硬件防火墙

　NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。

硬件防火墙日志记录了所有允许或拒绝的通信的信息，是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大，所以，检查异常日志通常应该是一个自动进行的过程。当然，什么样的事件是异常事件，得由管理员来确定，只有管理员定义了异常事件并进行记录，硬件防火墙才会保留相应的日志备查。

从最简单的分组过滤防火墙到应用层网关，自诞生之日开始，防火墙日益承担起越来越多的网络安全角色。近年来，一项创新的防火墙技术正广泛的获得应用，这就是被称为深度包检测的DIP（Deep Packet Inspection）技术。

为了满足用户的更高要求，防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡，并逐渐向不但能够满足高性能，也需要支持更多业务能力的方向发展。

系统中某些程序，99.9999%的用户都会允许的，象IE,如果有用户不允许IE连接网络的话，那是很稀见的。因为IE一般都是防火墙信任的应用程序，所以只要将后门程序插入到IE中运行，那么防火墙一般是不会拦的。只要防火墙允许IE连接网络，那么插入到IE中运行的后门就可以接受外界的连接了。这类后门一般是以Dl加载进去IE运行的，直接一个可执行程序将一个线程注入IE运行也可以，但远没有将DLL注入那么稳定。这种方法可以避开大部份的防火墙，但对于一些不但会检查out bound，而且会检查in bound连接的防火墙会有时失效。但总的来说，这算是一种很好和方便的方法(已经过测试).

我们又把防火墙和防火墙的渗透深入浅出的复习了一遍。现在我们应该更清楚的知道，防火墙不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。那么，对于一个网络来说，我们应该怎么做才能够保证它的最大安全呢？

传统防火墙由于通常在网络边界站岗，又名“边界防火墙”，如果说他对于来自外部网的攻击还算得上是个称职的卫士的话，那么对于80%来自内部网的攻击他就显得心有余而力不足了，为此诞生了一种新兴的防火墙技术“分布式防火墙”(Distributed Firewalls)，他的专长就在于堵住内部网的漏洞。

如此巨额的投入，自然是希望能够营造出安全的网络环境。但如果我们选择的防火墙产品，已经不能适应网络要求，依靠它来捍卫网络的安全，恐怕只能是自欺欺人。我们企盼，有一面坚固的盾牌来保护我们可贵的网络资源，也希望安全设备厂商们能够潜心制造，早日使真正的硬件防火墙走进中国用户的生活。

　我们又把防火墙和防火墙的渗透深入浅出的复习了一遍。现在我们应该更清楚的知道，防火墙不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。那么，对于一个网络来说，我们应该怎么做才能够保证它的最大安全呢？

如今是黑客平民化的时代，呆在自己家里上网都有可能会“中枪”，时不时的攻击你一下，一定会让你头大。好在许多的宽带猫都内置了防火墙功能，只要我们开启该功能，就可以让我们的ADSL上网更加安全，更加有保障。

电子邮件以便捷快速等特点成为人们日常交流必不可少的工具之一，但是我们每天接收到垃圾电子邮件远远超过正常邮件，垃圾邮件给我们带来很大的麻烦。 当一个网民打开电子邮箱，很可能在他收下的10封EMAIL里有8封是垃圾邮件。一位“反垃圾邮件联盟”的专家详细地阐述了这样一个现象：在南方浙江省的一个地区有一家生产塑料筷子的小厂，因为没有太多的钱做广告，于是就花几百块钱找一个服务器地址来狂发邮件，只要有1%的人感兴趣的话，效果就会和做电视广告差不多，但是花的钱却是连电视广告1%的费用都不到。

NetEye防火墙的日志存储介质有两种，包括本身的硬盘存储，和单独的日志服务器；针对这两种存储，NetEye 防火墙都提供了强大的审计分析工具，使管理员可以非常容易分析出各种安全隐患；NetEye 防火墙对安全事件的响应的及时性，还体现在他的多种报警方式上，包括蜂鸣、trap、邮件、日志；NetEye 防火墙还具有实时监控功能，可以在线监控通过防火墙的连接，同时还可以捕捉数据包进行分析，非分析网络运行情况，排除网络故障提供了方便。

防火墙应具备的17个特性

状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。

防火墙会缺省设置一些基本规则，不需要用户参与，可以有效防范IP地址欺骗、Ping of death、teardrop以及Syn flooding等基本网络攻击，保护内网和防火墙免遭多种形式的拒绝服务攻击和非法访问。

响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web服务器的请求，还检查Web服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。

现在国内自主开发的防火墙系统可谓是进入“白热化”了，什么百兆、千兆、2U、4U...性能参数的比较本已经日趋激烈了，再开始有不少厂商将技术重点转移在了“多功能”的方面上，在防火墙中继承IDS模块已经不是什么新鲜事了，使用这类产品可以达到监控应用层数据的效果。

你已经接受了这种想法，就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能，而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处，但是，仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区，这样增加额外的开支提供最大的保护值得吗?

防火墙英文名称为FireWall，是指位于计算机和它所连接的网络之间的硬件或软件，也可以位于两个或多个网络之间，比如局域网和互联网之间，网络之间的所有数据流都经过防火墙。通过防火墙可以对网络之间的通讯进行扫描，关闭不安全的端口，阻止外来的DoS攻击，封锁特洛伊木马等，以保证网络和计算机的安全。

　虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口，但是，由于防火墙通常都部署在Internet出口处，在客户端PC与目的资源中间的路径上，总是存在着瓶颈链路——该瓶颈链路可能是2Mbps专线，也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。