通。

两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。（限制政策）；除了非禁止不可的都被允许，好用但不安全。（宽松政策）

多数防火墙都在两种之间采取折衷。

在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到一个统一的高安全标准。基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降。如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统，这并不现实，特别是在一些不同版本的操作系统正被使用时。

二、防火墙的作用

1. 网络安全的第一道防线（防盗门、战壕、交通警察、门卫）

2. 防火墙是阻塞点，可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。

3. 防火墙可以实行强制的网络安全策略，E.g.：禁止不安全的协议NFS，禁止finger 。

4. 对网络存取和访问进行监控审计。E.g.:网络使用和滥用的记录统计。

5. 使用内部防火墙可以防止一个网段的问题传播到另一个网段。

三、防火墙体系结构

1. 基本原理

（1）防火墙是网络之间的一种特殊的访问控制设施，放置在网络的边界上，用于隔离Internet的一部分，限制其与Internet其他部分之间数据的自由流动，在不可靠的互连网络中建立一个可靠的子网。

（2）安全域：一个计算机子网中具有相同安全政策的计算机的集合。

（3）过滤器：本地安全政策的具体体现，对穿越的流量实施控制以阻止某一类别的流量。

2. 防火墙分类

（1）IP级防火墙，又称报文过滤防火墙。

原理：在路由软件中根据报文的信源、信宿及服务类型来实现报文过滤功能。

特点：网络性能好，透明、方便；不能针对特定用户和特定请求，粒度不够。

（2）应用级防火墙，又称代理防火墙。

原理：双穴主机隔离内外直接连接，为两端代理服务请求。

特点：不存在直接报文交换，安全性好，粒度精确完备；但效率低，只能针对专门服务，有局限性。

（3）链路级防火墙

原理：双穴主机提供通用的TCP/UDP连接中继服务。

3. 防火墙的使用

（1）一般原则

1）防火墙的使用是以额外的软硬件设备和系统性能的下降为代价的。

2）防火墙的设置取决于对网络的安全防卫要求和所能承受的经济能力，以及系统被攻破之后可能产生的后果的严重性。

3）防火墙适用于保护内部主机安全管理不太严格的大型组织机构。

（2）防火墙的使用形式

1）路由器过滤方式防火墙

在内部网与外部网的关键路径上设置一台带有报文过滤功能的路由器，通过设置过滤规则准确完备地表达本地网络的安全政策。

2）双穴信关方式防火墙

双穴主机使用两个接口分别连接内部和外部网络，并隔离两个网络之间的直接IP报文交换。分为代理服务和用户直接登录两种访问控制方式。

3）主机过滤方式防火墙

提供安全保护的堡垒主机仅与内部网相连，通过过滤路由器连接内部网和外部网，外部网只能访问堡垒主机。更具安全性和可操作性。

4）子网过滤方式防火墙：DMZ方式（非军事区方式）

在主机过滤的基础上增加子网过滤，用过滤子网隔离堡垒主机与内部网，减轻攻击者入侵堡垒主机后对内部网的冲击。

5）内部防火墙

用于大型网络内部子网分隔，以阻止访问控制中信赖关系的传递转移。

（3）使用防火墙的问题

1）灵活性差，不能满足网络互连的复杂形式。

2）防火墙重点防卫网络传输，不保证高层协议的安全。

3）防火墙必须设置在路由的关键点，且安全域内不能存在备份的迂回路由。

4. 防火墙的管理

（1）防火墙日志：用于安全追踪。

（2）备份：防火墙系统的所有配置文件和系统文件。

四、IP级防火墙

1. 工作原理

（1）多端口交换设备，根据报文报头执行过滤规则来进行报文转发。

（2）传输控制表

1）定义过滤规则，报文依次运用每一条规则直至匹配的规则，然后执行对应的操作。

2）传输控制表的建立：安全政策→形式化描述→防火墙软件语法格式

3）制定过滤规则：规则之间并不互斥，长前缀匹配优先。

4）不同的IP级防火墙产品有不同的传输控制表格式。

2. 报文过滤规则

（1）SMTP处理：服务器端口25，客户机端口>1023

（2）POP处理：服务器端口110，客户机端口>1023

（3）HTTP处理：服务器端口80，客户机端口>1023

（4）FTP处理：服务器控制连接端口21，数据连接端口20，客户机端口>1023

（5）Telnet处理：服务器端口23，客户机端口>1023

（6）DNS处理：服务器端口53，客户机端口>1023

（7）RPC处理：端口映射服务器111，不提倡在不安全环境中提供RPC服务

（8）UDP处理：很难控制和验证，通过应用级防火墙拒绝UDP报文

（9）ICMP处理：容易遭受DOS攻击，ICMP过滤范围取决于网络的管理域

（10）路由处理：应阻止内部路由信息出去，同时阻止外部路由信息进来

（11）IP分段报文处理：取决于网络的安全要求，必要时应设置上下文

（12）IP隧道：由于开销过大，一般IP级防火墙不对IP隧道进行过滤

3. 内部路由与防火墙的混合结构

内部网使用一个路由器同时处理内部路由和外部防火墙功能，此时防火墙的定义要针对路由器的端口进行，需要路由器各端口的路由表配合。

4. IP防火墙的政策控制

（1）鉴别：验证用户的标识

（2）授权：判定用户是否有权访问所申请的资源。

5. 源点鉴别

（1）目的：防止盗用资源和服务失效攻击

（2）验证形式：抽样检查

1）对报文流当场进行抽样检查

2）一边转发，一边抽样进行后台检查

3）将样本记入日志，事后进行审计

（3）鉴别方法：过滤标准，临时口令，报文摘录，报文签名

6. IP级防火墙技术评价

（1）优点（P191）

（2）目前存在的问题（P192）

五、应用级防火墙

1. 基本原理

（1）在堡垒主机中使用应用代理服务器控制内部网络与外部网络的报文交换。

（2）优点

1）对特定的应用服务在内部网络内外的使用实施有效控制，具有很强的针对性和专用性。

2）内部网络中的用户名被防火墙中的名字取代，增加了攻击者寻找攻击对象的难度。

3）可以对过往操作进行检查和控制，禁止了不安全的行为。

4）提供报文过滤功能，还能实现对传输时间、带宽等进行控制的方法。

（3）缺点

1）通用性较差，需要为每个应用协议配置不同的代理服务器。

2）需要对正常的客户软件进行相应的调整或修改。

3）新服务的出现和对应代理的出现存在较大延迟，成为新的不安全因素。

（4）设计原则（P193）

1）不允许内部网络与外界直接的IP交互，要有边界防火墙。

2）允许内部用户发起向外的FTP和Email，但可以通过代理进行审计。

3）外部网络用户是不可信任的，要有鉴别功能。

4）内部用户所使用的涉及外部网络的服务应该是可控制的。

5）防火墙的功能是针对外部网络访问的。

1、吞吐量

2、时延

3、丢包率

4、背靠背

5、并发连接数

6、扩展性

一、网络吞吐量。

当CIO在企业中部署了企业级别的防火墙之后，企业进出互联网的所有通信流量都要通过防火墙，故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的，这时由于带宽的限制，可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入，带宽本来就很大。此时就给防火墙带来了一定的压力。

因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的，所以在流量比较高时，要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时，甚至发生机。所以网络吞吐量指标非常重要，它体现了防火墙的可用性能，也体现了企业用户使用防火墙产品的延时代价。如果防火墙对网络造成较大的延时，给用户造成较大的损失。这一点上笔者是深有感触。笔者企业很早以前就部署了企业级别的防火墙。后来公司网络进行升级改造，实现了光纤接入。可是升级改造后，笔者发现可用带宽不到预计带宽的一半。一开始笔者怀疑是光纤问题。叫对方技术人员过来，他们测试光纤的传输没有问题，带宽达到预计的标准。那笔者就感到困惑了?是什么原因吞噬了企业宝贵的带宽呢?经过一番查找，最终发现原来是哪个防火墙在作怪。原来这个防火墙采购比较早，其网络吞吐量只有10M。难怪采用光纤接入后达不到预计的要求。为此笔者不得不重新选择了一款高性能的防火墙，其网络吞吐量达到100M。就的防火墙笔者就用来进行内部的隔离。故如果企业采用了防火墙之后，对可用带宽造成了很大的影响，那无疑是一种大大的浪费。

所以笔者认为，CIO在选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然，这个吞吐量也不是越大越好。因为吞吐量越大的话，防火墙的价格也就越高。CIO要根据企业的实际情况，如现在接入互联网的带宽等因素，来选择的合适的带宽。当然如果企业资金充裕，CIO有钱没处花的话，那么吞吐量当然是越大越好。吞吐量一个基本的原则就是至少要跟企业现有的互联网接入带宽相当。

二、协议的优先级。

笔者企业现在已经实现了网络会议视频。各个分公司与总公司之间可以通过网络开视频会议，而不用再像以前那样赶来赶去开会。不过这个视频会议需要占用不少的带宽。以前每次启用这个视频会议，其他用户都会感受到网络速度明显的变慢。而且有时候网络视频也会有一卡一卡的现象。有时候笔者得把其他用户的外网断掉，这一卡一卡的现象就得到了改善。但是每次这么处理很是麻烦。为了改善这个情况，笔者在选择防火墙的时候特别关注防火墙是否有协议优先级的管理。也就是说，当视频会议系统启动时，企业网络带宽的使用率可能会比较高。这就好像现在的下班高峰一样，路上车堵了，那么车速难免就会慢下来。但是如果这是一辆救护车，那么其就有优先通过的权力。其他车辆都必须为其让道。笔者也希望能够实现类似的控制。还好，现在这款防火墙没有让笔者失望。在这款防火墙中，有协议优先级的功能，可以把语音流等关键业务的数据流量设置为比较高的优先级别。当企业的网络中出现拥塞时，将优先保证这些优先级别高的流量的通过。经过这个设置之后，以后开起视频会议的时候，就不用在手工的去关闭其他用户的网络。防火墙会自动根据企业网络状况来调整通信流量的优先级别，保证视频等通信流量具有优先通过的权力。

故笔者建议的第二个指标就是这个协议的优先性。现在视频应用在企业中使用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。如果企业带宽跟不上的话，这些应用的质量将会受到很大的影响，如通话的质量可能会时断时续。就好像手机信号差一样。虽然可以通过提高互联网的接入速度来改善这种情况，但是这不是首选方案。因为增加带宽需要企业花费比较大的投资。故笔者认为最理想的解决方案是对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中，要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。

另外这还可以用来约束员工的网络行为。如有些员工喜欢利用emule等工具下载**。但是这些工具的话会占用很大的带宽，因为他们在从网络上下载的同时，也提供别人进行下载。故耗用的带宽比较多。如果一味的限制他们，也不怎么人情化。如果把这些通信流量设置为比较低的级别，当网络比较繁忙的时候，这些通信流量占用的带宽将不断降低，只到为零。如此的话，这些通信流量对企业其他正常网络应用的影响将会降至到最低。

故笔者建议CIO在防火墙选型时第二个需要考虑的就是协议的优先级管理。特别是企业有语音电话、视频会议系统这些高级网络应用的话，则这个协议的优先级管理功能就更加的重要。

三、具有一定的扩展性。

企业的网络不可能永远的一成不变。随着企业规模的扩大，公司内部的网络会不断的升级，以符合企业日益发展的需要。如企业现在可能只是一个公司，但是随着规模的壮大可能会在各地开立分公司或者办事处。此时就遇到一个问题，如何把各地的分公司的网络与总公司的网络连接起来。为此通过***来连接无疑是一个不错的方案。但是此时CIO就遇到了一个问题，现有的防火墙能否支持***技术呢?企业很有可能以前在选购防火墙的时候没有注意到这个问题。那么后来网络升级后，CIO就会变得跟被动了。

所以CIO在选型购防火墙时第三个要考虑的指标就是防火墙的扩展性。现在企业可能不需要某个功能，如***功能。在购买防火墙时购买不需要用到的***模块也是一种浪费。但是防火墙要能够保证在以后企业用的着的时候，能够顺利进行扩展，而不需要重新购买。在这个扩展性问题上，笔者认为CIO可以从几个方面来考虑。

一是为了后续扩展的需要，最好能够购买那些模块化设计的防火墙。如此的话，后续增添其他功能的话，只需要购买模块即可。而不需要更换整个硬件防火墙。也就是说CIO选择的硬件防火墙系统最好是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的***型包过滤器，最终到一个独立的应用网关的等等。只有如此，才能让CIO轻松面对企业信息化应用的升级。

二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口：内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络，而内部网络接口连接的是得到信任的网络。在内部网部署时，连接到外部的接口可能需要和公司的主要部分连接，这时可能比外部网络的信任度高，但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化，只有两个接口的防火墙明显具有局限性，可能无法满足企业业务方面的需求。如企业可能出于安全的需要，以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑，CIO在防火墙选购时，还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。