硬件防火墙

代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。

网泰FVM-6412双WAN口高性能VPN防火墙，具有高度的安全性，易于安装， 易于管理，由于无使用者人数的限制，所以不存在网络扩充方面的问题，这对于规模日渐增大的网吧来说，少添了许多麻烦。 总结：以上的几款防火墙产品，无论是安全保障功能，还是用户数量限制等方面，都可以满足网吧网络需求，而且性价比也比较高，有利于网吧的成本控制。这五种产品的价格各不相同，各网吧业主可以根据自己网吧的实际情况而作选择。在如今黑客猖獗的时代，装上一款合适的防火墙，可以降低受到攻击的威胁，让网吧的用户放心地在网海冲浪，尽情地享受高速网络带来的酷爽世界！

由于所有的访问都必须经过防火墙，所以防火墙就不仅能够制作完整的日志记录，而且还能够提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是一项非常重要的工作。这不仅有助于了解防火墙是否能够抵挡攻击者的探测和攻击，了解防火墙的控制是否充分有效，而且有助于作出网络需求分析和威胁分析。

我想再提醒大家，提防“SSL VPNs”，其他任何程序都可以在SSL加密连接中隐藏它们的本质。强烈建议你在内部用户需要访问出站的SSL站点时，严格限制能够访问SSL站点的用户/组，并且使用明确的域名来限制用户可以使用SSL连接到的站点。绝不要允许使用“All Open”来允许用户使用SSL协议访问所有站点，否则，用户可以通过SSL隧道来使用所有协议，而不仅仅是HTTPS，这可能是你不想看到的。

基于包过滤技术的防火墙，其缺点是很显著的：它得以进行正常工作的一切依据都在于过滤规则的实施，但是偏又不能满足建立精细规则的要求（规则数量和防火墙性能成反比），而且它只能工作于网络层和传输层，并不能判断高级协议里的数据是否有害，但是由于它廉价，容易实现，所以它依然服役在各种领域，在技术人员频繁的设置下为我们工作着。

入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。一般来说，很多情况下，不少用户的防火墙与IDS并不是同一家的产品，因此在联动的协议上面大都遵从 opsec 或者 topsec协议进行通信，不过也有某些厂家自己开发相应的通信规范的。目前总得来说，联动有一定效果，但是稳定性不理想，特别是攻击者利用伪造的包信息，让IDS错误判断，进而错误指挥防火墙将合法的地址无辜屏蔽掉。

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险

防火墙软件系统的测试是一项最耗时最耗力的工作，占了整个开发成本至少一半以上，任何一个测试通不过，都要重新debug,重新测试，直到测试完全通过为止。如果一个模块测试返工三次就通过，那个程序员一定是很优秀的；如果通过六七次，实在很正常；就算十次才通过，也不算是丢脸的。在这种反反复复的工作中，开发者就会发现，象前文说的那样把程序分成几个独立的层面分别开发，分别测试，文档完整，具有无可比拟的优势。否则，这样的开发工程那怕一千人做，做一百年都做不完。

本人机房持续遭受DDOS攻击，也遭受了相同的困扰，在安装了各种软防均无法有效防御，硬防价格又过高无法承受，于是在网上搜索了一个 DIY硬件防火墙的网站（www.chinaddos.com），抱着试试看的心态，下载了其提供的防火墙内核，按要求准备了相应硬件，安装配置好后，终于解决了一直困扰我的DDOS攻击，现在把DIY防火墙安装和设置过程记录如下，希望帮助更多和我同样遭遇的朋友们的问题早日解决。

FW-100防火墙针对LAN、WAN及DMZ三个端口提供多种进、出网络的管制条例(Network Policy)，还可针对个人/服务/协议/群组/进出网络…等条件，自订网络存取规则(Access Control)及设定弹性管理时程(Time Schedule)及流量统计分析监控记录，达到每周全天候有效的管理。

在你完成整个防火墙系统的测试之前你必须建立与记录一套‘密码’通信机制或其他的安全基准手段以便你能 与防火墙系统进行安全的交流与管理。查阅相关信息可以看Detecting Signs of Intrusion[Allen 00]，特定 的实践可以参阅"Identify data that characterize systems and aid in detecting signs of suspicious behavior."。

状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。

产品目前采用了最底层驱动技术，提供完善的面向连接操作。公司在长期ISP运营和致力于网络安全的研究过程中，研究和发明了一种防御和抵抗拒绝服务攻击的解决办法。测试的效果表明，目前的防御算法对所有已知的拒绝服务攻击是免疫的，也就是说，是完全可以抵抗已知DoS/DDoS攻击的。

在IT安全领域，防火墙是一个重要的角色，通常被部署在企业网络和外部互联网中间，来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。然而由于很多人对防火墙接触的很少，加上防火墙种类繁多，常常让一些新手朋友在选择购买防火墙的时候感到困惑，本文笔者将和大家一起简单了解一下在购买防火墙需要明确的一些概念，以及不同类型防火墙的主要优点和缺点。

近日，国内信息安全领军企业联想网御的“智能化安全评估系统项目”正式被列为2008年电子信息产业发展基金资助项目。在该基金项目的支持下，联想网御将继续在智能化安全评估技术方面攻关，研发出一套包括支撑平台软件工具和流程规范文档在内的完整的安全评估系统。系统能够协助用户更加便捷、高效地完成信息安全评估工作，提高专业安全服务人员的工作效率，从而保证用户及时发现信息系统面临的安全威胁和风险。