防火牆策略配置服務有哪些

1. 防火牆的需求,規劃,架構,選型,策略配置

VPN 客戶端和防火牆策略要通過使用 ISA Server 2004 來允許遠程虛擬專用網路 (VPN) 客戶端，必須啟用 VPN 客戶端訪問。有關說明，請參閱啟用遠程 VPN 客戶端訪問。當啟用 VPN 客戶端訪問時，ISA 伺服器啟用適當的網路和防火牆策略規則以允許初始訪問。

當允許遠程 VPN 客戶端連接時，ISA Server 2004 使這些客戶端成為 VPN 客戶端網路的成員。默認系統策略規則允許這些客戶端訪問 ISA 伺服器計算機（本地主機網路）。

系統策略規則
啟用 VPN 客戶端訪問時，將啟用名為「允許 ISA 伺服器的 VPN 客戶端通訊」的系統策略規則。根據您為遠程客戶端訪問配置的協議，系統策略規則允許使用點到點隧道協議 (PPTP) 和/或第 2 層隧道協議 (L2TP) 來從外部網路（VPN 客戶端的假定位置）連接到 ISA 伺服器計算機（本地主機）。當配置下列遠程 VPN 客戶端訪問屬性時，可以修改這一規則：

VPN 訪問網路。最初設置為外部網路，您可以修改這一屬性。可以為能夠連接到 ISA 伺服器的 VPN 客戶端指定一個或多個網路。當修改此屬性時，系統策略規則自動更改，以便可以適用於額外的或其他的網路。
VPN 協議。用於遠程 VPN 客戶端訪問的 VPN 協議可以是 PPTP 和/或 L2TP。當修改此設置時，系統策略規則得到更新以便允許使用適當的協議。
網路規則
安裝 ISA 伺服器時創建的默認網路規則定義了內部網路與 VPN 客戶端網路之間的路由關系。當安裝 ISA 伺服器時，還會創建另一條默認規則，允許從 VPN 客戶端網路訪問外部網路。可以創建新的網路規則，以便允許從 VPN 客戶端網路到其他網路的通訊。有關網路規則的詳細信息，請參閱網路規則。

ISA 伺服器可以充當 VPN 客戶端的地址解析協議 (ARP) 代理。例如，如果分配給 VPN 客戶端網路的地址是內部網段的一部分，則無論地址是從靜態池中分配的還是由 DHCP 伺服器分配的，內部網路中的計算機都會向 VPN 客戶端發送 ARP 查詢。ISA 伺服器將攔截查詢，並代表已連接的 VPN 客戶端作出答復。

您不必將 VPN 客戶端網路子網與內部網路分隔開來。

防火牆策略規則
要允許遠程 VPN 客戶端訪問內部網路上的資源，必須創建允許適當訪問許可權的訪問規則。如果您認為從防火牆策略的角度看，VPN 客戶端網路與內部網路完全相同，可能還想創建一條訪問規則以便允許從內部網路到 VPN 客戶端網路的所有通訊。有關防火牆策略的更多信息，請參閱防火牆策略規則概述。

如果要啟用並配置隔離，必須針對被隔離的 VPN 客戶端網路創建一條訪問規則，以便允許適當的許可權。有關隔離的詳細信息，請參閱 VPN 與隔離。

當 ISA 伺服器處理規則，以確定是否允許來自 VPN 客戶端的請求時，將使用 VPN 憑據。

防火牆客戶端與 Web 代理客戶端
如果 ISA 伺服器配置為 VPN 伺服器並充當防火牆客戶端的防火牆伺服器，那麼安裝了防火牆客戶端的 VPN 客戶端計算機將使用 ISA 伺服器內部網路介面的埠 1745。有關防火牆客戶端的詳細信息，請參閱防火牆客戶端。

類似地，如果 ISA 伺服器配置為 VPN 伺服器並充當 Web 代理客戶端的代理伺服器，那麼將 ISA 伺服器用作代理的 VPN 客戶端計算機將使用 ISA 伺服器內部網路介面的埠 8080。有關 Web 代理客戶端的詳細信息，請參閱 Web 代理客戶端。

默認情況下，如果定義允許從 VPN 客戶端網路訪問內部網路的規則，將允許訪問所有埠。但是，如果選擇限制埠，則必須允許訪問埠 1745（對於防火牆客戶端）和 8080（對於 Web 代理客戶端）。

配置為防火牆客戶端的 VPN 客戶端計算機將在身份驗證時提供防火牆客戶端憑據（已登錄的用戶），而不是 VPN 會話憑據。基於 VPN 憑據的訪問規則將生效。

連接到 ISA 伺服器的防火牆客戶端無法連接到另一台 VPN 伺服器。這是因為防火牆客戶端應用程序通過 ISA 伺服器發送所有通訊，其中包括 VPN 通訊。因此，在連接到 VPN 伺服器時應禁用防火牆客戶端。或者，在為防火牆客戶端配置的網路中包括遠程網路中的所有地址。

--------------------------------------------------------------------------------
請在 ISA Server Guides and Articles 獲取最新的 ISA 伺服器內容。

2. 配置防火牆策略需要以下哪些信息

pix515防火牆配置策略實例 #轉換特權用戶 pixfirewall>ena pixfirewall# #進入全局配置模式 pixfirewall# conf t #激活內外埠 interface ethernet0 auto interface ethernet1 auto #下面兩句配置內外埠的安全級別 nameif ethernet0 outside ...

3. 防火牆默認應添加哪些服務及策略。

從防火牆產品和技術發展來看，分為三種類型：基於路由器的包過濾防火牆、基於通用操作系統的防火牆、基於專用安全操作系統的防火牆。

LAN介面

列出支持的 LAN介面類型：防火牆所能保護的網路類型，如乙太網、快速乙太網、千兆乙太網、ATM、令牌環及FDDI等。

支持的最大 LAN介面數：指防火牆所支持的區域網絡介面數目，也是其能夠保護的不同內網數目。

伺服器平台：防火牆所運行的操作系統平台（如 Linux、UNIX、Win NT、專用安全操作系統等）。

協議支持

支持的非 IP協議：除支持IP協議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協議。

建立 VPN通道的協議： 構建VPN通道所使用的協議，如密鑰分配等，主要分為IPSec，PPTP、專用協議等。

可以在 VPN中使用的協議：在VPN中使用的協議，一般是指TCP/IP協議。

加密支持

支持的 VPN加密標准：VPN中支持的加密演算法, 例如數據加密標准DES、3DES、RC4以及國內專用的加密演算法。

除了 VPN之外，加密的其他用途： 加密除用於保護傳輸數據以外，還應用於其他領域，如身份認證、報文完整性認證，密鑰分配等。

提供基於硬體的加密： 是否提供硬體加密方法，硬體加密可以提供更快的加密速度和更高的加密強度。

認證支持

支持的認證類型： 是指防火牆支持的身份認證協議，一般情況下具有一個或多個認證方案，如 RADIUS、Kerberos、TACACS/TACACS＋、口令方式、數字證書等。防火牆能夠為本地或遠程用戶提供經過認證與授權的對網路資源的訪問，防火牆管理員必須決定客戶以何種方式通過認證。

列出支持的認證標准和 CA互操作性：廠商可以選擇自己的認證方案，但應符合相應的國際標准，該項指所支持的標准認證協議，以及實現的認證協議是否與其他CA產品兼容互通。

支持數字證書：是否支持數字證書。

訪問控制

通過防火牆的包內容設置：包過濾防火牆的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火牆的數據包的處理方法，對於沒有明確定義的數據包，應該有一個預設處理方法；過濾規則應易於理解，易於編輯修改；同時應具備一致性檢測機制，防止沖突。 IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協議欄位表明封裝協議為ICMP、TCP或UDP，那麼再根據 ICMP頭信息（類型和代碼值）、TCP頭信息（源埠和目的埠）或UDP頭信息（源埠和目的埠）執行過濾，其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基於RPC的應用服務過濾、基於UDP的應用服務過濾要求以及動態包過濾技術等。

在應用層提供代理支持：指防火牆是否支持應用層代理，如 HTTP、FTP、TELNET、SNMP等。代理服務在確認客戶端連接請求有效後接管連接，代為向伺服器發出連接請求，代理伺服器應根據伺服器的應答，決定如何響應客戶端請求，代理服務進程應當連接兩個連接（客戶端與代理服務進程間的連接、代理服務進程與伺服器端的連接）。為確認連接的唯一性與時效性，代理進程應當維護代理連接表或相關資料庫（最小欄位集合），為提供認證和授權，代理進程應當維護一個擴展欄位集合。

在傳輸層提供代理支持：指防火牆是否支持傳輸層代理服務。

允許 FTP命令防止某些類型文件通過防火牆：指是否支持FTP文件類型過濾。

用戶操作的代理類型：應用層高級代理功能，如 HTTP、POP3 。

支持網路地址轉換 (NAT)：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用於私有地址域與公有地址域的轉換以解決IP 地址匱乏問題。在防火牆上實現NAT後，可以隱藏受保護網路的內部結構，在一定程度上提高了網路的安全性。

支持硬體口令、智能卡： 是否支持硬體口令、智能卡等，這是一種比較安全的身份認證技術。

防禦功能

支持病毒掃描： 是否支持防病毒功能，如掃描電子郵件附件中的 DOC和ZIP文件，FTP中的下載或上載文件內容，以發現其中包含的危險信息。

提供內容過濾： 是否支持內容過濾，信息內容過濾指防火牆在 HTTP、FTP、SMTP等協議層，根據過濾條件，對信息流進行控制，防火牆控制的結果是：允許通過、修改後允許通過、禁止通過、記錄日誌、報警等。過濾內容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。

能防禦的 DoS攻擊類型：拒絕服務攻擊(DoS)就是攻擊者過多地佔用共享資源，導致伺服器超載或系統資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。

阻止 ActiveX、Java、Cookies、Javascript侵入：屬於HTTP內容過濾，防火牆應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，並向瀏覽器用戶報警。同時，能夠過濾用戶上載的 CGI、ASP等程序，當發現危險代碼時，向伺服器報警。

安全特性

支持轉發和跟蹤 ICMP協議（ICMP 代理）：是否支持ICMP代理，ICMP為網間控制報文協議。

提供入侵實時警告：提供實時入侵告警功能，當發生危險事件時，是否能夠及時報警，報警的方式可能通過郵件、呼機、手機等。

提供實時入侵防範：提供實時入侵響應功能，當發生入侵事件時，防火牆能夠動態響應，調整安全策略，阻擋惡意報文。

識別 /記錄/防止企圖進行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網路進行攻擊，防火牆應該能夠禁止來自外部網路而源地址是內部IP地址的數據包通過。

管理功能

通過集成策略集中管理多個防火牆：是否支持集中管理，防火牆管理是指對防火牆具有管理許可權的管理員行為和防火牆運行狀態的管理，管理員的行為主要包括：通過防火牆的身份鑒別，編寫防火牆的安全規則，配置防火牆的安全參數，查看防火牆的日誌等。防火牆的管理一般分為本地管理、遠程管理和集中管理等。

提供基於時間的訪問控制：是否提供基於時間的訪問控制。

支持 SNMP監視和配置：SNMP是簡單網路管理協議的縮寫。

本地管理：是指管理員通過防火牆的 Console口或防火牆提供的鍵盤和顯示器對防火牆進行配置管理。

遠程管理：是指管理員通過乙太網或防火牆提供的廣域網介面對防火牆進行管理，管理的通信協議可以基於 FTP、TELNET、HTTP等。

支持帶寬管理：防火牆能夠根據當前的流量動態調整某些客戶端佔用的帶寬。

負載均衡特性：負載均衡可以看成動態的埠映射，它將一個外部地址的某一 TCP或UDP埠映射到一組內部地址的某一埠，負載均衡主要用於將某項服務（如HTTP）分攤到一組內部伺服器上以平衡負載。

失敗恢復特性（ failover)：指支持容錯技術，如雙機熱備份、故障恢復，雙電源備份等。

記錄和報表功能

防火牆處理完整日誌的方法：防火牆規定了對於符合條件的報文做日誌，應該提供日誌信息管理和存儲方法。

提供自動日誌掃描：指防火牆是否具有日誌的自動分析和掃描功能，這可以獲得更詳細的統計結果，達到事後分析、亡羊補牢的目的。

提供自動報表、日誌報告書寫器：防火牆實現的一種輸出方式，提供自動報表和日誌報告功能。

警告通知機制：防火牆應提供告警機制，在檢測到入侵網路以及設備運轉異常情況時，通過告警來通知管理員採取必要的措施，包括 E－mail、呼機、手機等。

提供簡要報表（按照用戶 ID或IP 地址）：防火牆實現的一種輸出方式，按要求提供報表分類列印。

提供實時統計：防火牆實現的一種輸出方式，日誌分析後所獲得的智能統計結果，一般是圖表顯示。

列出獲得的國內有關部門許可證類別及號碼：這是防火牆合格與銷售的關鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。

4. 各種防火牆的配置及維護

防火牆不是萬無一失的安全策略，對它們必須加以合理的管理。

說到保護網路資產和業務關鍵基礎設施免受攻擊，大多數組織設立的第一道防線就是防火牆，但遺憾的是，防火牆往往又是最後一道防線。許多組織認為，防火牆就是保護基礎設施投資的護身盔甲。更貼切的說法應該是胸甲――它護得了要害部位，但護不住頭和腳。有鑒於此，防火牆應當仍然構成第一道防線，但必須同時得到其它深度防禦安全策略的援助。

專業人員進行安全評估時，強調從現場部件開始著手的必要性，即對每個網段的每個主機進行「在線式」攻擊測試。客戶的第一個反應往往是「我不要這樣，我只對網路黑客會干什麼有興趣。我有防火牆來保護。」如果客戶覺得對防火牆不太放心，可能會添加IP地址作為遠程攻擊的一部分。遺憾的是，他們沒有領會到要義。既然明知防火牆對基礎設施的投資這么重要，為什麼不進行檢查，確保防火牆提供理應提供的所有保護呢？

盡管業界已盡了最大努力，但沒有哪個防火牆能保護主機避免針對網路服務的「零時間」漏洞（zero-day exploit）。然而，如果配置及維護得當，就有助於約束攻擊者通過被入侵主機進行的破壞行為。控制離開被入侵網路的網路流量（譬如禁止HTTP或FTP出站），這往往能阻撓攻擊者獲得進一步獲取許可權或者入侵其它內部主機所必要的工具。

防火牆往往是項目安全預算當中最大的單筆開支。防火牆安裝在環境內時備受關注，而且往往配置准確。然而，等到基礎設施運行了一年半載，防火牆卻通常再也無法提供過去的那種保護。

專業人員在評估及審查了眾多防火牆策略（有時含有成百上千條規則）之後，強烈建議：應當對防火牆策略安排年度審查以及「徹底清理」。防火牆管理員和基礎設施的開發人員及維護人員都能夠出面評估所需的策略更改，這很重要。重點應當放在盡量降低策略的復雜性，同時確保進出網路流量得到控制。

然後，利用各種埠掃描和確認方法，測試防火牆的安全性。對防火牆進行掃描本身作用有限，不過有助於發現通常應當禁止的任何服務或系統響應（譬如，對ICMP、路由協議和開放管理埠的響應）。不過，對與防火牆相連的所有網段的每個主機（包括防火牆）進行掃描，並且把發現結果同基於策略的預期結果進行對照，這極其重要。就長期而言，要確保防火牆管理員在使用最新的防火牆和主機操作系統方面接受全面培訓。

如果運行基於防火牆的VPN隧道服務，還要評估各種相關的策略及配置。

正如不該把防火牆視為萬無一失的安全防禦機制那樣，還應確保這個重要部件得到妥善維護和管理。畢竟，護身盔甲上的胸甲的保護功效完全取決於鋼板和鐵匠。

防火牆保護的幾個主要漏洞

?防火牆應用系統和主機操作系統沒有打上安全補丁，予以更新。

?隨意向要求更改防火牆策略的受保護環境添加新主機。增添主機規則時，又往往是千篇一律的規則，從而影響了現有主機的安全性。

?從基礎設施移走主機時未對防火牆策略進行相應更改。萬一主機遭到遠程入侵，就會造成策略「漏洞百出」。

?增添「臨時的」策略更改，試圖解決一年到頭出現的一次性問題。獲取及安裝受保護主機的最新安全補丁或更新程序的系統管理員往往喜歡這樣。

?重新審查防火牆日誌的次數越來越少。管理員用於監控防火牆日常運轉的時間不是很多，結果沒人注意攻擊。

?管理防火牆的任務交給了水平較差、更改防火牆策略能力較差的人（因為最初安裝防火牆的「技術人員」對此不再有興趣），尤其是增添的規則往往限制入站流量，卻對出站流量未加任何限制。

?許多人獲得了管理防火牆的許可權，結果弄得誰也不知道為什麼要制訂某些規則，也不知道更改規則的重要性。

5. 硬體防火牆如何配置

一般來說，硬體防火牆的例行檢查主要針對以下內容：
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密，一旦硬體防火牆投入到實際使用環境中，情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著，配置參數也會時常有所改變。作為網路安全管理人員，最好能夠編寫一套修改防火牆配置和規則的安全策略，並嚴格實施。所涉及的硬體防火牆配置，最好能詳細到類似哪些流量被允許，哪些服務要用到代理這樣的細節。
在安全策略中，要寫明修改硬體防火牆配置的步驟，如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分，如某人具體做修改，另一人負責記錄，第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化，並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄，那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄，那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下，磁碟佔用量的異常增長很可能表明日誌清除過程存在問題，這種情況相對來說還好處理一些。在不保留日誌的情況下，如果磁碟佔用量異常增長，則說明硬體防火牆有可能是被人安裝了Rootkit工具，已經被人攻破。
因此，網路安全管理人員首先需要了解在正常情況下，防火牆的磁碟佔用情況，並以此為依據，設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線，就意味著系統遇到了安全或其他方面的問題，需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似，CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員，必須了解硬體防火牆系統CPU負載的正常值是多少，過低的負載值不一定表示一切正常，但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下，都有一組精靈程序（Daemon），比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行，如果發現某些精靈程序沒有運行，則需要進一步檢查是什麼原因導致這些精靈程序不運行，還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況：管理人員有目的、有計劃地進行的修改，比如計劃中的系統升級所造成的修改；管理人員偶爾對系統文件進行的修改；攻擊者對文件的修改。
經常性地檢查系統文件，並查對系統文件修改記錄，可及時發現防火牆所遭到的攻擊。此外，還應該強調一下，最好在硬體防火牆配置策略的修改中，包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息，是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大，所以，檢查異常日誌通常應該是一個自動進行的過程。當然，什麼樣的事件是異常事件，得由管理員來確定，只有管理員定義了異常事件並進行記錄，硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患，但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要，管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否，甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊，以考核硬體防火牆的能力。

6. 防火牆包含的服務程序有哪些

所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Interne
t與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成， 防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信均要經過此防火牆。 在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

網路層防火牆
網路層防火牆可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能只能套用內置的規則。 我們也能以另一種較寬松的角度來制定防火牆規則，只要封包不符合任何一項「否定規則」就予以放行。現在的操作系統及網路設備大多已內置防火牆功能。 較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源埠號、目的 IP 地址或埠號、服務類型(如 WWW 或是 FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。
應用層防火牆
應用層防火牆是在 TCP/IP 堆棧的「應用層」上運作，您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。應用層防火牆可以攔截進出某應用程序的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器里。 防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜(軟體有千千百百種啊)，所以大部分的防火牆都不會考慮以這種方法設計。 XML 防火牆是一種新型態的應用層防火牆。

防火牆最基本的功能就是控制在計算機網路中，不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信，與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。 例如：TCP/IP Port 135~139是 Microsoft Windows 的【網上鄰居】所使用的。如果計算機有使用【網上鄰居】的【共享文件夾】，又沒使用任何防火牆相關的防護措施的話，就等於把自己的【共享文件夾】公開到Internet，供不特定的任何人有機會瀏覽目錄內的文件。且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞（這里是指【共享文件夾】有設密碼，但可經由此系統漏洞，達到無須密碼便能瀏覽文件夾的需求）。 防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。
網路安全的屏障
一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
強化網路安全策略
通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火牆一身上。
對網路存取和訪問進行監控審計
如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄
通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

7. 在防火牆設置中，通常有幾種方式可以進行有效的設置

防火牆在實際的部署過程中主要有三種模式可供選擇，這三種模式分別是：
① 基於TCP/IP協議三層的NAT模式;
② 基於TCP/IP協議三層的路由模式;
③ 基於二層協議的透明模式。
1、NAT模式
當Juniper防火牆入口介面(「內網埠」)處於NAT模式時，防火牆將通往 Untrust 區(外網或者公網)的IP
數據包包頭中的兩個組件進行轉換：源 IP 地址和源埠號。
防火牆使用 Untrust 區(外網或者公網)介面的 IP 地址替換始發端主機的源 IP 地址;同時使用由防火牆生成的任意埠號替換源埠號。
NAT模式應用的環境特徵：
注冊IP地址(公網IP地址)的數量不足;
內部網路使用大量的非注冊IP地址(私網IP
地址)需要合法訪問Internet;
內部網路中有需要外顯並對外提供服務的伺服器。
2、Route-路由模式
當Juniper防火牆介面配置為路由模式時，防火牆在不同安全區間(例如：Trust/Utrust/DMZ)轉發信息流時IP
數據包包頭中的源地址和埠號保持不變(除非明確採用了地址翻譯策略)。 與NAT模式下不同，防火牆介面都處於路由模式時，防火牆不會自動實施地址翻譯;
與透明模式下不同，當防火牆介面都處於路由模式時，其所有介面都處於不同的子網中。
路由模式應用的環境特徵：
防火牆完全在內網中部署應用;
NAT模式下的所有環境;
需要復雜的地址翻譯。
3、透明模式
當Juniper防火牆介面處於「透明」模式時，防火牆將過濾通過的IP數據包，但不會修改
IP數據包包頭中的任何信息。防火牆的作用更像是處於同一VLAN的2 層交換機或者橋接器，防火牆對於用戶來說是透明的。
透明模式是一種保護內部網路從不可信源接收信息流的方便手段。使用透明模式有以下優點：
不需要修改現有網路規劃及配置;
不需要實施地址翻譯;
可以允許動態路由協議、Vlan trunking的數據包通過。

8. 什麼是防火牆一個防火牆至少提供哪兩個基本的服務

1.防火牆的定義
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆 英語為firewall 《英漢證券投資詞典》的解釋為：金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障，旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火牆比喻不要引火燒身

（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆
這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。
根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連接企事業單位內部的區域網，而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。
（二）只有符合安全策略的數據流才能通過防火牆
防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。如下圖：
（三）防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。
2.防火牆最基本的功能就是控制在計算機網路中，不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信，與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。

9. 防火牆配置策略

pix515防火牆配置策略實例
#轉換特權用戶
pixfirewall>ena
pixfirewall#
#進入全局配置模式
pixfirewall# conf t
#激活內外埠
interface ethernet0 auto
interface ethernet1 auto
#下面兩句配置內外埠的安全級別
nameif ethernet0 outside security0
nameif ethernet1 inside security100
#配置防火牆的用戶信息
enable password pix515
hostname pix515
domain-name domain
#下面幾句配置內外網卡的IP地址
ip address inside 192.168.4.1 255.255.255.0
ip address outside 公網IP 公網IP子網掩碼
global (outside) 1 interface
nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面兩句將定義轉發公網IP的ssh和www服務到192.168.4.2
static (inside,outside) tcp 公網IP www 192.168.4.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 公網IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
#下面兩句將定義外部允許訪問內部主機的服務
conit permit tcp host 公網IP eq www any
conit permit tcp host 公網IP eq ssh 信任IP 255.255.255.255
#允許內部伺服器telnet pix
telnet 192.168.4.2 255.255.255.0 inside
#下面這句允許ping
conit permit icmp any any
#下面這句路由網關
route outside 0.0.0.0 0.0.0.0 公網IP網關 1
#保存配置
write memory

10. 防火牆設計策略有哪些

在了解TCP和UDP之前，我們需要來了解倆個概念，面向連接的服務和無連接的服務，應用面向連接的服務時，客戶和伺服器在發送在進行數據發送前，彼此向對方發送控制分組，這就是所謂的握手過程，使得客戶和伺服器都做好分組交換准備。

4月到6月，國外傳統上稱為「防火牆月」，據說這與「防火牆」的誕生有關。此後，每一種革命意義的防火牆技術都在此期間發布。遵照傳統，編輯也收集了國內外論壇中的防火牆專帖，一起分享其中的安全理念與部署技巧。

定義所需要的防禦能力

防火牆的監視、冗餘度以及控制水平是需要進行定義的。

百事通通過企業系統策略的設計，IT人員要確定企業可接受的風險水平（偏執到何種程度）。接下來IT人員需要列出一個必須監測什麼傳輸、必須允許什麼傳輸通行，以及應當拒絕什麼傳輸的清單。換句話說，IT人員開始時先列出總體目標，然後把需求分析與風險評估結合在一起，挑出與風險始終對立的需求，加入到計劃完成的工作清單中。

關注財務問題

很多專家建議，企業的IT人員只能以模糊的表達方式論述這個問題。但是，試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如，一個完整的防火牆的高端產品可能價值10萬美元，而低端產品可能是免費的；從頭建立一個高端防火牆可能需要幾個月。另外，系統管理開銷也是需要考慮的問題。建立自行開發的防火牆固然很好，但重要的是，使建立的防火牆不需要高額的維護和更新費用。

體現企業的系統策略

IT人員需要明白，安裝後的防火牆是為了明確地拒絕——除對於連接到網路至關重要的服務之外的所有服務。或者，安裝就緒的防火牆是為以非威脅方式對「魚貫而入」的訪問提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執狂，防火牆的最終功能可能將是行政上的結果，而非工程上的決策。

網路設計

出於實用目的，企業目前關心的是路由器與自身內部網路之間存在的靜態傳輸流路由服務。因此，基於這一事實，在技術上還需要做出幾項決策：傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現，或通過代理網關和服務在應用層實現。

IT人員需要做出的決定是，是否將暴露的簡易機放置在外部網路上為Telnet、FTP、News等運行代理服務，或是否設置像過濾器這樣的屏蔽路由器，允許與一台或多台內部計算機通信。這兩種方式都存在著優缺點，代理機可以提供更高水平的審計和潛在的安全性，但代價是配置費用的增加，以及提供的服務水平的降低。