《06防火墻技術(shù)與應(yīng)用》由會(huì)員分享，可在線閱讀，更多相關(guān)《06防火墻技術(shù)與應(yīng)用（45頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級(jí),,第三級(jí),,第四級(jí),,第五級(jí),,,*,第,6,章 防火墻技術(shù),與應(yīng)用,,本章內(nèi)容,防火墻概述,,6. 1,防火墻的類(lèi)型,,6. 2,防火墻的體系結(jié)構(gòu),6. 3,防火墻配置,,6. 4,防火墻產(chǎn)品介紹,6. 5,引導(dǎo)案例,:,,隨著計(jì)算機(jī)信息技術(shù)的日益發(fā)展與完善，互聯(lián)網(wǎng)技術(shù)的普及和發(fā)展，給教育信息化工作的開(kāi)展提供了很多的便利，網(wǎng)絡(luò)成為教育信息化的重要組成部分。然而，網(wǎng)絡(luò)的快速發(fā)展也給黑客提供了更多的危及計(jì)算機(jī)網(wǎng)絡(luò)信息安全的手段和方法，網(wǎng)絡(luò)信息安全成為人們關(guān)注的焦點(diǎn)。上海市某教委計(jì)算機(jī)網(wǎng)絡(luò)連接形式多樣、終端分布不均勻且具有

2、開(kāi)放性特點(diǎn)，容易受到攻擊。因此，如何針對(duì)該教委建立一個(gè)安全、高效的網(wǎng)絡(luò)系統(tǒng)，最終為廣大師生提供全面服務(wù)，成為了迫切需要解決的問(wèn)題。,,古時(shí)候，建造和使用木質(zhì)結(jié)構(gòu)的房屋，為了在火災(zāi)發(fā)生時(shí)，防止火勢(shì)蔓延，人們將堅(jiān)固的石塊堆砌在房屋周?chē)纬梢坏缐ψ鳛槠琳?，這種防護(hù)構(gòu)筑物被稱(chēng)之為防火墻。在今天的網(wǎng)絡(luò)世界里，人們借用了防火墻這個(gè)概念，把隔離在內(nèi)部網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)稱(chēng)為防火墻。它在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個(gè)保護(hù)層，并迫使所有的連接和訪問(wèn)都通過(guò)這一保護(hù)層，以便接受檢查。只有被授權(quán)信息流才能通過(guò)保護(hù)層，進(jìn)入內(nèi)部網(wǎng)，從而保護(hù)內(nèi)部網(wǎng)免受非法入侵。,防火墻概述,,4. 1,,4.1.1,防火墻的概念

3、,,防火墻（,Firewall,）,——,是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，它能擋住來(lái)自外部網(wǎng)絡(luò)的攻擊和入侵，保障內(nèi)部網(wǎng)絡(luò)的安全。,從實(shí)現(xiàn)方式上看，防火墻可以分為,硬件防火墻,和,軟件防火墻,兩類(lèi)：,,硬件防火墻是通過(guò)硬件和軟件的結(jié)合來(lái)達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的；,,軟件防火墻是通過(guò)純軟件的方式來(lái)實(shí)現(xiàn)的。,,1,、相關(guān)概念（見(jiàn),P142-143),,2,、防火墻的安全策略,,防火墻安全策略是指要明確地定義允許使用或禁止使用的網(wǎng)絡(luò)服務(wù)。,,(1),除非明確允許，否則就禁止,,（,2,）除非明確禁止，否則就允許。,,防火墻的發(fā)展簡(jiǎn)史,防火墻,,發(fā)展史,2.,第二代防火墻,——,用戶化

4、的防火墻,3.,第三代防火墻,——,建立在通用操作系統(tǒng)上的防火墻,,4.,第四代防火墻,——,具有安全操作系統(tǒng)的防火墻,1.,第一代防火墻,——,基于路由器的防火墻,,6.1.2,防火墻的功能與缺陷,,1,、先進(jìn)的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下功能（,P143,－,144,）,,（,1,）,.,包過(guò)濾,,（,,2,）,.,遠(yuǎn)程管理,,（,,3,）,. NAT,技術(shù),,（,,4,）,.,代理,,（,,5,）,. MAC,與,IP,地址的綁定,,（,,6,）,.,流量控制（帶寬管理）和統(tǒng)計(jì)分析、流量計(jì)費(fèi),,（,,7,）,. VPN,,（,,8,）,. URL,級(jí)信息過(guò)濾,,（

5、,,9,）,.,其他特殊功能,,2,、防火墻的缺陷,（,P144,）,,6.1.3,常見(jiàn)的防火墻,,1,、,NetScreen,208 Firewall,,是,NetScreen,公司推出的一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品。內(nèi)置,ASIC,技術(shù)，其安全設(shè)備具有低延時(shí)、高效的,IPSEC,加密和防火墻功能，可以無(wú)縫地部署到任何網(wǎng)絡(luò)。設(shè)備安裝和操控也非常容易，可以通過(guò)多種管理界面包括內(nèi)置的,WEBUI,界面、命令行界面或,NetScreen,中央管理方案進(jìn)行管理（,P146,）,,2,、,Cisco Secure PIX 515-E FIREWALL,,是,CISCO,家族中的專(zhuān)用防火墻設(shè)施，通過(guò)端到端

6、安全服務(wù)的有機(jī)組合，提供了很高的安全性，適合那些僅需要與自己企業(yè)網(wǎng)進(jìn)行雙向通信的遠(yuǎn)程站點(diǎn)，或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的,WEB,服務(wù)的情況。該防火墻與普通的,CPU,密集型專(zhuān)用代理服務(wù)器不同，它采用非,UNIX,、安全、實(shí)時(shí)的內(nèi)置系統(tǒng)，可以提供擴(kuò)展和重新配置,IP,網(wǎng)絡(luò)的特性，同時(shí)不引起,IP,地址短缺問(wèn)題（,P146),。,,3,、天融信網(wǎng)絡(luò)衛(wèi)士,NGFW4000-S,防火墻,,北京天融信公司的網(wǎng)絡(luò)衛(wèi)士是我國(guó)第一套自主版權(quán)的防火墻系統(tǒng)，是我國(guó)首創(chuàng)的核檢測(cè)防火墻。它由防火墻和管理器組成，集中了包過(guò)濾防火墻、應(yīng)用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換（,NAT,）、用戶身份鑒別、虛擬專(zhuān)用網(wǎng)、,WEB,頁(yè)

7、面保護(hù)、用戶權(quán)限控制、安全審計(jì)、攻擊檢測(cè)、流量控制與計(jì)費(fèi)等功能。（,P146,）,,4,、東軟,NetEye,4032,防火墻,,該系統(tǒng)在性能、可靠性、管理性等方面大大提高。其基于狀態(tài)包過(guò)濾的劉過(guò)濾體系結(jié)構(gòu)，保證從數(shù)據(jù)鏈路層到應(yīng)用層的安全高性能過(guò)濾，可以進(jìn)行應(yīng)用級(jí)插件的及時(shí)升級(jí)，攻擊方式的及時(shí)響應(yīng)，實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全保障，適合于中小型企業(yè)的網(wǎng)絡(luò)安全需要。（,P146,） 。,,4.1.4,防火墻的安全性設(shè)計(jì),,1.,用戶認(rèn)證,,2.,域名服務(wù),,3.,郵件處理,,4. IP,層的安全性,,5.,防火墻的,IP,安全性,,防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類(lèi)型，但總體來(lái)講可分

8、為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類(lèi)型。,包過(guò)濾型防火墻,,1,應(yīng)用級(jí)網(wǎng)關(guān)型防火墻,,2,防火墻的類(lèi)型,,6. 2,代理服務(wù)型防火墻,,3,復(fù)合型防火墻,,4,,6.2.1,包過(guò)濾防火墻,,數(shù)據(jù)包過(guò)濾,(Packet Filtering),技術(shù),——,在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱(chēng)為訪問(wèn)控制表,(Access Control Table),。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。,優(yōu)點(diǎn) ：,數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于,,安裝和使用，網(wǎng)絡(luò)性能和透明性好,缺點(diǎn) ：,一

9、是非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上,,的軟件和配置漏洞進(jìn)行攻擊；,,二是數(shù)據(jù)包的源地址、目的地址以及,IP,的端口號(hào),,都在數(shù)據(jù)包的頭部，很有可能被竊聽(tīng)或假冒。,,包過(guò)濾技術(shù)是防火墻的基礎(chǔ)功能，依賴(lài)于數(shù)據(jù)傳輸?shù)囊话憬Y(jié)構(gòu)，而數(shù)據(jù)結(jié)構(gòu)所使用的數(shù)據(jù)包頭部含有,IP,地址信息和協(xié)議所使用的端口信息，根據(jù)這些信息，可以決定是否將數(shù)據(jù)轉(zhuǎn)發(fā)給目的地址。包過(guò)濾及時(shí)取決于管理員設(shè)定的規(guī)則庫(kù)，可以根據(jù)以下信息來(lái)制定規(guī)則庫(kù)：,,1,、發(fā)出數(shù)據(jù)包的源地址和目的地址；,,2,、接收數(shù)據(jù)包的源地址和目的地址；,,3,、所涉及的網(wǎng)絡(luò)協(xié)議（,TCP,、,UDP,等）；,,4,、所使用的端口，如,HTTP,使用的,80,端

10、口。,,（,1,）第一代：靜態(tài)包過(guò)濾,,（,2,）第二代：動(dòng)態(tài)包過(guò)濾,,,2,、包過(guò)濾技術(shù)的過(guò)程,,一個(gè)包過(guò)濾防火墻必須具備兩個(gè)端口，一個(gè)端口連接非信任網(wǎng)絡(luò)（如因特網(wǎng)），另一個(gè)端口連接可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)），如,P147,圖,6,－,2,所示。防火墻配置的規(guī)則必須能對(duì)一個(gè)非信任端口流向信任端口，或信任端口流向非信任端口進(jìn)行控制處理，以此來(lái)決定是否讓信息流通過(guò)，如,P147,圖,6,－,3,所示。,,由圖可見(jiàn)，一個(gè)典型的網(wǎng)絡(luò)結(jié)構(gòu)，包括,HTTP,、,DNS,、,SMTP,內(nèi)部網(wǎng)絡(luò)通過(guò)包過(guò)濾防火墻將其分為服務(wù)器區(qū)域和子網(wǎng)絡(luò)區(qū)域。,,創(chuàng)建規(guī)則庫(kù)。規(guī)則庫(kù)包含了最常見(jiàn)的網(wǎng)絡(luò)服務(wù)的安全規(guī)則，包括現(xiàn)有的網(wǎng)絡(luò)

11、情況自定義的安全規(guī)則。創(chuàng)建一個(gè)規(guī)則庫(kù)需要按照以下標(biāo)準(zhǔn)：協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口、當(dāng)數(shù)據(jù)包和規(guī)則庫(kù)匹配時(shí)應(yīng)采用的措施。,,如,P148,表,6,－,1,所示。,,3,、包過(guò)濾防火墻的有點(diǎn)和缺點(diǎn),,要準(zhǔn)確地定義包過(guò)濾防火墻規(guī)則很復(fù)雜，在考慮包過(guò)濾設(shè)備的部署時(shí)必須了解其優(yōu)缺點(diǎn)。,,（,1,）優(yōu)點(diǎn)：設(shè)備價(jià)格便宜，且設(shè)備性能不會(huì)受影響；對(duì)流量的管理較好。,,（,2,）缺點(diǎn)：詳見(jiàn),P149,,6.2.2,應(yīng)用代理防火墻,,,應(yīng)用代理或代理服務(wù)器是代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它將內(nèi)部用戶的請(qǐng)求確認(rèn)后送達(dá)外部防火墻，同時(shí)將外部服務(wù)器的響應(yīng)在回送給用戶。這種技術(shù)被用于

12、在,WEB,服務(wù)器上高速緩存信息，并且扮演,WEB,客戶和,WEB,服務(wù)器之間的中介角色。它主要保存因特網(wǎng)上那些最常用和最近訪問(wèn)過(guò)的內(nèi)容，為用戶提供更快的訪問(wèn)速度。這項(xiàng)技術(shù)對(duì),ISP,很常見(jiàn)，特別是如果它到因特網(wǎng)的連接速度很慢的話。在,WEB,上，代理首先試圖在本地尋找數(shù)據(jù)，如果沒(méi)有，在到遠(yuǎn)程服務(wù)器上去找。也可以通過(guò)建立代理服務(wù)器來(lái)允許在防火墻后直接訪問(wèn)因特網(wǎng)。代理在服務(wù)器山打開(kāi)一個(gè)套接字，并允許通過(guò)這個(gè)套接字與因特網(wǎng)通信。,,,應(yīng)用代理網(wǎng)關(guān)即代理服務(wù)器，適用于特定的互聯(lián)網(wǎng)服務(wù)。代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來(lái)說(shuō)像是一臺(tái)真的服務(wù)器，而對(duì)外界來(lái)說(shuō)，它又是一臺(tái)客戶機(jī)。當(dāng)代理服務(wù)器接收

13、到用戶對(duì)某站點(diǎn)的訪問(wèn)請(qǐng)求后會(huì)檢查該請(qǐng)求是否符合要求，如果規(guī)則運(yùn)行用戶訪問(wèn)該站點(diǎn)的話，代理服務(wù)器會(huì)像一個(gè)客戶一樣去那個(gè)站點(diǎn)取回所需要信息再轉(zhuǎn)發(fā)給客戶。代理服務(wù)器通常都擁有一個(gè)高速緩存，這個(gè)緩存存儲(chǔ)用戶經(jīng)常訪問(wèn)的站點(diǎn)內(nèi)容，在下一個(gè)用戶要訪問(wèn)同一站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)的獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出去即可，節(jié)省了時(shí)間和網(wǎng)絡(luò)資源。,（詳見(jiàn),149,）,,應(yīng)用級(jí)網(wǎng)關(guān)的不足（詳見(jiàn),149,）,,6.2.3,電路級(jí)網(wǎng)關(guān)防火墻,,,。,電子級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不手信任的主機(jī)間的,TCP,握手信息，以此來(lái)決定該會(huì)話是否有效。電路級(jí)網(wǎng)關(guān)在,OSI,模型中會(huì)話層上過(guò)濾數(shù)據(jù)包，這樣比包過(guò)濾防火墻

14、要高二層。實(shí)際上，電路級(jí)網(wǎng)關(guān)并非作為一個(gè)獨(dú)立的產(chǎn)品存折，它于其他的應(yīng)用級(jí)網(wǎng)關(guān)結(jié)合在一起。例如。另外電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：代理服務(wù)器，在其上運(yùn)行一個(gè)叫做“地址轉(zhuǎn)移”的進(jìn)程，用來(lái)將所有公司內(nèi)部的,IP,地址映射到一個(gè)安全的,IP,地址，,P150,,6.2.4,狀態(tài)檢測(cè)防火墻,,該防火墻結(jié)合了包過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)、應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它同包過(guò)濾防火墻一樣，按規(guī)則檢查防火墻能夠在,OSI,網(wǎng)絡(luò)層上通過(guò)的,IP,地址和端口，過(guò)濾進(jìn)出的數(shù)據(jù)包。它也像電路級(jí)網(wǎng)關(guān)一樣，能夠檢查,SYN,和,ACK,標(biāo)記及序列是否邏輯有序。,,規(guī)則檢查防火墻雖然集成了前三者的特點(diǎn)，但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)

15、關(guān)，它并不打破客戶機(jī),/,服務(wù)機(jī)模式來(lái)分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾包上更有效。,,P150-151,,雙重宿主主機(jī)體系結(jié)構(gòu),1,屏蔽主機(jī)體系結(jié)構(gòu),2,防火墻的體系結(jié)構(gòu),6. 3,屏蔽子網(wǎng)體系結(jié)構(gòu),3,,復(fù)合型防火墻,,,由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。,,,屏蔽主機(jī)防火墻體系結(jié)構(gòu)：,在該結(jié)構(gòu)中，分組過(guò)

16、濾路由器或防火墻與,Internet,相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為,Internet,上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。,,,屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：,堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與,Internet,及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。,,6.3.1,雙重宿主主機(jī)體系結(jié)構(gòu),,雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)而構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)外

17、部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的路由器，所以它能夠使內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的數(shù)據(jù)包直接路由通過(guò)。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。所有，,IP,數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)并不是直接發(fā)送到其他網(wǎng)絡(luò)。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)能與雙重宿主主機(jī)通信，但不能直接通信，它們之間的,IP,通信被完全阻止。,,雙重宿主主機(jī)的防,火墻系統(tǒng)結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的，雙重宿主主機(jī)位于兩者之間，并且被連接到 因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)，如,P151,圖,6,－,5.,,6.3.2,屏蔽主機(jī)體系結(jié)構(gòu),屏蔽主機(jī)體系結(jié)構(gòu),使用一個(gè)單獨(dú)的路由器提供來(lái)自僅僅與內(nèi)部的網(wǎng)絡(luò)相聯(lián)的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中，主要的

18、安全由數(shù)據(jù)包過(guò)濾提供。,如,P151,圖,6,－,6.,,在屏蔽的路由器上的數(shù)據(jù)包過(guò)濾是按這樣一種方法設(shè)置的：堡壘主機(jī)是因特網(wǎng)上的主機(jī)連接到內(nèi)部網(wǎng)絡(luò)系統(tǒng)的橋梁，例如，傳送電子郵件。即使這樣，也僅有某些確定類(lèi)型的連接被允許。任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)將這些連接到這臺(tái)堡壘主機(jī)上。因此堡壘主機(jī)需要擁有高等級(jí)的安全。,,數(shù)據(jù)包過(guò)濾也允許堡壘主機(jī)開(kāi)放可以允許的連接（什么是“可允許”將由用戶的站點(diǎn)的安全策略決定）到外部世界．在屏蔽的路由器中數(shù)據(jù)包過(guò)濾配置可以按下列方式之一執(zhí)行．（１）允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接（即允許那些已經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù)．,,（２）不允許來(lái)自內(nèi)部

19、主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）．,,用戶可以針對(duì)不同的服務(wù)混合使用這些手段，某些服務(wù)可以被允許直接由數(shù)據(jù)包過(guò)濾，而其他服務(wù)可以被允許間接地經(jīng)過(guò)代理．這完全取決于用戶實(shí)行的安全策略．,,因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)絡(luò)的移動(dòng)，所有它的涉及比沒(méi)有外部數(shù)據(jù)包能達(dá)到內(nèi)部網(wǎng)絡(luò)的雙重宿主主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險(xiǎn)。實(shí)際上，雙重宿主主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包從外 部網(wǎng)絡(luò)傳過(guò)內(nèi)部網(wǎng)絡(luò)時(shí)容易產(chǎn)生失敗，不大可能 防備黑客侵襲。,,然而，比較其他體系結(jié)構(gòu)，這種體系結(jié)構(gòu)也有一些特點(diǎn)，主要是如果侵襲著沒(méi)有辦法侵人堡壘主機(jī)，而而且在堡壘主機(jī)和其余的內(nèi)部主機(jī)之間沒(méi)有任何 保護(hù)網(wǎng)絡(luò)安全的東西

20、存在的情況下，路由器統(tǒng)一出現(xiàn)一個(gè)單點(diǎn)失效。如果路由器被損害，則整個(gè)網(wǎng)絡(luò)對(duì)侵襲著是開(kāi)放的。,,6.3.3,屏蔽子網(wǎng)體系結(jié)構(gòu),,也叫被屏蔽子網(wǎng)體系結(jié)構(gòu)，,將額外的安全層添加到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),(,通常是,Internet),隔離開(kāi)。,該體系結(jié)構(gòu)的最簡(jiǎn)單形式為：兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)，一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間，這樣在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過(guò)兩個(gè)路由器。如,P153,圖,6,－,7.,,周邊網(wǎng)絡(luò)是一個(gè)被隔離的獨(dú)立子網(wǎng)，充當(dāng)了內(nèi)部網(wǎng)

21、絡(luò)和外部網(wǎng)絡(luò)的緩沖區(qū)，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。這就構(gòu)成一個(gè)所謂的,“,非軍事區(qū)”,(,DeMilitarized,Zone,，,DMZ),，,DMZ,是周邊網(wǎng)絡(luò)，是防火墻的重要概念，在實(shí)際應(yīng)用中經(jīng)常用到。,,（,1,）周邊網(wǎng)絡(luò),,（,2,）堡壘主機(jī),,（,3,）內(nèi)部路由器,,（,4,）外部路由器,,6.3.4,防火墻體系結(jié)構(gòu)的組合,建造防火墻時(shí)，一般很少采用單一的技術(shù)，通常是多種解決不同問(wèn)題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接收什么等級(jí)的風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi)、投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。一般有以下幾種形式

22、：,,（,1,）使用多堡壘主機(jī),,（,2,）合并內(nèi)部路由器與外部路由器,,（,3,）合并堡壘主機(jī)與外部路由器,,（,4,）合并堡壘主機(jī)與內(nèi)部路由器,,（,5,）使用多臺(tái)內(nèi)部路由器,,（,6,）使用多臺(tái)外部路由器,,（,7,）使用多個(gè)周邊網(wǎng)絡(luò),,（,8,）使用雙重宿主主機(jī)與屏蔽子網(wǎng)。,,6.4.1,天融信防火墻的應(yīng)用實(shí)例,,網(wǎng)絡(luò)衛(wèi)士系列防火墻是天融信在多年的防火墻開(kāi)發(fā)和應(yīng)用實(shí)踐及廣大用戶寶貴建議的基礎(chǔ)上，基于對(duì)網(wǎng)絡(luò)安全的深刻理解，并融合網(wǎng)絡(luò)科技的最新成果，采用獨(dú)特的安全架構(gòu)和多項(xiàng)具有自主知識(shí)產(chǎn)權(quán)的安全技術(shù)，經(jīng)過(guò)近兩年的開(kāi)發(fā)完成的最新一代防火墻產(chǎn)品。,,網(wǎng)絡(luò)衛(wèi)士系列防火墻產(chǎn)品一般包括防火墻硬件產(chǎn)品

23、和防火墻“集中管理器”軟件。其專(zhuān)用管理軟件可運(yùn)行于,Windows,環(huán)境下。,,網(wǎng)絡(luò)衛(wèi)士系列防火墻至少有三個(gè)標(biāo)準(zhǔn)端口，即一個(gè)接外網(wǎng)（,Internet),，一個(gè)接內(nèi)網(wǎng)，一個(gè)接,DMZ,區(qū)，在,DMZ,區(qū)中有網(wǎng)絡(luò)服務(wù)器。安裝防火墻所要達(dá)到的效果是：內(nèi)網(wǎng)區(qū)的計(jì)算機(jī)可以任意訪問(wèn)外網(wǎng)，可以訪問(wèn),DMZ,中指定的網(wǎng)絡(luò)服務(wù)器，,Internet,和,DMZ,的計(jì)算機(jī)不能訪問(wèn)內(nèi)網(wǎng)，,Internet,可以訪問(wèn),DMZ,中的服務(wù)器，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖,6,－,8.,,防 火 墻產(chǎn)品的 配 置實(shí)例與應(yīng)用解決方案,6. 4,,1.,安裝防火墻管理器軟件。,,管理器軟件一般安裝在單獨(dú)的管理主機(jī)上，管理主機(jī)通常位于

24、管理中心網(wǎng)絡(luò)的網(wǎng)管主機(jī)上，管理中心為內(nèi)部防火區(qū)的子集，同時(shí)管理主機(jī)或管理中心與其他安全區(qū)域相比有更嚴(yán)格的訪問(wèn)安全策略。（詳見(jiàn),P155,）,,2.,管理網(wǎng)絡(luò)衛(wèi)士防火墻,,網(wǎng)絡(luò)管理員可以通過(guò)多種方式管理網(wǎng)絡(luò)衛(wèi)士防火墻。管理港式包括本地管理和遠(yuǎn)程管理，本地管理即通過(guò),Console,口登錄防火墻進(jìn)行管理；遠(yuǎn)程管理包括使用防火墻集中管理器，或通過(guò),Telnet,及,SSH,等多種方式登錄防火墻進(jìn)行配置管理,.,,（,1,） 使用,Console,口登錄防火墻。具體方法見(jiàn),P155-157,,(2),使用防火墻集中管理器。具體方法見(jiàn),P157-158,,3.,防火墻的一些策略配置,,（,1,）定義網(wǎng)絡(luò)

25、區(qū)域。（,2,）定義網(wǎng)絡(luò)對(duì)象。（,3,）配置訪問(wèn)策略,,（,4,）通信策略。,,,6.4.2,防火墻的應(yīng)用解決方案,,1.,證券公司營(yíng)業(yè)部防火墻解決方案,,某證券公司營(yíng)業(yè)部原系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖,6,－,21,所示。整個(gè)營(yíng)業(yè)部局域網(wǎng)通過(guò)路由器連接,DDN,專(zhuān)線接入因特網(wǎng)。,WEB,服務(wù)器直接與路由器局域網(wǎng)口連在一個(gè)交換機(jī)上，使用合法,IP,地址。一臺(tái)業(yè)務(wù)前置機(jī)也連在整個(gè)交換機(jī)上，使用合法的,IP,地址。業(yè)務(wù)前置機(jī)與內(nèi)部網(wǎng)中的一臺(tái)業(yè)務(wù)通信機(jī)通過(guò)串行線連接。內(nèi)部網(wǎng)所有用戶要訪問(wèn)因特網(wǎng)，必須通過(guò)代理服務(wù)器。代理服務(wù)器軟件為,WinGate,和,Sygate,。代理服務(wù)器上裝兩片網(wǎng)卡，一片連接在外部的交

26、換機(jī)上，另一片連在內(nèi)部網(wǎng)的交換機(jī)上。同時(shí)代理服務(wù)器也兼作業(yè)務(wù)前置機(jī)。在整個(gè)網(wǎng)絡(luò)系統(tǒng)中添加一臺(tái)清華紫光的,UF3500,防火墻，以三端口運(yùn)行。將大戶網(wǎng)吧和內(nèi)部網(wǎng)（包括代理服務(wù)器）連接到防火墻的內(nèi)部區(qū)；將,WEB,服務(wù)器和前置業(yè)務(wù)機(jī)連接到防火墻的中立區(qū)；而防火墻的外部接口與路由器的局域網(wǎng)口相連。這樣可以有效保護(hù)內(nèi)部網(wǎng)、大戶網(wǎng)吧、,WEB,服務(wù)區(qū)和前置業(yè)務(wù)機(jī)，同時(shí)保證所有業(yè)務(wù)的正常運(yùn)行。系統(tǒng)架構(gòu)如,P162,的圖,6,－,22.,,,2.,天融信某銀行金融城域網(wǎng)防火墻方案,,目前某銀行主要應(yīng)用業(yè)務(wù)中，網(wǎng)上銀行、電子商務(wù)、網(wǎng)上交易系統(tǒng)都是通過(guò)因特網(wǎng)公網(wǎng)進(jìn)行相關(guān)操作，由于互聯(lián)網(wǎng)自身的廣泛性、自由性等特點(diǎn)

27、，其系統(tǒng)很可能成為惡意入侵者的攻擊目標(biāo)。銀行網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)來(lái)自多個(gè)方面。其一，來(lái)自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)。其二，來(lái)自外單位的風(fēng)險(xiǎn)。其三，來(lái)自不信任域的風(fēng)險(xiǎn)。其四，來(lái)自內(nèi)部網(wǎng)的風(fēng)險(xiǎn)。（詳見(jiàn),P162,）,,鑒于存在以上潛在風(fēng)險(xiǎn)，該銀行網(wǎng)絡(luò)需要防范來(lái)自不安全網(wǎng)絡(luò)或不信任域的非法訪問(wèn)或非授權(quán)訪問(wèn)，防范信息在網(wǎng)絡(luò)傳輸過(guò)程中被非法竊取而造成信息的泄露，并動(dòng)態(tài)地防范各種來(lái)自內(nèi)外網(wǎng)絡(luò)的惡意攻擊，對(duì)進(jìn)入網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù)實(shí)時(shí)檢測(cè)，防范病毒對(duì)網(wǎng)絡(luò)或主機(jī)的侵害，針對(duì)銀行特殊的應(yīng)用進(jìn)行特定的應(yīng)用開(kāi)發(fā)，必須制定完善的安全管理制度，并通過(guò)培訓(xùn)等手段來(lái)增強(qiáng)員工的安全防范技術(shù)及意識(shí)。,,鑒于以上銀行系統(tǒng)可能發(fā)生的安全隱患及客戶要求，天

28、融信制訂出了安全可靠的安全解決方案，首先,……,其次,……,再次（詳見(jiàn),P163,）,,,除了上述的安全風(fēng)險(xiǎn)外，安全設(shè)備本身的穩(wěn)定性也非常重要。為此天融信安全解決方案中防火墻將采用雙機(jī)熱備的方式，即兩臺(tái)防火墻互為備份，一臺(tái)是主防火墻，另一臺(tái)是從防火墻。當(dāng)主防火墻發(fā)送故障時(shí)，從防火墻接替主防火墻的工作，從而最大限度地保證用戶網(wǎng)絡(luò)的聯(lián)通性。,,根據(jù)該銀行的網(wǎng)絡(luò)結(jié)構(gòu)，天融信把整個(gè)網(wǎng)絡(luò)用防火墻分割成三個(gè)物理控制區(qū)域，即金融網(wǎng)廣域網(wǎng)、獨(dú)立服務(wù)器網(wǎng)絡(luò)、銀行內(nèi)部網(wǎng)絡(luò)。以上三個(gè)區(qū)域分別連接在防火墻的三個(gè)以太網(wǎng)接口上，從而通過(guò) 防火墻加載訪問(wèn)控制策略，對(duì)這三個(gè)控制區(qū)域間的訪問(wèn)進(jìn)行限制。主防火墻與從防火墻之間通過(guò)

29、,Console,電纜線相連接，用以進(jìn)行兩臺(tái)防火墻之間的心跳檢測(cè)。其拓?fù)浣Y(jié)構(gòu)如圖,6,－,23,所示。,,1,、現(xiàn)狀描述,,上海某教委教育信息網(wǎng)依托教育信息網(wǎng)絡(luò)平臺(tái)，構(gòu)成了以教委為中心，各學(xué)校教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍區(qū)子網(wǎng)、圖書(shū)館子網(wǎng)等組成的網(wǎng)絡(luò)體系，在在此基礎(chǔ)上開(kāi)展了多樣化的教學(xué)和科研業(yè)務(wù)。,,目前該網(wǎng)絡(luò)基礎(chǔ)設(shè)施已基本建設(shè)完成，具有以下幾個(gè)顯著特點(diǎn)：首先是教委信息中心作為校園網(wǎng)的核心面向?qū)W生師生，是系統(tǒng)的建設(shè)重點(diǎn)；其次各學(xué)校校園網(wǎng)數(shù)據(jù)應(yīng)用類(lèi)型比較復(fù)雜，主要包括提供網(wǎng)上瀏覽、電子郵件、遠(yuǎn)程登錄的信息服務(wù)系統(tǒng)，提供多媒體網(wǎng)上教學(xué)平臺(tái)的教學(xué)應(yīng)用系統(tǒng)，為各學(xué)校綜合教務(wù)提供服務(wù)的辦公自動(dòng)化管理系統(tǒng)，人

30、事信息、教學(xué)資源管理應(yīng)用系統(tǒng)，提供教學(xué)科研圖書(shū)資料的電子圖書(shū)館等。,案例實(shí)現(xiàn),,2,、需求分析,,該教委各學(xué)校網(wǎng)絡(luò)的安全建設(shè)目前還比較簡(jiǎn)單，存在著較多的安全隱患，根據(jù)各學(xué)校的網(wǎng)絡(luò)和應(yīng)用特點(diǎn)，從信息安全的角度并結(jié)合本學(xué)期安全項(xiàng)目建設(shè)目標(biāo)，教委及各學(xué)校主要存在以下的安全需,,（,1,）在各學(xué)校網(wǎng)絡(luò)出口處 部署訪問(wèn)控制設(shè)備，防止外網(wǎng)非授權(quán)數(shù)據(jù)進(jìn)入學(xué)校內(nèi)網(wǎng)，實(shí)現(xiàn)學(xué)校內(nèi)網(wǎng)和廣域網(wǎng)的邏輯隔離。,,（,2,）實(shí)現(xiàn)對(duì)訪問(wèn)控制設(shè)備的集中管理，實(shí)現(xiàn)策略統(tǒng)一下發(fā)，日志集中存儲(chǔ),,（,3,）建立統(tǒng)一安全管理平臺(tái)，對(duì)全網(wǎng)設(shè)備進(jìn)行有效監(jiān)控，并對(duì)整個(gè)安全態(tài)勢(shì)進(jìn)行感知，實(shí)時(shí)準(zhǔn)確定位安全事件發(fā)生源，對(duì)信息系統(tǒng)所面臨的蠕蟲(chóng)病毒及

31、黑客入侵等網(wǎng)絡(luò)攻擊形成一套監(jiān)控、預(yù)警、發(fā)現(xiàn)、響應(yīng)的機(jī)制,,（,4,）建立系統(tǒng)、有效的安全管理制度。,案例實(shí)現(xiàn),,3,、解決方案,,（,1,）在教委互聯(lián)網(wǎng)出口處部署兩臺(tái)防火墻，出口處防火墻 采用雙機(jī)熱備方式部署，當(dāng)一臺(tái)防火墻崩潰時(shí)，另外一臺(tái)防火墻存有所有會(huì)話的備份，從而保證業(yè)務(wù)的高可用性，如,P164,圖,6,－,24,所示。同時(shí)，充分發(fā)揮防火墻的入侵防御、深度內(nèi)容過(guò)濾、高可用性、管理審計(jì)等功能，做到事前可見(jiàn)、事中可控、事后可查。通過(guò)設(shè)置過(guò)濾規(guī)則，僅允許外部用戶訪問(wèn)特定主機(jī)的特定服務(wù)端口，有效保護(hù)教委教育信息網(wǎng)的內(nèi)網(wǎng)安全。,,（,2,）在各學(xué)校網(wǎng)絡(luò)邊界處部署防火墻，對(duì)網(wǎng)絡(luò)內(nèi)部的相互訪問(wèn)進(jìn)行訪問(wèn)控

32、制。確保合法用戶正常使用網(wǎng)絡(luò)資源、防止外部用戶非法訪問(wèn)該教委下屬各學(xué)校的內(nèi)網(wǎng)，阻止網(wǎng)絡(luò)攻擊和越權(quán)訪問(wèn)，確保網(wǎng)絡(luò)訪問(wèn)在有序和可控的環(huán)境下進(jìn)行。,,（,3,）采用安全管理平臺(tái)對(duì)該網(wǎng)絡(luò)中的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行集中監(jiān)控管理，它包括網(wǎng)絡(luò)拓?fù)涔芾?、性能管理、故障管理、安全審?jì)、事件和告警管理等功能模塊。,案例實(shí)現(xiàn),,4.4.1,Web,服務(wù)器置于防火墻之內(nèi),優(yōu)點(diǎn) ：,將,Web,服務(wù)器裝在防火墻內(nèi)的好處是它得到了,,安全保護(hù)，不容易被黑客闖入。,缺點(diǎn) ：,這種配置卻使得,Web,服務(wù)器不容易被外界所用。,,4.4.2,Web,服務(wù)器置于防火墻之外,為保證內(nèi)部網(wǎng)絡(luò)的安全，將,Web,服務(wù)器完全

33、置于防火墻之外是比較合適的。在這種模式中，,Web,服務(wù)器不受保護(hù)，但內(nèi)部網(wǎng)則處于保護(hù)之下。,,4.4.3,Web,服務(wù)器置于防火墻之上,優(yōu)點(diǎn) ：,在防火墻機(jī)器上運(yùn)行,Web,服務(wù)器，可以增強(qiáng),,Web,站點(diǎn)的安全性。,缺點(diǎn) ：,一旦服務(wù)器出了問(wèn)題，整個(gè)組織和,Web,站點(diǎn)就,,全部處于危險(xiǎn)之中。,,4.4.4,ISA Server,企業(yè)級(jí)防火墻配置實(shí)例,Microsoft ISA Server,企業(yè)級(jí)防火墻是全球最大的軟件公司微軟公司最新發(fā)布的防火墻產(chǎn)品。最新的產(chǎn)品是,2004,年推出的,ISA Server 2004,。作為,Microsoft Windows Server System,

34、的成員之一，,ISA Server 2004,企業(yè)級(jí)防火墻是一個(gè)安全、易于使用且經(jīng)濟(jì)高效的解決方案，可幫助,IT,專(zhuān)業(yè)人員抵御不斷涌現(xiàn)的新安全威脅。,,Check Point Firewall-1,1,AXENT Raptor,2,,CyberGuard,Firewall,3,防火墻產(chǎn)品介紹,4. 5,Cisco PIX 535,4,聯(lián)想“超五”千兆線速防火墻,——NFW4000,5,,4.5.1,Check Point Firewall-1,Check Point (http://,,),公司推出的,Firewall-1,共支持兩個(gè)平臺(tái)：一個(gè)是,Unix,平臺(tái)，另一個(gè)是,Windows N

35、T,平臺(tái)。,Firewall-1,具有一種很特別的結(jié)構(gòu)，稱(chēng)為多層次狀態(tài)監(jiān)視結(jié)構(gòu)。這種結(jié)構(gòu)讓,Firewall-1,可以對(duì)復(fù)雜的網(wǎng)絡(luò)應(yīng)用軟件進(jìn)行快速支持。也因?yàn)檫@個(gè)功能，使得,Check Point,在防火墻產(chǎn)品的廠商中位居領(lǐng)導(dǎo)地位。有很多第三方廠商對(duì)它進(jìn)行支持。而,Check Point,也提供了一套,APL,供開(kāi)發(fā)者使用，以便開(kāi)發(fā)更多的輔助工具。,,Firewall-1,提供了最佳權(quán)限控制、最佳綜合性能及簡(jiǎn)單明了的管理。除了,NAT,外，它具有用戶認(rèn)證功能。對(duì)于,FTP,，可以根據(jù),put,、,set,以及文件名加以限制。對(duì)于,SMTP,，它可以丟棄超過(guò)一定大小的郵件，對(duì)郵件進(jìn)行病毒掃描，以

36、及改寫(xiě)郵件頭信息。,Firewall-1,還可以防止有害,SMTP,命令（如,debug,）的執(zhí)行。,Firewall-1,的用戶界面是網(wǎng)絡(luò)控制中心，定義和實(shí)施復(fù)雜的安全規(guī)則非常容易。每個(gè)規(guī)劃還有一個(gè)域用于文檔記錄，如為什么制定這條規(guī)則，何時(shí)制定及由誰(shuí)制定。,,4.5.2,AXENT Raptor,Raptor,是代理型防火墻中比較好的產(chǎn)品。它的界面易讀、易操作，在實(shí)時(shí)日志方面，僅次于,Firewall-1,。,Raptor,的優(yōu)勢(shì)在于其代理的深度和廣度。只有它提供對(duì),Microsoft NT,服務(wù)器的保護(hù)。它還具有,SQL * NET,代理功能，可控制對(duì),Oracle,數(shù)據(jù)庫(kù)的訪問(wèn)。,Rap

37、tor,在,SMTP,方面做得很好，而且它是可防止緩存溢出的防火墻，它可以代理,NNTP,（網(wǎng)絡(luò)新聞傳輸協(xié)議）和,NTP,（網(wǎng)絡(luò)時(shí)間協(xié)議）。,,4.5.3,CyberGuard,Firewall,,CyberGuard,Firewall,是由,CyberGuard,,公司制作的，其主要結(jié)構(gòu)是基于,CX/SX,多層式安全操作系統(tǒng)，它的操作相當(dāng)容易上手。,CyberGuard,Firewall,跟其他防火墻產(chǎn)品不同的地方在于，它提供一種可以安裝在防火墻上的界面卡。通過(guò)界面卡，可以進(jìn)行硬件加密。這對(duì)于整體效果有顯著的提高。另外，它還有網(wǎng)絡(luò)地址轉(zhuǎn)譯、支持,Sock,、分割式的,DNS,等特點(diǎn)。,,4.

38、5.4,Cisco PIX 535,Cisco Secure PIX 535,防火墻提供的承載級(jí)的性能可以滿足大型企業(yè)網(wǎng)絡(luò)和服務(wù)提供商的需要。作為世界領(lǐng)先的,Cisco Secure PIX,防火墻系列的組成部分，,PIX 535,能夠?yàn)楫?dāng)今的網(wǎng)絡(luò)客戶提供無(wú)與倫比的安全性、可靠性和性能。該防火墻將靜態(tài)防火墻和,IP,安全（,IPSec,）虛擬專(zhuān)網(wǎng)（,VPN,）功能與千兆位以太網(wǎng)吞吐量靈活地結(jié)合在一起。,,,PIX 535,是一種能夠提供空前保護(hù)能力的通用防火墻設(shè)備。它與,PIX,操作系統(tǒng)（,OS,）緊密集成在一起，該操作系統(tǒng)是一種消除了安全漏洞和性能退化開(kāi)銷(xiāo)的專(zhuān)用固化系統(tǒng)。,PIX535,防火墻的核心是基于自適應(yīng)安全算法（,ASA,）的一種保護(hù)機(jī)制，它可以提供面向靜態(tài)連接的防火墻功能，能夠進(jìn)行,50,萬(wàn)個(gè)同時(shí)連接，并同時(shí)防止常見(jiàn)的拒絕服務(wù)（,DoS,）攻擊。,,4.5.5,聯(lián)想“超五”千兆線速防火墻,—NFW4000,,聯(lián)想“超五”千兆線速防火墻,——NFW4000,是一款無(wú)操作系統(tǒng)、多機(jī)集群并基于,NP,（網(wǎng)絡(luò)處理器）的,4GB,千兆線速防火墻，也是真正實(shí)現(xiàn)數(shù)據(jù)包內(nèi)容過(guò)濾的防火墻。聯(lián)想擁有完全自主知識(shí)產(chǎn)權(quán)，并已取得國(guó)家十多項(xiàng)技術(shù)專(zhuān)利，不僅在國(guó)內(nèi)同類(lèi)產(chǎn)品中名列前茅，而且在國(guó)際上也屬領(lǐng)先水平。,,