防火墙相关知识

keaide

（3）保护移动用户

　　3Com 嵌入式防火墙解决方案采用先进的保护，可从服务器扩展到网络边缘，而无论拓扑如何变化或用户位于何地。IT 安全经理可以对移动式笔记本用户及在家里工作的远程工作者更加放心。集中管理的策略加之基于硬件的执行可帮助防止禁用或旁路网络安全。

　　该安全解决方案使用PC卡式防火墙产品能够在移动用户离开办公室时为他们提供如影随形的保护，无论他们去往何地，都能保护他们的局域网连接。每个防火墙卡均能检测出用户是从局域网物理周边内部还是外部连接的，并针对该位置应用适当的安全策略。分布式防火墙能够控制每个端点的网络访问，从而减少了迂回通信流或管理访问控制列表的烦琐任务。

　　（4）集中式管理

　　3Com 嵌入式防火墙策略服务器定义了安全策略，并跨子网、外部网和互联网将它们分布到3Com 防火墙卡。它能够配置策略以控制网络访问、防止数据嗅探和哄骗、简化数据包过滤及核查任务，并能快速响应检测到的攻击。

keaide

集中管理的策略可防止在端点修改安全实施。IT管理员可以放心，一旦他们部署了适当的安全策略，每个用户和系统都会得到保护，而且一直如此。可以轻易地添加或删除用户和系统，以适应不断变化的安全需求。

　　为IT管理员提供节省时间的远程管理，改进安全执行和访问控制。

　　（5）入侵防护

　　3Com公司的这套嵌入式防火墙系统在整个企业部署3Com 嵌入式防火墙解决方案，可加强其对非法闯入的抵抗力，帮助保护网络资产。 它的入侵检测系统 (IDS) 能够识别不合宜或可疑的行为，但是不能防止这些行为的发生。它们还很容易发出错误报警，因此IT职员需要找出每个报警，以确定是否确为攻击。通常情况下，在几次假性报警之后，报警就会关闭。

　　3Com 嵌入式防火墙解决方案通过首先将入侵者拒之于局域网之外，可帮助IDS和其它基于ID的监控更加高效地工作。一旦进行配置，防火墙卡即可以最小化的管理或用户干预，随时透明地拦截入侵尝试。它是保护使用"始终开通的"DSL连接或在家里使用电缆调制解调器的远程工作者的理想解决方案，因为大多数居民互联网接入可能没有安全保护或未经过滤。

keaide

（6）经济高效、可扩展

　　安全实施为每个终端系统提供如影随形的保护，而不是与某个路由器或通信流相关联。这能让IT管理器在最需要的地方轻松地应用安全措施，比如DMZ子网、Web托管服务器、客户信息站及联络员或临时雇员。而且，安全还能以成本合理的增量扩展，以保护不断扩大的用户组。

　　为确保与现有的基础架构集成，3Com 嵌入式防火墙解决方案组件与全球IEEE快速以太网标准兼容。而且，它们可以运用新特性和新技术进行升级，从而满足新兴的业务需求。防火墙卡具有固件升级能力，让企业在需要时和所需的地方建立他们想要的配置，并能轻易地扩展，从而满足其发展需要。

keaide

（7）处理卸载

　　3Com 防火墙卡将安全执行任务卸载到内置处理器，从而让主机系统专门处理用户和应用任务。无需以牺牲系统性能为代价来获得安全。IPSec和策略执行处理被卸载到防火墙硬件，因此主机CPU可以腾出更多周期来处理用户应用和传输。卸载还使得3Com防火墙卡的3DES数据吞吐率比SonicWALL或 WatchGuard防火墙设备提高了4至5倍。不过要注意这一卸载功能需要Windows XP 或 2000 操作系统。

　　（8）超强连接

　　每个3Com嵌入式防火墙策略服务器支持多达1000个防火墙功能的系统;一个域内可以结合3个策略服务器，支持3000个防火墙功能的系统。

　　3、PCI和PC卡式嵌入式防火墙产品主要功能和优点

　　3Com把分布式防火墙技术嵌入到卡设备上，实现了软件与硬件的有机集成，大大地提高了设备的可利用性能，这也是它区别其它软件分布式防火墙的主要地方。下表3和表4分别概括了这两种主机防火墙产品的功能和优点。表3 PCI卡式主机防火墙主要功能及优点

keaide

网络防火墙早已是一般企业用来保护企业网络安全的主要机制。然而，企业网络的整体安全涉及的层面相当广，防火墙不仅无法解决所有的安全问题，防火墙所使用的控制技术、自身的安全保护能力、网络结构、安全策略等因素都会影响企业网络的安全性。
　　在众多影响防火墙安全性能的因素中，有些是管理人员可以控制的，但是有些却是在选择了防火墙之后便无法改变的特性，其中一个很关键的就是防火墙所使用的存取控制技术。目前防火墙的控制技术大概可分为：封包过滤型(Packet Filter)、封包检验型(Stateful Inspection Packet Filter)以及应用层闸通道型(Application Gateway）。这三种技术分别在安全性或效能上有其特点，不过一般人往往只注意防火墙的效能而忽略了安全性与效率之间的冲突。本文针对防火墙这三种技术进行说明，并比较各种方式的特色以及可能带来的安全风险或效能损失。

　　封包过滤型：封包过滤型的控制方式会检查所有进出防火墙的封包标头内容，如对来源及目地IP、使用协定、TCP或UDP的Port 等信息进行控制管理。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。封包过滤型控制方式最大的好处是效率高，但却有几个严重缺点：管理复杂，无法对连线作完全的控制，规则设置的先后顺序会严重影响结果，不易维护以及记录功能少。

　　封包检验型：封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版，目的是增加封包过滤型的安全性，增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包，不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全，但其相对效能也越低。

keaide

封包检验型防火墙在检查不完全的情况下，可能会造成问题。去年被公布的有关Firewall-1的Fast Mode TCP Fragment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。

　　应用层闸通道型：应用层闸通道型的防火墙采用将连线动作拦截，由一个特殊的代理程序来处理两端间的连线的方式，并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作，而不会被client端或server端欺骗，在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式，但也是效能最低的一种方式。

　　防火墙是为保护安全性而设计的，安全应是其主要考虑。因此，与其一味地要求效能，不如去思考如何在不影响效能的情况下提供最大的安全保护。

　　上述三种运作方式虽然在效能上有所区别，但我们在评估效能的同时，必须考虑这种效能的差异是否会对实际运作造成影响。事实上，对大部份仍在使用T1以下或未来的xDSL等数Mbps的“宽带”网而言，即便是使用Application Gateway也不会真正影响网络的使用效能。在这种应用环境下，防火墙的效能不应该是考虑的重点。但是，当防火墙是架在企业网络的不同部门之间时，企业就必须考虑这种效能上的牺牲是否可以接受。

keaide

OVER!

紫色冰河_1983

哦，不错~

zizi234

介绍的挺多吗？

要是一口气说完，那有多好！

辛苦楼主了。