硬件防火墙

防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。防火墙是一个系统，主要用来执行两个网络之间的访问控制策略。它可为各类企业网络提供必要的访问控制，但又不造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护企业的关键资源。

数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据。通过控制存在于某一网段的网络流量类型，包过滤可以控制存在于某一网段的服务方式。不符合网络安全的那些服务将被严格限制。基于包中的协议类型和协议字段值，过滤路由器能够区分网络流量；基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。正是因为这种原因，过滤路由器也可以称作包过滤路由器（Packet Filter Router）。

用户在选购防火墙产品时，除了从功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，应选择一套符合现有环境需求的防火墙产品。

防火墙对于网络防范黑客来说好比是一个家庭中的防盗门，它的功效的确不小。但是，有了防盗门并不意味着你的家庭就彻底安全了，最简单的例子就是防盗门没上锁，这样一来防盗的作用自然无从谈起了。还好生活中这种疏忽还不是很多。不过在防火墙的使用中这样的简单错误却还不少。想想看如果你的防火墙开了个洞会是怎样？

目前，管理IP地址的技术很多，主要包括DHCP（动态主机配置协议）、NAT技术（网络地址转换技术）及MAC地址绑定等。其中，DHCP以BootP协议为基础，并利用了BootP协议的转发代理功能，实现了IP地址的动态分配。但BootP转发代理功能一般只在较贵的路由器和第3层交换机中提供。相比而言，NAT技术和MAC地址绑定则更容易实现，因此实用性更强。如今年蓬勃发展的防火墙市场上就有很多产品运用了这两种技术。下面我们就以东方龙马防火墙为例，看看如何利用防火墙有效管理IP地址。

随着计算机网络技术的突飞猛进，网络安全的问题已经日益突出地摆在各类用户的面前。仅从笔者掌握的资料表明，目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的。

建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的一步。因为如果你的防火墙规则集配置错误，再好的防火墙也只是摆设。在安全审计中，经常能看到一个巨资购入的防火墙由于某个规则配置的错误而将机构暴露于巨大的危险之中。本文的目的就是帮助网络管理员设计、建立和维护一个可靠的、安全的防火墙规则集，这里以高阳信安的DS2000防火墙为例，不过其中包含的信息是适用于大多数的防火墙的。

传统防火墙由于通常在网络边界站岗，又名“边界防火墙”，如果说他对于来自外部网的攻击还算得上是个称职的卫士的话，那么对于80%来自内部网的攻击他就显得心有余而力不足了，为此诞生了一种新兴的防火墙技术“分布式防火墙”(Distributed Firewalls)，他的专长就在于堵住内部网的漏洞。

分布式攻击的危害很大，因此,研究阻止和击败此类攻击的解决方法是目前信息安全领域面临的一个重要课题。本文着眼于一般性的分布式攻击。目的在于提供一种简单易行、费用较低的解决方案。

包过滤防火墙位于协议网络层，按照网络安全策略对IP包进行选择，允许或拒绝特定的报文通过。过滤一般是基于一个IP分组的有关域（IP源地址、IP目的地址、TCP/UDP源端口或服务类型和TCP/UDP目的端口或服务类型）进行的。基于IP源/目的地址的过滤，即根据特定组织机构的网络安全策略，过滤掉具有特定IP地址的分组，从而保护内部网络；基于TCP/UDP源/目的端口的过滤，因为端口号区分了不同的服务类型或连接类型（如SMTP使用端口25，Telnet使用端口23等），所以为包过滤提供了更大的灵活性。

随着Internet网络的迅速延伸和向商业化应用发展,无论是企业、公司、个人在方便的获取/提供信息或进行商业活动、信息传输的同时，都面临着一个如何保信息和网络自身安全性的问题。尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改已经成为大家共同关注的问题。

Cisco PIX 520 是一款性能良好的网络安全产品，如果再加上Check Point 的软件防火墙组成两道防护，可以得到更加完善的安全防范。

CiscoPIX两界面多服务配置

为防止利用互连网访问和传播有关黄色或反动信息，控制对校园外较为敏感的已知的Internet主机和资源的访问；

这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到

最流行的聊天方式之一是IRC。这种聊天程序的特点之一就是它能告诉你正在和你聊天的人的IP地址。聊天室的问题之一是：人们匿名登陆并四处闲逛，往往会遭遇跑题的评论、粗鲁的话语、被打断谈话、被服务器“冲洗”或被其它客户踢下线。

CHECKPOINT作为软件防火墙,需要安装在NT, 2000或SUN的平台上, 以下的手册是指安装在NT的平台下的SINGLE GATEWAY的产品, 有三个区( 内部网, INTERNET, DMZ)

从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。

许多上网的用户对网络安全可能抱着无所谓的态度，认为最多不过是被“黑客”盗用账号，他们往往会认为“安全”只是针对那些大中型企事业单位的，而且黑客与自己无怨无仇

本文介绍一个PIX防火墙实际配置案例，因为路由器的配置在安全性方面和PIX防火墙是相辅相成的，所以路由器的配置实例也一并列出。