前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻解決方案范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

防火墻解決方案范文第1篇

這是McAfee自2010年以768萬美元被英特爾收購以來最大的一筆交易。

此次要約收購交易已經(jīng)獲得了Stonesoft公司CEO Ilkka Hiidenheimo、主席Hannu Turunen，及一名董事會(huì)成員（共持有Stonesoft 34.7%股權(quán)）的同意。Stonesoft的董事會(huì)，亦建議其他股東支持該方案。

赫爾辛基調(diào)查機(jī)構(gòu)Inderes Oy的分析師米克爾·拉塔尼表示：“正如你經(jīng)常聽到有些企業(yè)的網(wǎng)站被入侵，網(wǎng)絡(luò)安全的大趨勢(shì)從未展現(xiàn)出放緩的跡象。而Stonesoft有潛力看到這強(qiáng)勁的增長(zhǎng)，因此這對(duì)英特爾來說是一項(xiàng)不錯(cuò)的交易。而此次交易提出的價(jià)格對(duì)Stonesoft的股東而言也是一項(xiàng)非常好的交易?！?/p>

總部位于赫爾辛基的Stonesoft為企業(yè)客戶提供一系列的安全解決方案，包括下一代防火墻，規(guī)避防御系統(tǒng)以及SSL VPN解決方案，幫助企業(yè)免遭網(wǎng)絡(luò)安全威脅。它通過軟件、硬件和虛擬設(shè)備提供軍事級(jí)別的防火墻。研究公司Gartner最近的安全報(bào)告授予該公司“有遠(yuǎn)見的企業(yè)”稱號(hào)。該公司提供行業(yè)內(nèi)最完整的安全解決方案，這也是吸引邁克菲的主要原因。

英特爾網(wǎng)絡(luò)安全部的高級(jí)副總裁兼總經(jīng)理派特·卡爾霍恩在他的博客中寫道：“McAfee已經(jīng)設(shè)計(jì)生產(chǎn)出了高安全度的防火墻，為全球包括政府機(jī)構(gòu)在內(nèi)的最重要的網(wǎng)絡(luò)提供防護(hù)。此次收購，我非常有信心，我們將為下一代防火墻提供最先進(jìn)的技術(shù)，Stonesoft的技術(shù)能夠滿足一個(gè)全新的、巨大的企業(yè)細(xì)分市場(chǎng)的需求?！?/p>

卡爾霍恩還說：“有了英特爾的支持，我們現(xiàn)在提供兩種領(lǐng)先的防火墻解決方案，這將是我們安全連接戰(zhàn)略中至關(guān)重要的一個(gè)層級(jí)。此次對(duì)Stonesoft的投資也將允許我們將我們的資源集中在我們IPS平臺(tái)的開發(fā)上，使之能夠成為市場(chǎng)領(lǐng)先的解決方案，幫助企業(yè)抵御絕大多數(shù)復(fù)雜且高級(jí)的威脅。將IPS和防火墻與我們領(lǐng)先的威脅智能感知系統(tǒng)、解決威脅專家，以及領(lǐng)先的網(wǎng)絡(luò)和郵件保護(hù)解決方案結(jié)合在一起，McAfee必將在網(wǎng)絡(luò)安全領(lǐng)域處于領(lǐng)先地位?！?/p>

防火墻解決方案范文第2篇

傳統(tǒng)的防火墻通常是基于訪問控制列表(ACL)進(jìn)行包過濾的，位于在內(nèi)部專用網(wǎng)的入口處，所以也俗稱“邊界防火墻”。隨著防火墻技術(shù)的發(fā)展，防火墻技術(shù)也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術(shù)，如電路級(jí)網(wǎng)關(guān)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和動(dòng)態(tài)包過濾技術(shù)，在實(shí)際運(yùn)用中，這些技術(shù)差別非常大，有的工作在OSI參考模式的網(wǎng)絡(luò)層，有的工作在傳輸層，還有的工作在應(yīng)用層。

在這些已出現(xiàn)的防火墻技術(shù)中，靜態(tài)包過濾是最差的安全解決方案，其應(yīng)用存在著一些不可克服的限制，最明顯的表現(xiàn)就是不能檢測(cè)出基于用戶身份的地址欺騙型數(shù)據(jù)包，并且很容易受到諸如DOS（拒絕服務(wù)）、IP地址欺詐等黑客攻擊?，F(xiàn)在已基本上沒有防火墻廠商單獨(dú)使用這種技術(shù)。應(yīng)用層網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)是比較好的安全解決方案，它們?cè)趹?yīng)用層檢查數(shù)據(jù)包。但是，我們不可能對(duì)每一個(gè)應(yīng)用都運(yùn)行這樣一個(gè)服務(wù)器，而且部分應(yīng)用網(wǎng)關(guān)技術(shù)還要求客戶端安裝有特殊的軟件。這兩種解決方案在性能上也有很大的不足之處。動(dòng)態(tài)包過濾是基于連接狀態(tài)對(duì)數(shù)據(jù)包進(jìn)行檢查，由于動(dòng)態(tài)包過濾解決了靜態(tài)包過濾的安全限制，并且比技術(shù)在性能上有了很大的改善，因而目前大多數(shù)防火墻廠商都采用這種技術(shù)。但是隨著主動(dòng)攻擊的增多，狀態(tài)包過濾技術(shù)也面臨著巨大的挑戰(zhàn)，更需要其它新技術(shù)的輔助。

技術(shù)發(fā)展趨勢(shì)

隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢(shì)。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。

防火墻包過濾技術(shù)發(fā)展趨勢(shì)。一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。

多級(jí)過濾技術(shù)。所謂多級(jí)過濾技術(shù)，是指防火墻采用多級(jí)過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級(jí)，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過濾規(guī)則，過濾掉所有禁止出和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。

使防火墻具有病毒防護(hù)功能?，F(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。

防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。

防火墻的系統(tǒng)管理發(fā)展趨勢(shì)

防火墻的系統(tǒng)管理也有一些發(fā)展趨勢(shì)，主要體現(xiàn)在以下幾個(gè)方面：首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢(shì)。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性?？焖夙憫?yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)成功，也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。

強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。

網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化

隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡(luò)安全體系”。因?yàn)槲覀冊(cè)诂F(xiàn)實(shí)中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個(gè)以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。如現(xiàn)在的IDS設(shè)備就能很好地與防火墻一起聯(lián)合。

目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測(cè)部分直接“做”到防火墻中，使防火墻具有IDS和病毒檢測(cè)設(shè)備的功能；另一種是各個(gè)產(chǎn)品分立，通過某種通訊方式形成一個(gè)整體，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成過濾和報(bào)告。目前更看重后一種方案，因?yàn)樗鼘?shí)現(xiàn)方式較前一種容易許多。

分布式防火墻技術(shù)

分布式防火墻的主要特點(diǎn)。綜合起來這種新的防火墻技術(shù)具有以下幾個(gè)主要特點(diǎn)：主機(jī)駐留、嵌入操作系統(tǒng)內(nèi)核、類似于個(gè)人防火墻。其次，不同于個(gè)人防火墻是單純的直接面向個(gè)人用戶，針對(duì)桌面應(yīng)用的主機(jī)防火墻是面向企業(yè)級(jí)客戶的，它與分布式防火墻其它產(chǎn)品共同構(gòu)成一個(gè)企業(yè)級(jí)應(yīng)用方案，形成一個(gè)安全策略中心統(tǒng)一管理，所以它在一定程度上也面對(duì)整個(gè)網(wǎng)絡(luò)。它是整個(gè)安全防護(hù)系統(tǒng)中不可分割的一部分，整個(gè)系統(tǒng)的安全檢查機(jī)制分散布置在整個(gè)分布式防火墻體系中。

分布式防火墻的主要優(yōu)勢(shì)。在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。主要優(yōu)勢(shì)如下：增強(qiáng)的系統(tǒng)安全性、提高了系統(tǒng)性能、系統(tǒng)的擴(kuò)展性、實(shí)施主機(jī)策略、應(yīng)用更為廣泛，支持VPN通信。

分布式防火墻的主要功能

分布式防火墻的特點(diǎn)和優(yōu)勢(shì)，那么到底這種防火墻具備哪些功能呢？因?yàn)椴捎昧塑浖问剑ㄓ械牟捎昧恕败浖?硬件”形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現(xiàn)在以下幾個(gè)方面：

Internet訪問控制。依據(jù)工作站名稱、設(shè)備指紋等屬性，使用“Internet訪問規(guī)則”，控制該工作站或工作站組在指定的時(shí)間段內(nèi)是否允許/禁止訪問模板或網(wǎng)址列表中所規(guī)定的Internet Web服務(wù)器，某個(gè)用戶可否基于某工作站訪問www服務(wù)器，同時(shí)當(dāng)某個(gè)工作站/用戶達(dá)到規(guī)定流量后確定是否斷網(wǎng)。

應(yīng)用訪問控制。通過對(duì)網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測(cè)，控制來自局域網(wǎng)/Internet的應(yīng)用服務(wù)請(qǐng)求，如SQL數(shù)據(jù)庫訪問、IPX協(xié)議訪問等。

網(wǎng)絡(luò)狀態(tài)監(jiān)控。實(shí)時(shí)動(dòng)態(tài)報(bào)告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵事件等信息。

黑客攻擊的防御。抵御包括Smurf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自Internet的黑客攻擊手段。

防火墻解決方案范文第3篇

今年已經(jīng)是華為連續(xù)第五年參展RSA大會(huì)，五年的參展經(jīng)歷折射了華為安全的快速成長(zhǎng)歷程，從一名初出茅廬的新手到挑動(dòng)著安全巨頭神經(jīng)的領(lǐng)先安全企業(yè)，華為羽翼漸豐，在安全領(lǐng)域獲得越來越多的話語權(quán)和關(guān)注。

在今年的RSA大會(huì)上，華為的防火墻產(chǎn)品獲得NSS實(shí)驗(yàn)室下一代防火墻NGFW最高級(jí)評(píng)價(jià)，即“推薦級(jí)”，同時(shí)和FireMon簽署合作備忘錄，倡導(dǎo)產(chǎn)業(yè)鏈共建安全生態(tài)圈。

2015年，是全球信息安全產(chǎn)業(yè)飛速發(fā)展和變化的一年。這一年，安全市場(chǎng)總體空間超過90億美元，產(chǎn)業(yè)鏈競(jìng)爭(zhēng)格局加劇，與此同時(shí)，安全采購方式、覆蓋領(lǐng)域、專業(yè)能力都在發(fā)生變化。

那么RSA2016大會(huì)又向我們傳遞了哪些最新的安全領(lǐng)域發(fā)展趨勢(shì)呢？親臨現(xiàn)場(chǎng)的IDC信息安全市場(chǎng)研究經(jīng)理王培向《通信產(chǎn)業(yè)報(bào)》（網(wǎng)）表示，今年RSA大會(huì)將主題定為“Connect to protect”，便是希望所有的安全廠商、安全團(tuán)隊(duì)團(tuán)結(jié)在一起，用聯(lián)合的力量保護(hù)大家的信息網(wǎng)絡(luò)安全。

的確如此，網(wǎng)絡(luò)攻擊變得越來越復(fù)雜，單一廠商無法完全解決。特別身處大數(shù)據(jù)時(shí)代，單點(diǎn)的智慧已經(jīng)不足以引發(fā)變革，安全界需要運(yùn)用集體智慧來守護(hù)業(yè)務(wù)。

“在今年的RSA大會(huì)上，我們深刻地感受到，合作、聯(lián)盟、情報(bào)共享已經(jīng)成為主流安全廠商的必然選擇。”華為安全領(lǐng)域分析師陸昆侖向記者表示。

他補(bǔ)充說道：“特別是在移動(dòng)安全和云服務(wù)兩個(gè)市場(chǎng)中，每個(gè)廠商只做自己最擅長(zhǎng)的一部分，將它們整合到一起才能夠給客戶提供更加全面的解決方案。所以，我一直認(rèn)為協(xié)作是非常重要的?！?/p>

目前，在國(guó)外市場(chǎng)，不少廠商已經(jīng)展開協(xié)作。以美國(guó)的三家安全企業(yè)舉例，F(xiàn)ireEye只做單一的安全產(chǎn)品用于抵御APT攻擊；PaloAlto則專注下一代防火墻的研發(fā)；Splunk則擅長(zhǎng)利用大數(shù)據(jù)形成安全威脅分析模型，三家企業(yè)開展協(xié)作，整合產(chǎn)品形成完整的解決方案提供給客戶?！八麄兊淖谥际菍ふ液献骰锇槿椭脩艚鉀Q問題?！蓖跖嘞蛴浾弑硎?。

不過，王培向記者坦承，目前國(guó)內(nèi)安全廠商對(duì)協(xié)作態(tài)度還是比較排斥的，更多的做法是為用戶提供一體化解決方案，他們的目標(biāo)也很明確，保持用戶黏性。

青松智慧北京科技有限公司創(chuàng)始人兼CEO孫大偉向記者表達(dá)了同樣的觀點(diǎn)：“中國(guó)和國(guó)外的安全產(chǎn)業(yè)情況完全兩重天。受制于國(guó)內(nèi)政策和生態(tài)環(huán)境所限，安全廠商之間的競(jìng)爭(zhēng)日益激烈，甚至拼得頭破血流。但是，云計(jì)算和互聯(lián)網(wǎng)已經(jīng)將傳統(tǒng)的安全邊界打破，協(xié)作和共享是國(guó)內(nèi)安全廠商必須走的一條道路。”

在這方面，華為為國(guó)內(nèi)廠商做出了表率。去年，華為提出建立“云清聯(lián)盟”，該聯(lián)盟的宗旨是將全球運(yùn)營(yíng)商、安全服務(wù)提供商、IDC的資源進(jìn)行整合，構(gòu)成一個(gè)云端的“DDoS防御生態(tài)系統(tǒng)”，統(tǒng)一進(jìn)行管理和調(diào)度，以“近源清洗”徹底解決DDoS攻擊問題。青松智慧便是這一聯(lián)盟的成員之一。

而在RSA2016大會(huì)上，華為又與FireMon公司簽署了合作備忘錄，共同宣布在全球范圍內(nèi)提供華為NGFW防火墻策略管理聯(lián)合解決方案，幫助廣大用戶高效管理華為NGFW防火墻策略，降低運(yùn)維成本。

長(zhǎng)期以來，IT運(yùn)維人員在防火墻管理方面的壓力很大，策略管理普遍存在低效不準(zhǔn)確的情況。

通過雙方的聯(lián)合解決方案，用戶將可以使用FireMon的解決方案方便、高效地管理華為所有防火墻的安全策略。

這一合作不僅是華為倡導(dǎo)安全生態(tài)圈建設(shè)的最新行動(dòng)，也是華為企業(yè)業(yè)務(wù)“被集成”戰(zhàn)略的又一具體表現(xiàn)。

防火墻解決方案范文第4篇

【關(guān)鍵詞】辦公網(wǎng);技術(shù)網(wǎng);防火墻;隔離

1.概述

1.1 當(dāng)前網(wǎng)絡(luò)狀況

隨著廣播發(fā)射電臺(tái)網(wǎng)絡(luò)建設(shè)的發(fā)展，電臺(tái)的業(yè)務(wù)需求也呈現(xiàn)多樣化，臺(tái)站網(wǎng)絡(luò)按照規(guī)劃一般分為兩個(gè)網(wǎng)段：辦公（OA）網(wǎng)和技術(shù)網(wǎng)。在現(xiàn)有的網(wǎng)絡(luò)中，以一臺(tái)H3C S5500交換機(jī)作為電臺(tái)辦公網(wǎng)的核心交換機(jī)，辦公網(wǎng)通過H3C S5500上聯(lián)MSR3020路由器，通過MSR3020接入全局廣域網(wǎng)，H3C S5500與MSR3020之間采用Eudemon 200防火墻隔離。

技術(shù)網(wǎng)以一臺(tái)三層交換機(jī)H3C S5500為核心，接入采用二層方式連接。改造之前辦公網(wǎng)與技術(shù)網(wǎng)之間沒有添加隔離設(shè)備，物理直接相連，通過靜態(tài)路由協(xié)議互通。如圖1所示。

圖1 網(wǎng)絡(luò)連接示意圖

1.2 辦公網(wǎng)與技術(shù)網(wǎng)隔離的背景

1.2.1 網(wǎng)絡(luò)潛在威脅

由于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，信息系統(tǒng)的不安全因素陡然增加。網(wǎng)絡(luò)的不安全因素主要表現(xiàn)為下列幾個(gè)方面：[1]

物理臨近攻擊。

內(nèi)部犯罪。

信息泄露。

重放攻擊。

篡改和破壞。

惡意程序的攻擊。

系統(tǒng)脆弱性攻擊。

網(wǎng)絡(luò)安全隱患是全方位的，軟件，硬件，人為等因素都會(huì)造成網(wǎng)絡(luò)的故障，甚至是不可挽回的損失。我們現(xiàn)在需解決的是電臺(tái)辦公網(wǎng)與技術(shù)網(wǎng)的隔離問題，也就是說要保證辦公網(wǎng)即使出現(xiàn)計(jì)算機(jī)病毒，惡意代碼等也不會(huì)波及到技術(shù)網(wǎng)。反之技術(shù)網(wǎng)的安全威脅也不會(huì)波及到辦公網(wǎng)。

1.2.2 隔離原因

在改造之前的運(yùn)行環(huán)境中，技術(shù)網(wǎng)和辦公網(wǎng)之間是通過靜態(tài)路由互通的，兩網(wǎng)之間沒有任何的隔離措施。

根據(jù)無線電臺(tái)管理局內(nèi)網(wǎng)網(wǎng)絡(luò)建設(shè)的要求，辦公網(wǎng)和技術(shù)網(wǎng)的安全級(jí)別是不一樣的。技術(shù)網(wǎng)主要部署安全播出服務(wù)器和控制終端，安全級(jí)別要求更高，技術(shù)網(wǎng)的網(wǎng)段地址不對(duì)外，只在臺(tái)站內(nèi)有效;辦公網(wǎng)網(wǎng)段是全局廣域網(wǎng)的，局機(jī)關(guān)與臺(tái)站以及各臺(tái)站之間都可以互訪。因此為了保證網(wǎng)絡(luò)安全，在辦公網(wǎng)和技術(shù)網(wǎng)之間須要增加安全隔離措施，以盡量避免或減少病毒、攻擊等網(wǎng)絡(luò)威脅對(duì)技術(shù)網(wǎng)造成影響。

在兩網(wǎng)之間，辦公網(wǎng)用戶與技術(shù)網(wǎng)用戶不需要進(jìn)行數(shù)據(jù)交換，辦公網(wǎng)服務(wù)器與技術(shù)網(wǎng)服務(wù)器分別設(shè)有一臺(tái)應(yīng)用服務(wù)器實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)同步。因此，安全隔離措施將全部禁止辦公網(wǎng)與技術(shù)網(wǎng)中其余用戶和服務(wù)器的數(shù)據(jù)交換，只允許辦公網(wǎng)應(yīng)用服務(wù)器（即辦公網(wǎng)通訊服務(wù)器，例如IP為10.2.72.149）和技術(shù)網(wǎng)應(yīng)用服務(wù)器（即技術(shù)網(wǎng)通訊服務(wù)器，例如IP為172.1.72.5）之間進(jìn)行數(shù)據(jù)傳遞。

2.隔離方案對(duì)比

根據(jù)電臺(tái)辦公網(wǎng)與技術(shù)網(wǎng)現(xiàn)狀和需求，我們提出以下四種網(wǎng)絡(luò)隔離解決方案：

2.1 物理隔離

物理隔離是一種完全斷開物理上連接的方式，使得辦公網(wǎng)和技術(shù)網(wǎng)相互不連通。在辦公網(wǎng)需要提取技術(shù)網(wǎng)相關(guān)數(shù)據(jù)時(shí)，通過移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳輸。這種方式的優(yōu)點(diǎn)在于只要保證了存儲(chǔ)介質(zhì)和對(duì)技術(shù)網(wǎng)進(jìn)行訪問的相關(guān)人員的安全，就保證了技術(shù)網(wǎng)的絕對(duì)安全。

但是由于辦公網(wǎng)需要讀取的不僅僅是數(shù)據(jù)庫中存儲(chǔ)的數(shù)據(jù)，還包括服務(wù)器里實(shí)時(shí)變動(dòng)的相應(yīng)數(shù)據(jù)，所以采取此方式得到的數(shù)據(jù)都存在相當(dāng)大的延遲，從某種程度上講，得到的數(shù)據(jù)已經(jīng)“失效”。

2.2 訪問控制列表

為了過濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識(shí)別需要過濾的對(duì)象。在識(shí)別出特定的對(duì)象之后，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過，訪問控制列表（Access Control List，ACL）就是用來實(shí)現(xiàn)這些功能。ACL通過一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等。ACL應(yīng)用在交換機(jī)全局或端口，交換機(jī)根據(jù)ACL中指定的條件來檢測(cè)數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。由ACL定義的數(shù)據(jù)包匹配規(guī)則，還可以在其它需要對(duì)流量進(jìn)行區(qū)分。

優(yōu)點(diǎn)：此方案不需要添加任何隔離設(shè)備。僅需要在核心交換機(jī)上設(shè)置ACL，只允許指定的辦公網(wǎng)服務(wù)器訪問技術(shù)網(wǎng)服務(wù)器，禁止其余用戶訪問，配置靈活，維護(hù)方便。

缺點(diǎn)：對(duì)病毒和網(wǎng)絡(luò)攻擊的防御作用較小。

2.3 多功能安全網(wǎng)關(guān)

在辦公網(wǎng)和技術(shù)網(wǎng)之間增加多功能安全網(wǎng)關(guān)設(shè)備，隔離辦公網(wǎng)和技術(shù)網(wǎng)。

多功能安全網(wǎng)關(guān)工作模式為路由模式，采用靜態(tài)路由方式。增加包過濾規(guī)則，對(duì)匹配辦公網(wǎng)通訊服務(wù)器和技術(shù)網(wǎng)通訊服務(wù)器的網(wǎng)絡(luò)流量允許通過，其余流量禁止通過，同時(shí)利用訪問控制列表過濾病毒端口。

優(yōu)點(diǎn)：功能強(qiáng)大，整合了防病毒、IDS、IPS、防火墻等功能，降低技術(shù)復(fù)雜度。

缺點(diǎn)：不能有效防范內(nèi)部攻擊，過度集成造成誤判率較高，降低了系統(tǒng)的可用性和穩(wěn)定性。

2.4 防火墻

在辦公網(wǎng)和技術(shù)網(wǎng)之間增加防火墻設(shè)備，隔離辦公網(wǎng)和技術(shù)網(wǎng)。

防火墻配置路由模式，采用靜態(tài)路由方式。同時(shí)，采用兩種隔離規(guī)則：

（1）增加包過濾規(guī)則，對(duì)匹配辦公網(wǎng)通訊服務(wù)器和技術(shù)網(wǎng)通訊服務(wù)器的網(wǎng)絡(luò)流量允許通過，其余流量禁止通過，同時(shí)利用訪問控制類別過濾病毒端口。

（2）通過NAT方式，對(duì)外隱藏技術(shù)網(wǎng)應(yīng)用服務(wù)器地址，把該IP地址轉(zhuǎn)換成一個(gè)其他地址，轉(zhuǎn)換后辦公網(wǎng)中只能看到防火墻轉(zhuǎn)換后的地址，而無法看到原始IP地址，增強(qiáng)了安全性。

優(yōu)點(diǎn)：性價(jià)比高，配置靈活，維護(hù)方便，安全性高。

缺點(diǎn)：功能較為單一，不能有效防范內(nèi)部攻擊和未設(shè)置策略的攻擊漏洞。

2.5 方案對(duì)比和選擇

為了提供最佳的解決方案，我們需要針對(duì)電臺(tái)網(wǎng)絡(luò)進(jìn)行綜合的分析，權(quán)衡利弊，才能提出一個(gè)理想的解決方案。

電臺(tái)辦公網(wǎng)與技術(shù)網(wǎng)之間數(shù)據(jù)流量并不大，辦公網(wǎng)用戶與辦公網(wǎng)用戶之間除了特定的應(yīng)用服務(wù)器都沒有數(shù)據(jù)交換的需要。但是數(shù)據(jù)交換具有偶然性、實(shí)時(shí)性的要求，除了讀取數(shù)據(jù)庫中保存的數(shù)據(jù)，還需要讀中間件服務(wù)器中的實(shí)時(shí)變化的數(shù)據(jù)。綜合考慮辦公網(wǎng)與技術(shù)網(wǎng)的使用現(xiàn)狀、流量、數(shù)據(jù)交換要求、經(jīng)濟(jì)性以及安全特性等因素，以上4種解決方案中我們建議采取第四種解決方案，即采用防火墻作為兩網(wǎng)間的隔離設(shè)備，以達(dá)到安全防護(hù)的目的。

主要原因如下：

（1）物理隔離方式因?yàn)闆]有直接的物理連接最為安全，但其提供的數(shù)據(jù)交換不能夠滿足對(duì)技術(shù)網(wǎng)數(shù)據(jù)提取的要求。

（2）訪問控制列表過于簡(jiǎn)單，只能單純地過濾數(shù)據(jù)報(bào)，不能對(duì)報(bào)文作深度的監(jiān)測(cè)分析，沒有防病毒、抗攻擊能力。

（3）多功能安全網(wǎng)關(guān)，具備強(qiáng)大的防火墻功能，安全性較高，但價(jià)格昂貴，配置復(fù)雜，過度集成造成性能下降，誤判率高，增加了配置和維護(hù)的復(fù)雜性。

（4）防火墻功能強(qiáng)大，傳輸效率高，安全性較高，可對(duì)數(shù)據(jù)報(bào)進(jìn)行深度的監(jiān)測(cè)分析，具有抗病毒、抗攻擊能力。

3.防火墻隔離詳細(xì)設(shè)置

3.1 防火墻工作模式

針對(duì)電臺(tái)站辦公網(wǎng)與技術(shù)網(wǎng)現(xiàn)狀，防火墻采用路由模式工作，因?yàn)橹挥胁捎眠@種工作模式才可以利用NAT技術(shù)進(jìn)（下轉(zhuǎn)第169頁）（上接第165頁）行地址轉(zhuǎn)換，實(shí)現(xiàn)隱藏技術(shù)網(wǎng)地址的目的。

在路由模式下，防火墻必須設(shè)置接口IP地址。它除了具備路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)功能外，同時(shí)解析所有通過它的數(shù)據(jù)包，增強(qiáng)網(wǎng)絡(luò)安全性。見圖2所示。

圖2 防火墻隔離示意圖

3.2 IP地址和路由協(xié)議使用

防火墻采用路由模式時(shí)與之連接的接口必須配置IP地址，防火墻采用靜態(tài)路由協(xié)議與辦公網(wǎng)和技術(shù)網(wǎng)互通。

接口地址表如下：

辦公交換機(jī)S5500，端口為GE0/0/19，IP地址為10.2.72.17;

防火墻，端口為GE0，IP地址為10.2. 72.18，端口為GE1，IP地址為10.2.72.21;

技術(shù)交換機(jī)S5500，端口為E1/0/2，IP地址為10.2.72.22。

NAT地址表：內(nèi)部地址為172.1.72.5;外部地址為10.2.72.120/29

參照接口地址表和NAT的地址表，路由協(xié)議配置規(guī)則如下：

（1）技術(shù)網(wǎng)核心交換機(jī)S5500配置靜態(tài)路由，規(guī)則配置為：去往目標(biāo)網(wǎng)絡(luò)地址10.2. 72.149，下一跳地址為10.2.72.21。

（2）防火墻配置靜態(tài)路由，規(guī)則配置為：去往目標(biāo)網(wǎng)絡(luò)地址172.1.72.5，下一跳地址為10.2.72.22;去往目標(biāo)網(wǎng)絡(luò)地址10.2. 72.149，下一跳地址為10.2.72.17。同時(shí)，設(shè)置NAT地址池將地址為172.1.72.5放置在地址池中，轉(zhuǎn)換成地址為10.2.72.120/29綁定在出方向GE1接口，設(shè)置global地址10.2.72.121轉(zhuǎn)換成inside地址172.1.72.5。

（3）辦公網(wǎng)核心交換機(jī)S5500設(shè)置靜態(tài)路由，規(guī)則配置為：去往目標(biāo)網(wǎng)絡(luò)地址10.2. 72.120，下一跳地址為10.2.72.18。

3.3 NAT配置

在本防火墻設(shè)置中，可以把技術(shù)網(wǎng)看作一個(gè)內(nèi)部網(wǎng)絡(luò)。

NAT就是在技術(shù)網(wǎng)中使用內(nèi)部地址，而當(dāng)技術(shù)網(wǎng)節(jié)點(diǎn)要與辦公網(wǎng)節(jié)點(diǎn)進(jìn)行通訊時(shí)，就在防火墻處將技術(shù)網(wǎng)地址替換成一個(gè)另外的地址。

通過這種方法，NAT對(duì)外屏蔽了技術(shù)網(wǎng)網(wǎng)絡(luò)，所有技術(shù)網(wǎng)計(jì)算機(jī)對(duì)于辦公網(wǎng)來說是不可見的，而技術(shù)網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到NAT的存在。

在這次改造過程中，我們可在防火墻上配置NAT，針對(duì)技術(shù)網(wǎng)配置地址轉(zhuǎn)換，技術(shù)網(wǎng)應(yīng)用服務(wù)器，IP地址為172.1.72.5，可以看作是內(nèi)部地址，通過地址轉(zhuǎn)換，轉(zhuǎn)換成IP地址為10.2.72.121的全局地址。

對(duì)于辦公網(wǎng)來說，辦公網(wǎng)只知道技術(shù)網(wǎng)應(yīng)用服務(wù)器轉(zhuǎn)換的地址，而不知道真實(shí)的地址，這就提高了網(wǎng)絡(luò)安全性，確保了技術(shù)網(wǎng)內(nèi)服務(wù)器的保密性，隱藏了技術(shù)網(wǎng)內(nèi)真實(shí)的IP地址。

以上設(shè)置能夠保證技術(shù)網(wǎng)服務(wù)器正常訪問辦公網(wǎng)服務(wù)器，同時(shí)辦公網(wǎng)服務(wù)器也能正常訪問技術(shù)網(wǎng)服務(wù)器，而辦公網(wǎng)中只知道去往地址的路由，并不會(huì)知道技術(shù)網(wǎng)服務(wù)器的存在，這樣就利用防火墻保證了辦公網(wǎng)和技術(shù)網(wǎng)的安全性和獨(dú)立性。

4.結(jié)論

辦公網(wǎng)和技術(shù)網(wǎng)隔離的改造完成之后，保障了辦公網(wǎng)用戶終端安全的使用，技術(shù)網(wǎng)應(yīng)用系統(tǒng)可靠穩(wěn)定的運(yùn)行，對(duì)電臺(tái)網(wǎng)絡(luò)安全建設(shè)發(fā)揮了巨大的作用，為電臺(tái)的安全播出工作做出了重要的貢獻(xiàn)。

參考文獻(xiàn)

防火墻解決方案范文第5篇

防火墻功能和性能的矛盾一直是困擾信息安全產(chǎn)品的問題，也是最被用戶詬病之處。解決方法只有一個(gè)，那就是尋求新的硬件之道。

好在硬件技術(shù)在不斷發(fā)展，多核技術(shù)的出現(xiàn)讓廠商們看到了新曙光。目前，市面上除了傳統(tǒng)的x86、NP和ASIC架構(gòu)的防火墻外，又出現(xiàn)了一個(gè)新的防火墻設(shè)計(jì)――多核防火墻。那么，多核與以往傳統(tǒng)的x86、NP、ASIC架構(gòu)相比有何特色？人們?cè)撊绾芜x擇不同的架構(gòu)？近日，在神州數(shù)碼網(wǎng)絡(luò)公司推出首款多核防火墻――終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)2.0之際，記者采訪了神州數(shù)碼網(wǎng)絡(luò)公司技術(shù)總監(jiān)楊海濤。

x86性能最多只能達(dá)到2Gbps

長(zhǎng)久以來，國(guó)內(nèi)許多安全廠商的防火墻產(chǎn)品都采用基于x86的架構(gòu)，而國(guó)外廠商的多數(shù)防火墻則采用ASIC架構(gòu)。幾年前，隨著技術(shù)的更新?lián)Q代，隨著網(wǎng)絡(luò)處理器（NP）技術(shù)的興起，為了趕超國(guó)際上的先進(jìn)水平，彌補(bǔ)國(guó)內(nèi)防火墻性能上的不足，很多國(guó)內(nèi)廠商開始采用“NP+ASIC”的架構(gòu)。

x86架構(gòu)是一種通用的“CPU+Linux”操作系統(tǒng)的架構(gòu)。其處理機(jī)制是，數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸是依靠“中斷”實(shí)現(xiàn)，這導(dǎo)致了不可逾越的性能瓶頸，尤其在傳送小包的情況下（如64 Bytes的小包），數(shù)據(jù)包的通過率只能達(dá)到30%～40%左右，并且它的設(shè)計(jì)是必須依靠CPU計(jì)算，因此，很占CPU資源，這也是為什么x86防火墻性能上不去的原因。

雖然Intel提出了解決方案，將32位的PCI總線升級(jí)到了PCI-E ，總線速度最高可達(dá)16GBps，但是，小包傳送問題依然沒有解決?！叭绻脩粼谶M(jìn)行小包通過率測(cè)試時(shí)，性能出現(xiàn)大幅度的下滑，這種防火墻多半是x86架構(gòu)。提醒用戶一定不能被廠商的宣傳忽悠了，基于x86的防火墻，其最高性能只能達(dá)到2Gbps！”楊海濤說。

所以，目前市場(chǎng)上大多數(shù)的x86防火墻不能作為千兆防火墻使用，只能作為百兆防火墻。

ASIC架構(gòu)

靈活性不夠

國(guó)外的大部分防火墻設(shè)計(jì)都采用了ASIC架構(gòu)，以Juniper和Fortinet的產(chǎn)品為首，因?yàn)樗男阅芨?，并且開發(fā)門檻高，一度成為國(guó)際國(guó)內(nèi)廠商的技術(shù)分水嶺。

基于ASIC架構(gòu)的防火墻從架構(gòu)上改進(jìn)了中斷機(jī)制，數(shù)據(jù)通過網(wǎng)卡進(jìn)入系統(tǒng)后，不需經(jīng)過主CPU處理，而是由集成在系統(tǒng)中的芯片直接處理，完成防火墻的功能，如路由、NAT、防火墻規(guī)則匹配等，因此，其性能得到了大幅度的提升: 性能可以達(dá)到萬兆，并且64 Bytes的小包都可以達(dá)到線速。

但問題是，這種防火墻在設(shè)計(jì)時(shí)，就必須將安全功能固化進(jìn)ASIC芯片中，所以它的靈活性不夠，如果想要增添新的功能或進(jìn)行系統(tǒng)升級(jí)，開發(fā)周期較長(zhǎng)，對(duì)技術(shù)的要求也很高。此外，用ASIC開發(fā)復(fù)雜的功能，如垃圾郵件過濾、網(wǎng)絡(luò)監(jiān)控、病毒防護(hù)等，其開發(fā)比較復(fù)雜，對(duì)技術(shù)要求很高。因此，ASIC架構(gòu)非常適用于功能簡(jiǎn)單的防火墻。

NP是平衡方案

國(guó)內(nèi)許多廠商為了彌補(bǔ)防火墻性能的不足，在不斷進(jìn)行技術(shù)研發(fā)，推出了基于“NP+ASIC”的防火墻架構(gòu)，以解決x86架構(gòu)性能不足和ASIC架構(gòu)不夠靈活的問題。

NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，其體系結(jié)構(gòu)和指令集對(duì)于數(shù)據(jù)處理都做了專門的優(yōu)化，同時(shí)輔助一些協(xié)處理器完成搜索、查表等功能，可以對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力。這是一種硬件加速的完全可編程的架構(gòu)，軟硬件都易于升級(jí)，因此產(chǎn)品的生命周期更長(zhǎng)。

NP最大的優(yōu)點(diǎn)在于它是通過專門的指令集和配套的軟件開發(fā)系統(tǒng)提供強(qiáng)大的編程能力，因而便于開發(fā)應(yīng)用，可擴(kuò)展性強(qiáng)，而且研制周期短，成本較低。但是，相比于x86架構(gòu)，由于應(yīng)用開發(fā)、功能擴(kuò)展受到NP的配套軟件的限制，基于NP技術(shù)的防火墻的靈活性要差一些。采用微碼編程，在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間，應(yīng)該說NP是x86架構(gòu)和ASIC之間的平衡方案。

多核可實(shí)現(xiàn)性能和綠色雙重設(shè)計(jì)

多核技術(shù)則是近年來新出現(xiàn)的處理器技術(shù)，它一出現(xiàn)，就被認(rèn)為是解決信息安全產(chǎn)品功能與性能之間矛盾的一大硬件法寶。國(guó)外許多廠商，如SonicWall等，都推出了其多核產(chǎn)品。多核是在同一個(gè)硅晶片上集成了多個(gè)獨(dú)立物理核心，每個(gè)核心都具有獨(dú)立的邏輯結(jié)構(gòu)，包括緩存、執(zhí)行單元、指令級(jí)單元和總線接口等邏輯單元，通過高速總線、內(nèi)存共享進(jìn)行通信。在實(shí)際工作中，每個(gè)核心都可以達(dá)到1Ghz的主頻。因此，多核技術(shù)無論在性能、靈活性還是在開發(fā)的成本和難度方面，都是其他架構(gòu)不能比擬的。

楊海濤介紹，目前各種芯片廠商推出的多核芯片共分三種: 一種是Intel、AMD推出的2核、4核的通用處理器，適用于桌面筆記本電腦等通用領(lǐng)域; 一種是IBM、SUN分別推出的cell和SPARC架構(gòu)的多核處理器，主要用于圖形處理和運(yùn)算; 第三種是RMI和Cavium推出的基于MIPS架構(gòu)的嵌入式多核處理器，主要應(yīng)用于數(shù)據(jù)通信領(lǐng)域，它最適合用于信息安全產(chǎn)品的開發(fā)。

除了上述特色外，多核的另一大特點(diǎn)是非常節(jié)能。楊海濤舉例，以神碼網(wǎng)絡(luò)推出終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品為例，16核的DCFW-1800E-8G單電源功耗僅120W，采用雙電源也僅僅240W，而同樣x86平臺(tái)的雙電源高達(dá)1020W，每年多費(fèi)電約7000度。1U的5千兆接口的DCFW-1800S-H-V2，功耗僅為15W，相比一般x86平臺(tái)工控機(jī)200～300W的功耗，一年節(jié)約的電費(fèi)高達(dá)2500元。

鏈接

神碼推出的多核防火墻

性能功能一覽