防火墙策略配置服务有哪些

1. 防火墙的需求,规划,架构,选型,策略配置

VPN 客户端和防火墙策略要通过使用 ISA Server 2004 来允许远程虚拟专用网络 (VPN) 客户端，必须启用 VPN 客户端访问。有关说明，请参阅启用远程 VPN 客户端访问。当启用 VPN 客户端访问时，ISA 服务器启用适当的网络和防火墙策略规则以允许初始访问。

当允许远程 VPN 客户端连接时，ISA Server 2004 使这些客户端成为 VPN 客户端网络的成员。默认系统策略规则允许这些客户端访问 ISA 服务器计算机（本地主机网络）。

系统策略规则
启用 VPN 客户端访问时，将启用名为“允许 ISA 服务器的 VPN 客户端通讯”的系统策略规则。根据您为远程客户端访问配置的协议，系统策略规则允许使用点到点隧道协议 (PPTP) 和/或第 2 层隧道协议 (L2TP) 来从外部网络（VPN 客户端的假定位置）连接到 ISA 服务器计算机（本地主机）。当配置下列远程 VPN 客户端访问属性时，可以修改这一规则：

VPN 访问网络。最初设置为外部网络，您可以修改这一属性。可以为能够连接到 ISA 服务器的 VPN 客户端指定一个或多个网络。当修改此属性时，系统策略规则自动更改，以便可以适用于额外的或其他的网络。
VPN 协议。用于远程 VPN 客户端访问的 VPN 协议可以是 PPTP 和/或 L2TP。当修改此设置时，系统策略规则得到更新以便允许使用适当的协议。
网络规则
安装 ISA 服务器时创建的默认网络规则定义了内部网络与 VPN 客户端网络之间的路由关系。当安装 ISA 服务器时，还会创建另一条默认规则，允许从 VPN 客户端网络访问外部网络。可以创建新的网络规则，以便允许从 VPN 客户端网络到其他网络的通讯。有关网络规则的详细信息，请参阅网络规则。

ISA 服务器可以充当 VPN 客户端的地址解析协议 (ARP) 代理。例如，如果分配给 VPN 客户端网络的地址是内部网段的一部分，则无论地址是从静态池中分配的还是由 DHCP 服务器分配的，内部网络中的计算机都会向 VPN 客户端发送 ARP 查询。ISA 服务器将拦截查询，并代表已连接的 VPN 客户端作出答复。

您不必将 VPN 客户端网络子网与内部网络分隔开来。

防火墙策略规则
要允许远程 VPN 客户端访问内部网络上的资源，必须创建允许适当访问权限的访问规则。如果您认为从防火墙策略的角度看，VPN 客户端网络与内部网络完全相同，可能还想创建一条访问规则以便允许从内部网络到 VPN 客户端网络的所有通讯。有关防火墙策略的更多信息，请参阅防火墙策略规则概述。

如果要启用并配置隔离，必须针对被隔离的 VPN 客户端网络创建一条访问规则，以便允许适当的权限。有关隔离的详细信息，请参阅 VPN 与隔离。

当 ISA 服务器处理规则，以确定是否允许来自 VPN 客户端的请求时，将使用 VPN 凭据。

防火墙客户端与 Web 代理客户端
如果 ISA 服务器配置为 VPN 服务器并充当防火墙客户端的防火墙服务器，那么安装了防火墙客户端的 VPN 客户端计算机将使用 ISA 服务器内部网络接口的端口 1745。有关防火墙客户端的详细信息，请参阅防火墙客户端。

类似地，如果 ISA 服务器配置为 VPN 服务器并充当 Web 代理客户端的代理服务器，那么将 ISA 服务器用作代理的 VPN 客户端计算机将使用 ISA 服务器内部网络接口的端口 8080。有关 Web 代理客户端的详细信息，请参阅 Web 代理客户端。

默认情况下，如果定义允许从 VPN 客户端网络访问内部网络的规则，将允许访问所有端口。但是，如果选择限制端口，则必须允许访问端口 1745（对于防火墙客户端）和 8080（对于 Web 代理客户端）。

配置为防火墙客户端的 VPN 客户端计算机将在身份验证时提供防火墙客户端凭据（已登录的用户），而不是 VPN 会话凭据。基于 VPN 凭据的访问规则将生效。

连接到 ISA 服务器的防火墙客户端无法连接到另一台 VPN 服务器。这是因为防火墙客户端应用程序通过 ISA 服务器发送所有通讯，其中包括 VPN 通讯。因此，在连接到 VPN 服务器时应禁用防火墙客户端。或者，在为防火墙客户端配置的网络中包括远程网络中的所有地址。

--------------------------------------------------------------------------------
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。

2. 配置防火墙策略需要以下哪些信息

pix515防火墙配置策略实例 #转换特权用户 pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #激活内外端口 interface ethernet0 auto interface ethernet1 auto #下面两句配置内外端口的安全级别 nameif ethernet0 outside ...

3. 防火墙默认应添加哪些服务及策略。

从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。

LAN接口

列出支持的 LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。

支持的最大 LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。

服务器平台：防火墙所运行的操作系统平台（如 Linux、UNIX、Win NT、专用安全操作系统等）。

协议支持

支持的非 IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。

建立 VPN通道的协议： 构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。

可以在 VPN中使用的协议：在VPN中使用的协议，一般是指TCP/IP协议。

加密支持

支持的 VPN加密标准：VPN中支持的加密算法, 例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。

除了 VPN之外，加密的其他用途： 加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。

提供基于硬件的加密： 是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。

认证支持

支持的认证类型： 是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如 RADIUS、Kerberos、TACACS/TACACS＋、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。

列出支持的认证标准和 CA互操作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。

支持数字证书：是否支持数字证书。

访问控制

通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。 IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据 ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。

在应用层提供代理支持：指防火墙是否支持应用层代理，如 HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，代理服务器应根据服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接（客户端与代理服务进程间的连接、代理服务进程与服务器端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理进程应当维护一个扩展字段集合。

在传输层提供代理支持：指防火墙是否支持传输层代理服务。

允许 FTP命令防止某些类型文件通过防火墙：指是否支持FTP文件类型过滤。

用户操作的代理类型：应用层高级代理功能，如 HTTP、POP3 。

支持网络地址转换 (NAT)：NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP 地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。

支持硬件口令、智能卡： 是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。

防御功能

支持病毒扫描： 是否支持防病毒功能，如扫描电子邮件附件中的 DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。

提供内容过滤： 是否支持内容过滤，信息内容过滤指防火墙在 HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。

能防御的 DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。

阻止 ActiveX、Java、Cookies、Javascript侵入：属于HTTP内容过滤，防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的 CGI、ASP等程序，当发现危险代码时，向服务器报警。

安全特性

支持转发和跟踪 ICMP协议（ICMP 代理）：是否支持ICMP代理，ICMP为网间控制报文协议。

提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能通过邮件、呼机、手机等。

提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。

识别 /记录/防止企图进行IP地址欺骗：IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。

管理功能

通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。

提供基于时间的访问控制：是否提供基于时间的访问控制。

支持 SNMP监视和配置：SNMP是简单网络管理协议的缩写。

本地管理：是指管理员通过防火墙的 Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。

远程管理：是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理，管理的通信协议可以基于 FTP、TELNET、HTTP等。

支持带宽管理：防火墙能够根据当前的流量动态调整某些客户端占用的带宽。

负载均衡特性：负载均衡可以看成动态的端口映射，它将一个外部地址的某一 TCP或UDP端口映射到一组内部地址的某一端口，负载均衡主要用于将某项服务（如HTTP）分摊到一组内部服务器上以平衡负载。

失败恢复特性（ failover)：指支持容错技术，如双机热备份、故障恢复，双电源备份等。

记录和报表功能

防火墙处理完整日志的方法：防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。

提供自动日志扫描：指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。

提供自动报表、日志报告书写器：防火墙实现的一种输出方式，提供自动报表和日志报告功能。

警告通知机制：防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括 E－mail、呼机、手机等。

提供简要报表（按照用户 ID或IP 地址）：防火墙实现的一种输出方式，按要求提供报表分类打印。

提供实时统计：防火墙实现的一种输出方式，日志分析后所获得的智能统计结果，一般是图表显示。

列出获得的国内有关部门许可证类别及号码：这是防火墙合格与销售的关键要素之一，其中包括：公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。

4. 各种防火墙的配置及维护

防火墙不是万无一失的安全策略，对它们必须加以合理的管理。

说到保护网络资产和业务关键基础设施免受攻击，大多数组织设立的第一道防线就是防火墙，但遗憾的是，防火墙往往又是最后一道防线。许多组织认为，防火墙就是保护基础设施投资的护身盔甲。更贴切的说法应该是胸甲――它护得了要害部位，但护不住头和脚。有鉴于此，防火墙应当仍然构成第一道防线，但必须同时得到其它深度防御安全策略的援助。

专业人员进行安全评估时，强调从现场部件开始着手的必要性，即对每个网段的每个主机进行“在线式”攻击测试。客户的第一个反应往往是“我不要这样，我只对网络黑客会干什么有兴趣。我有防火墙来保护。”如果客户觉得对防火墙不太放心，可能会添加IP地址作为远程攻击的一部分。遗憾的是，他们没有领会到要义。既然明知防火墙对基础设施的投资这么重要，为什么不进行检查，确保防火墙提供理应提供的所有保护呢？

尽管业界已尽了最大努力，但没有哪个防火墙能保护主机避免针对网络服务的“零时间”漏洞（zero-day exploit）。然而，如果配置及维护得当，就有助于约束攻击者通过被入侵主机进行的破坏行为。控制离开被入侵网络的网络流量（譬如禁止HTTP或FTP出站），这往往能阻挠攻击者获得进一步获取权限或者入侵其它内部主机所必要的工具。

防火墙往往是项目安全预算当中最大的单笔开支。防火墙安装在环境内时备受关注，而且往往配置准确。然而，等到基础设施运行了一年半载，防火墙却通常再也无法提供过去的那种保护。

专业人员在评估及审查了众多防火墙策略（有时含有成百上千条规则）之后，强烈建议：应当对防火墙策略安排年度审查以及“彻底清理”。防火墙管理员和基础设施的开发人员及维护人员都能够出面评估所需的策略更改，这很重要。重点应当放在尽量降低策略的复杂性，同时确保进出网络流量得到控制。

然后，利用各种端口扫描和确认方法，测试防火墙的安全性。对防火墙进行扫描本身作用有限，不过有助于发现通常应当禁止的任何服务或系统响应（譬如，对ICMP、路由协议和开放管理端口的响应）。不过，对与防火墙相连的所有网段的每个主机（包括防火墙）进行扫描，并且把发现结果同基于策略的预期结果进行对照，这极其重要。就长期而言，要确保防火墙管理员在使用最新的防火墙和主机操作系统方面接受全面培训。

如果运行基于防火墙的VPN隧道服务，还要评估各种相关的策略及配置。

正如不该把防火墙视为万无一失的安全防御机制那样，还应确保这个重要部件得到妥善维护和管理。毕竟，护身盔甲上的胸甲的保护功效完全取决于钢板和铁匠。

防火墙保护的几个主要漏洞

?防火墙应用系统和主机操作系统没有打上安全补丁，予以更新。

?随意向要求更改防火墙策略的受保护环境添加新主机。增添主机规则时，又往往是千篇一律的规则，从而影响了现有主机的安全性。

?从基础设施移走主机时未对防火墙策略进行相应更改。万一主机遭到远程入侵，就会造成策略“漏洞百出”。

?增添“临时的”策略更改，试图解决一年到头出现的一次性问题。获取及安装受保护主机的最新安全补丁或更新程序的系统管理员往往喜欢这样。

?重新审查防火墙日志的次数越来越少。管理员用于监控防火墙日常运转的时间不是很多，结果没人注意攻击。

?管理防火墙的任务交给了水平较差、更改防火墙策略能力较差的人（因为最初安装防火墙的“技术人员”对此不再有兴趣），尤其是增添的规则往往限制入站流量，却对出站流量未加任何限制。

?许多人获得了管理防火墙的权限，结果弄得谁也不知道为什么要制订某些规则，也不知道更改规则的重要性。

5. 硬件防火墙如何配置

一般来说，硬件防火墙的例行检查主要针对以下内容：
1.硬件防火墙的配置文件
不管你在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施。所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。
在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况
如果在硬件防火墙上保留日志记录，那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录，那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下，磁盘占用量的异常增长很可能表明日志清除过程存在问题，这种情况相对来说还好处理一些。在不保留日志的情况下，如果磁盘占用量异常增长，则说明硬件防火墙有可能是被人安装了Rootkit工具，已经被人攻破。
因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。
3.硬件防火墙的CPU负载
和磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬件防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。
4.硬件防火墙系统的精灵程序
每台防火墙在正常运行的情况下，都有一组精灵程序（Daemon），比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行，如果发现某些精灵程序没有运行，则需要进一步检查是什么原因导致这些精灵程序不运行，还有哪些精灵程序还在运行中。
5.系统文件
关键的系统文件的改变不外乎三种情况：管理人员有目的、有计划地进行的修改，比如计划中的系统升级所造成的修改；管理人员偶尔对系统文件进行的修改；攻击者对文件的修改。
经常性地检查系统文件，并查对系统文件修改记录，可及时发现防火墙所遭到的攻击。此外，还应该强调一下，最好在硬件防火墙配置策略的修改中，包含对系统文件修改的记录。
6.异常日志
硬件防火墙日志记录了所有允许或拒绝的通信的信息，是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大，所以，检查异常日志通常应该是一个自动进行的过程。当然，什么样的事件是异常事件，得由管理员来确定，只有管理员定义了异常事件并进行记录，硬件防火墙才会保留相应的日志备查。
上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患，但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要，管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否，甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击，以考核硬件防火墙的能力。

6. 防火墙包含的服务程序有哪些

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Interne
t与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。 我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。 较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。 XML 防火墙是一种新型态的应用层防火墙。

防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。 例如：TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目录内的文件。且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞（这里是指【共享文件夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览文件夹的需求）。 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。
网络安全的屏障
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
强化网络安全策略
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。
对网络存取和访问进行监控审计
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

7. 在防火墙设置中，通常有几种方式可以进行有效的设置

防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：
① 基于TCP/IP协议三层的NAT模式;
② 基于TCP/IP协议三层的路由模式;
③ 基于二层协议的透明模式。
1、NAT模式
当Juniper防火墙入口接口(“内网端口”)处于NAT模式时，防火墙将通往 Untrust 区(外网或者公网)的IP
数据包包头中的两个组件进行转换：源 IP 地址和源端口号。
防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。
NAT模式应用的环境特征：
注册IP地址(公网IP地址)的数量不足;
内部网络使用大量的非注册IP地址(私网IP
地址)需要合法访问Internet;
内部网络中有需要外显并对外提供服务的服务器。
2、Route-路由模式
当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间(例如：Trust/Utrust/DMZ)转发信息流时IP
数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略)。 与NAT模式下不同，防火墙接口都处于路由模式时，防火墙不会自动实施地址翻译;
与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。
路由模式应用的环境特征：
防火墙完全在内网中部署应用;
NAT模式下的所有环境;
需要复杂的地址翻译。
3、透明模式
当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改
IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器，防火墙对于用户来说是透明的。
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点：
不需要修改现有网络规划及配置;
不需要实施地址翻译;
可以允许动态路由协议、Vlan trunking的数据包通过。

8. 什么是防火墙一个防火墙至少提供哪两个基本的服务

1.防火墙的定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙 英语为firewall 《英汉证券投资词典》的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身

（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
（二）只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。如下图：
（三）防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
2.防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

9. 防火墙配置策略

pix515防火墙配置策略实例
#转换特权用户
pixfirewall>ena
pixfirewall#
#进入全局配置模式
pixfirewall# conf t
#激活内外端口
interface ethernet0 auto
interface ethernet1 auto
#下面两句配置内外端口的安全级别
nameif ethernet0 outside security0
nameif ethernet1 inside security100
#配置防火墙的用户信息
enable password pix515
hostname pix515
domain-name domain
#下面几句配置内外网卡的IP地址
ip address inside 192.168.4.1 255.255.255.0
ip address outside 公网IP 公网IP子网掩码
global (outside) 1 interface
nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面两句将定义转发公网IP的ssh和www服务到192.168.4.2
static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
#下面两句将定义外部允许访问内部主机的服务
conit permit tcp host 公网IP eq www any
conit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255
#允许内部服务器telnet pix
telnet 192.168.4.2 255.255.255.0 inside
#下面这句允许ping
conit permit icmp any any
#下面这句路由网关
route outside 0.0.0.0 0.0.0.0 公网IP网关 1
#保存配置
write memory

10. 防火墙设计策略有哪些

在了解TCP和UDP之前，我们需要来了解俩个概念，面向连接的服务和无连接的服务，应用面向连接的服务时，客户和服务器在发送在进行数据发送前，彼此向对方发送控制分组，这就是所谓的握手过程，使得客户和服务器都做好分组交换准备。

4月到6月，国外传统上称为“防火墙月”，据说这与“防火墙”的诞生有关。此后，每一种革命意义的防火墙技术都在此期间发布。遵照传统，编辑也收集了国内外论坛中的防火墙专帖，一起分享其中的安全理念与部署技巧。

定义所需要的防御能力

防火墙的监视、冗余度以及控制水平是需要进行定义的。

百事通通过企业系统策略的设计，IT人员要确定企业可接受的风险水平（偏执到何种程度）。接下来IT人员需要列出一个必须监测什么传输、必须允许什么传输通行，以及应当拒绝什么传输的清单。换句话说，IT人员开始时先列出总体目标，然后把需求分析与风险评估结合在一起，挑出与风险始终对立的需求，加入到计划完成的工作清单中。

关注财务问题

很多专家建议，企业的IT人员只能以模糊的表达方式论述这个问题。但是，试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如，一个完整的防火墙的高端产品可能价值10万美元，而低端产品可能是免费的；从头建立一个高端防火墙可能需要几个月。另外，系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好，但重要的是，使建立的防火墙不需要高额的维护和更新费用。

体现企业的系统策略

IT人员需要明白，安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者，安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂，防火墙的最终功能可能将是行政上的结果，而非工程上的决策。

网络设计

出于实用目的，企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此，基于这一事实，在技术上还需要做出几项决策：传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现，或通过代理网关和服务在应用层实现。

IT人员需要做出的决定是，是否将暴露的简易机放置在外部网络上为Telnet、FTP、News等运行代理服务，或是否设置像过滤器这样的屏蔽路由器，允许与一台或多台内部计算机通信。这两种方式都存在着优缺点，代理机可以提供更高水平的审计和潜在的安全性，但代价是配置费用的增加，以及提供的服务水平的降低。