1. 前言

　　到今天，防火墙技术已经非常成熟，防火墙也已成为用户网络和互联网相连的标准安全隔离设备。即使是个人用户通过拨号、有线网或xDSL上网，也可以通过个人防火墙在互联网环境下保护其网络安全。

由于TCP/IP协议是在可信环境下，为网络互联而设计的开放性协议，在设计过程中就缺乏安全措施的考虑，而防火墙就是用来保护用户网络，防止黑客利用TCP/IP本身的内在安全弱点攻击网络设备和用户计算机。目前防火墙有多种类型，包括实现较为简单的包过滤防火墙到功能更强的状态检测防火墙、应用代理防火墙等等。

　　选择何种防火墙取决于几个因素，包括网络规模大小、网络流量大小、系统和数据的敏感程度和应用类型等。在实际安全系统规划和建设中，要根据用户的安全需求和防火墙的功能特点来选择防火墙，而不能仅仅根据防火墙的类型。

　　防火墙并不能解决全部的安全问题。深层防御战略安全体系和思想认为信息安全保障的概念基础是保护（Protection）、检测(Detection)、反应(React)和恢复(Recovery)四个相互作用和反馈的安全环节。防火墙只是一种安全保护措施，必须要和其它安全措施，比如入侵检测、漏洞扫描、主机防护等等有机的融合起来才能充分发挥安全效果。同时，不同的用户应用类型和不同的用户网络环境也可能影响到防火墙的选择和配置。

　　因此，在计划使用防火墙来保护用户网络时，对防火墙的配置和使用环境进行认真规划十分重要。

　　本文档首先对防火墙的基本技术、分类、功能和使用环境进行说明，然后着重描述在各种防火墙使用环境下的防火墙配置建议。

本文档参考了以下文档：

• RFC 2544/2567
  
• GB/T 18019-1999：信息技术包过滤防火墙安全技术要求
  
• GB/T 18020-1999：信息技术应用级防火墙安全技术要求
  
• NIST Special Publication 800-41：Guidelines on Firewalls and Firewall Policy
  
• NIST Special Publication 800-31：Intrusion Detection Systems
  
• NSA：Information Assurance Technical Framework，V3.0

2. 防火墙技术概述

2.1 防火墙基本功能

　　根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内网不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

　　作为采用不同安全策略网络之间的流量控制手段，在很多场合下，用户通过防火墙来控制组织内网和互联网之间的安全连接，限制来自互联网的非授权访问。但如同前面对网络边界的定义，用户也经常采用防火墙来保护系统内业务信息比较敏感的部门网络安全，比如个人电脑到财务部门服务器的未经授权的访问。在有些用户系统中，还存在一种通过其内部骨干网（或其它方式）将不同单位内网互联的业务模式，这种模式允许第三方有限度的共享部分信息，防火墙通过有效、细致的访问控制规则来满足用户必要的通信和信息共享需求，并屏蔽其它任何未经授权的网络访问。

2.2 防火墙分类

　　目前，有很多厂商提供各种类型的防火墙平台，对它们有几种常用的分类方法：1）按照产品形式可分为硬件防火墙和软件防火墙两大类；2）按照性能可以分为百兆级和千兆级两类防火墙；3）按照操作模式可分为透明模式、路由模式和NAT（网络地址转换）三类；4）按照部署位置可分为边界防火墙和主机/个人防火墙两类；5）按照OSI模型层次划分可分为包过滤防火墙、状态检测防火墙和应用代理防火墙
其中包过滤防火墙是最基本的防火墙，一般由一些基本路由设备通过内部的网络访问控制规则实现，一般是工作在网络层，在现代网络结构中，为了实现负载均衡/高可用性，也可能在网络第二层实现。包过滤防火墙的访问控制功能由一套规则集组成，这些规则集是基于网络报文的以下信息实现的：源地址、目的地址、流量类型、网络会话特征或物理端口。
状态检测防火墙是基于网络第四层的包过滤技术，它是针对高层协议（如TCP）难以用简单的包过滤对数据连接进行有效控制，而必须采用上下文相关控制这一特点的，比如FTP、H.323等协议。状态检测防火墙通过建立动态TCP连接状态表并每次会话连接进行验证来实现网络访问控制。

　　应用代理防火墙是将低层访问控制和高层应用功能结合在一起的防火墙，所有通过防火墙的包都必须在应用代理软件的控制下。由于它没有在防火墙内外接口间的路由功能，因此一旦应用代理软件失效或故障，防火墙是不能转发网络包的。应用代理防火墙具有功能强大的特点，但是其性能低的缺点决定了它不能应用在高带宽和实时应用的业务中。

2.3 防火墙增值功能

　　除了实现在不同安全策略网络之间的流量进行控制外，目前防火墙都或多或少实现了一些增值功能， 在防火墙上常见的一些增值功能包括：

• NAT
  
• VPN
  
• DHCP
  
• 入侵检测
  
• 病毒检测
  
• 内容过滤
  　　而其中有些增值功能也已经成为了防火墙事实上要必备的功能，比如NAT等。而有些功能应该结合用户的业务现状和网络状况适当选用，比如病毒检测等。
  　　对有些功能，应该认识到可能会被攻击者规避，比如病毒检测或内容过滤，攻击者只要对网络内容进行加密就可以轻易绕过。

2.4 防火墙使用环境

　　防火墙环境由防火墙设备及其相关的系统和应用组成，这些相关的系统可能包括入侵检测、路由器、VPN、公众服务器（如Web服务器和邮件服务器）等。

　　事实上，正是防火墙环境决定了用户对防火墙的选择和配置方式，比如用户业务需要对公众发布信息，一般会要求通过Web服务器方式，这就带来一个新的安全概念，即安全非设防区（DMZ），因为在这种业务需求下，用户对Web服务器和内网的安全策略不可能相同：Web服务器必须对公众开放部分服务，而内网则完全禁止来自互联网的访问。类似情形就决定了防火墙的配置结构和功能需求。

关于防火墙在各种使用环境下的配置和使用建议我们在下一章节有详细描述。

3. 防火墙使用环境建议

3.1 防火墙配置和使用基本原则

对防火墙的配置和使用应该坚持四个基本原则：