●          本报记者 朱　毅 综合报道
互联网信息技术的发展，使得众多企业组织的内部网络开始连接到Inter-net上，这样企业在实现访问外部世界并与之通信的同时，外部世界也同样可以访问企业内部网络并与之交互。这时为了保证企业组织的信息安全，企业就必须对其重要信息进行保护。
为了安全起见，企业开始在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是提供扼守本网络的安全和审计的惟一关卡，可阻断来自外部通过网络对本网络的威胁和入侵。
这个屏障的作用与古时寓所的防火砖墙有类似之处，因此就被形象地称作“防火墙”。
防火墙通常处于企业的内部局域网与Internet之间，可限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。换言之，防火墙可以很好地保护专用和封闭的网络或网段，例如企业内部的局域网络。
认识防火墙
网络安全专家赛门铁克认为，防火墙是网络安全政策的有机组成部分，一个好的防火墙能够通过控制和检测从互联网或外部网络试图进入受保护网络或网段的所有信息和访问行为，来实现对网络安全的有效管理。
从总体上看，防火墙应具有以下5大基本功能：
● 过滤进、出网络的数据；
● 管理进、出网络的访问行为；
● 封堵某些禁止的业务；
● 记录通过防火墙的信息内容和活动；
● 对网络攻击进行检测和报警。
赛门铁克中国区技术经理郭训平说，实现防火墙功能的技术包括3大类型：包过滤（PF）、状态检测防火墙、应用代理防火墙。根据是否允许两侧通信主机直接建立链路，应用代理防火墙又可以分为网关和代理两种。目前在市场上流行的防火墙大多属于包过滤（PF）级防火墙。
应用代理防火墙
说到安全细化分析，应用代理的防火墙最好，应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。该类型防火墙能够进行更加细化复杂的安全访问控制，并做精细的注册和稽核。包过滤（PF）、状态检测防火墙则只能检测数据包的包头内容，不能检测其他内容，
状态检测防火墙
就速度而言，状态检测防火墙和包过滤具有最佳的数据流通量。而应用代理防火墙由于对信息的检查过于严格，所以最弱。
这就是说，如果您对网络速度的要求高的话，比如说电信就应该首选包过滤防火墙，而公安、财政等对安全要求高的系统则要应用代理防火墙。
3Com的技术人员告诉记者，以上提到的都是边界防火墙，它只能防止外部的入侵，仍不能防止心怀不轨的员工在网络内部从事盗窃破坏活动。因此，内部威胁仍然是政府面临的一个严重危险，特别是政府设施通常要对公众实行开放。
为了在政府局域网内部实现他们需要的纵深安全性，为了真正提供强有力的保护，政府应该在设备级部署防火墙。例如，3Com的嵌入式防火墙就是安装到服务器、台式系统、笔记本电脑等设备的网络接口卡（NIC）和PC卡，其目的是提供防火墙功能。它们只允许设备访问那些它们拥有授权的服务器和应用系统。因此，这种创新模式允许政府严格执行安全策略，同时又有利于政府雇员处理各种事务和共享数据。
萝卜白菜各有所爱
运用防火墙的单位成百上千，但不外乎3种应用环境：小型办公室、需求一般的大中型办公室、需求复杂的大型办公室。
小型办公室
小型办公室要管理的用户和机器显然比较少。它们通常不大容易成为攻击目标。而且只需要访问极少量的因特网服务：电子邮件、Web以及有时需要的流媒体。在这种情形下，几乎任何防火墙都能够胜任。因为一般说来，办公室规模越小，用户数就越少，面临的风险也就越低。
因此，就小型办公室而言，简单的包过滤防火墙就足够了，譬如许多宽带路由器（其中包括D-Link、3Com、Netgear和Linksys等公司出品的宽带路由器）随机自带的那些防火墙。另外，Watch-Guard的Firebox SOHO、赛门铁克的Firewall 100、Global科技公司的GNAT、NetScreen以及SonicWall SOHO等防火墙也完全适用于这种环境。Check Point和Cisco分别提供小型办公室版本的FireWall-1和PIX，不过价格要贵一点。
需求一般的大中型办公室
应用状态检测防火墙，如CyberGuard、Firebox、PIX、NetScreen、Si

dewinder、Rap?鄄tor和FireWall-1，上述任何一款防火墙都很合适。电子邮件应当始终使用代理，防火墙应当只允许电子邮件进出指定的电子邮件服务器。从内部到因特网的所有Web访问应该实行代理。如果常用服务没有代理，使用动态即状态过滤也不失为好办法。
复杂的大型环境
当然，拥有诸多用户和诸多有问题的复杂服务的大企业更具挑战性。“有问题的”服务是指貌似简单但实际上需要防火墙开放多个端口的服务，譬如VoIP和NetMeeting。这两种服务都需要为25种以上的不同服务开放端口，所以就应该使用应用代理的网关防火墙，此外，如果在复杂的大型环境安装防火墙，应该使用支持集中式防火墙管理和配置功能的防火墙，譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。
◣ 采购要点ABC ◥
A、防火墙不是铜墙铁壁
尽管防火墙可以在企业网络的边界起到安全屏障的作用，然而它并不是万能的。作为一种被动的技术，对各种最新的攻击类型的防御取决于防火墙知识库更新的速度和相应的配置更新的速度。随着安全技术的快速发展，防火墙软硬件需要经常升级和维护，
因此，厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性，在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史、该产品的销售纪录，并通过多种渠道了解产品的应用状况。
在采访中，北京盖特佳公司的总裁朱明方给记者举了个例子。有一次他们给一个县政府做防火墙，投入运行后，感染了特洛依木马和蠕虫等病毒，并立刻在内部局域网中传播开来，造成内部网大面积瘫痪。领导很生气，可他们检验的结果是防火墙没出错，问题在于有雇员为方便自行拨号上网，而病毒则趁机成功地避开了防火墙。这个例子说明，即使安装了防火墙也不能掉以轻心，实施严格的安全管理制度始终是必须的。
B、要有证书
作为网络安全产品，防火墙都是通过了某种认证，意味着该产品通过了相应的检测。在选择产品时，要注意检查所购产品通过了哪些认证，作为产品选型的依据。
比如公安部计算机信息安全产品质量监督检验中心颁发的销售许可证，是谁都必须有的；企业级防火墙要有中国信息安全产品测评认证中心的认证；政府涉密网防火墙则要有国家保密局测评认证中心的认证（中国人民解放军信息安全测评认证中心是针对军队使用）。
C、可扩充易兼容
某个县政府一年前购买了几十台防火墙，随着信息化程度的不断提高，该政府部门决定构建视频会议系统，却发现防火墙不支持该应用协议，如果要实现视频会议，必须让防火墙打开一个很大的缺口，这会留下很大的安全隐患。这说明在选购防火墙时要充分考虑到今后网络的扩展性，防火墙要能适应新的应用环境。
在产品选型时，需要考察该产品能够与哪些厂商的哪些产品实现联动和集成，是否对其他厂商开放应用接口，是否加入开放性的安全联盟，如OPSEC、TOPSEC等。除了访问控制功能外，是否集成了其他的安全技术，如NAT和VPN。
◣ 更快捷  更安全 ◥
网络应用的增加，对网络带宽提出了更高的要求，千兆网络开始在国内大规模推广应用。目前很多新建的骨干网，都会采用千兆的结构。以前的骨干网也都在逐渐从骨干到边缘，逐步进行千兆改造。
另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的时间延迟要尽可能的缩短，这意味着防火墙要能够以非常高的速率处理数据。
赛门铁克中国区技术经理郭训平说：“对于防火墙来说，快速和安全这两点虽然是矛盾的，但通过集成技术能很好地实现这一要求。”目前有两种方法：一是基于ASIC芯片的防火墙，二是基于网络处理器（NP）的防火墙。
基于网络处理器的防火墙
从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好很多。但是与基于ASIC的纯硬件防火墙相比，速度还是差许多。基于网络处理器的防火墙的优势在于更加具有灵活性，如果要升级，仅换软件就可以。
基于ASIC的防火墙
基于ASIC的防火墙使用专门的硬件处理网络数据流，具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以

同时满足来自灵活性和运行性能的要求。
除了提速还要提高智能，北京首信股份有限公司IP网络技术研究所所长李学春说：“未来防火墙的一个发展方向就是智能化，具有自动搜索、自动探测的功能，可以在攻击没有发生之前自动屏蔽掉有攻击性的地址和不良信息。”“被动变为主动，非智能变为智能，这是安全的一个发展方向。”李所长介绍说，目前该研究所正在此方面进行深入探索，预计将在明年推出一款具备智能化功能的防火墙产品。