防火墙系统大型网络部署

根据网络系统的安全需要，可以在如下位置部署防火墙:

局域网内的VLAN之间控制信息流向时;

Intranet与Internet之间连接时(企业单位与外网连接时的应用网关);

在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统， (通过公网ChinaPac，ChinaDDN，Frame Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离， 并利用VPN构成虚拟专网;

总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用NetScreen的VPN组成虚拟专网;

在远程用户拨号访问时，加入虚拟专网;

ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、 存取控制、用户认证、流量控制、日志纪录等功能;

两网对接时，可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT)，地址映射(MAP)， 网络隔离(DMZ), 存取安全控制，消除传统软件防火墙的瓶颈问题

影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务， 低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。

服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。 服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。 典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务; 允许内部用户访问指定的Internet主机和服务。

防火墙设计策略基于特定的Firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略: 允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用， 第二种是好用但不安全，通常采用第二种类型的设计策略。 而多数防火墙都在两种之间采取折衷。

许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜测和破译口令， 虽然如此，攻击者仍然在Internet上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡， 认证令牌，生理特征(指纹)以及基于软件(RSA)等技术，来克服传统口令的弱点。虽然存在多种认证技术， 它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。

防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"， 由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。

Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。

记录和统计网络利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。

Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

《防火墙系统实训教程》主要围绕神州数码多核防火墙系统的安装部署及各种典型应用展开。全书共设计4个单元，分别为搭建防火墙基本管理环境、配置防火墙基本功能、配置防火墙常见应用和配置防火墙高级功能，包括24个独立的任务。《防火墙系统实训教程》内容基本涵盖防火墙在现有项目中的典型应用案例，是典型的实训教程，以实际工作内容为依托，形成典型的任务工作设计，按照一般学习思维活动的特点进行系统化编排和整理。

虽然有网络防火墙作为网络安全的保障，但是如果邮件服务器对外提供服务，则黑客仍然至少能够通过邮件通讯与邮件服务器发生“亲密接触”。

有了邮件防火墙的隔离，从Internet外部只能“看到”邮件防火墙，而看不到内部真正的邮件服务器，甚至从外面无法知道内部邮件服务器采用哪种软件系统，什么版本状态等。因此大大降低了邮件服务器因为“暴露在外”而潜伏的安全隐患。

过滤不安全邮件

尽管SMTP协议中的VRFY和EXPN等协议的设计初衷很好，但是黑客和垃圾邮件发送者却可以利用这些命令从警惕性不高和缺乏经验的邮件系统管理员的工作漏洞中获取系统账户等信息，从而带来潜在的安全隐患。

有了邮件防火墙作为邮件收发的“协议翻译机”，能够将这些不安全的协议屏蔽掉，杜绝此类安全漏洞。

擦除邮件路由痕迹

邮件防火墙的“邮件路由痕迹擦除器”的作用，就是要擦除这些冗余的路由信息，使得外发的邮件信息经过“过滤”，从而消除此类安全隐患。

防止开放式中继

通过在“邮件防火墙”中设定严格的中继规则，可以防止Open Relay带来的垃圾邮件隐患。

《防火墙系统实训教程》的主体内容均包含任务目标、任务设备与要求、任务实施、任务拓展思考和任务评价。这样安排既保证了任务的可操作性，又对任务实施后的理论提升创造了空间。同时，在每个单元的开始，均设有学习目标、重点及难点、知识补充和技能大赛赛点分析，主要为读者学习本单元的内容提供一定的指导。