防火墙的主要功能和几种类型？

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

主要功能：

1、入侵检测功能

网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。

2、网络地址转换功能

利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。

SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。

3、网络 *** 作的审计监控功能

通过此功能可以有效对系统管理的所有 *** 作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。

4、强化网络安全服务

防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

类型

1、过滤型防火墙

过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。

2、应用代理类型防火墙

应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。

这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。

3、复合型

目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制。

如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

扩展资料

具体应用

1、内网中的防火墙技术

防火墙在内网中的设定位置是比较固定的，一般将其设置在服务器的入口处，通过对外部的访问者进行控制，从而达到保护内部网络的作用，而处于内部网络的用户，可以根据自己的需求明确权限规划，使用户可以访问规划内的路径。

总的来说，内网中的防火墙主要起到以下两个作用：一是认证应用，内网中的多项行为具有远程的特点，只有在约束的情况下，通过相关认证才能进行；二是记录访问记录，避免自身的攻击，形成安全策略。

2、外网中的防火墙技术

应用于外网中的防火墙，主要发挥其防范作用，外网在防火墙授权的情况下，才可以进入内网。针对外网布设防火墙时，必须保障全面性，促使外网的所有网络活动均可在防火墙的监视下，如果外网出现非法入侵，防火墙则可主动拒绝为外网提供服务。

基于防火墙的作用下，内网对于外网而言，处于完全封闭的状态，外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径，所以防火墙能够详细记录外网活动，汇总成日志，防火墙通过分析日常日志，判断外网行为是否具有攻击特性。

参考资料来源：百度百科-防火墙

目 录
一,阿姆瑞特公司简介
阿姆瑞特是一家专业从事网络安全产品研发和服务的跨国IT企业,属于阿姆瑞特(国际)集团在亚洲的分支机构集团总部设在瑞典,拥有强大的公司实力及技术优势,多年来一直致力于网络安全产品的研发和服务,在全球范围设有多个研发机构和销售网络,为不同的客户提供最先进的,特色化的安全产品和服务目前,阿姆瑞特已经在北京,西安,南京,广州,成都等地先后建立办事处,并将销售延伸到全国各个省市,建立起遍及全国的销售和服务平台在金融,电信,教育,广电,电力,制造和政府等行业已经有广泛的应用,客户的一致好评和在玛赛,联想,赛迪等国内大型实验室优异的测试结果,显示了阿姆瑞特产品的卓越品质和公司雄厚的技术实力
阿姆瑞特人愿通过不懈的努力,与合作伙伴共同为中国网络安全发展尽自己的微薄之力阿姆瑞特的目标是:服务于中国的信息安全产业,为用户提供全球领先的安全产品和完善的服务
二,阿姆瑞特防火墙的产品线及性能
21 阿姆瑞特防火墙性能参数
性能
F50-NP
F100-NP
F100UP
F100Pro
F300Pro
F600-UP
F600Pro
F600+
F1800
F3000
F5000
F5000Pro
并发连接数
4,000
16,000
128,000
200,000
320,000
512,000
1,000,000
1,000,000
2,000,000
3,000,000
5,000,000
80,000,000
吞吐量(Mbps)
50
100
120
200
400
800
1,000
1,5000
2,000
3,000
4,000
16,000
延时( μs )
≤30
≤30
≤30
≤30
≤25
≤25
≤25
≤25
≤19
≤19
≤19
≤19
防火墙接口数量
4+6
4+6
4
6
8
6-14
6-14
6-14
6-14
6-14
6-14
5-40
用户数量
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
VLAN数量
无
无
256
256
512
1,024
1,024
1,024
2,048
4,096
4,096
32,768
规则数量
500
1,000
1,000
1,000
2,000
8,000
16,000
16,000
16,000
32,000
32,000
250,000
路由数量
64
128
128
128
512
1,024
2,048
2,048
2,048
4,096
4,096
32,768
隧道数
15
30
120
120
1,200
1,600
2,000
2,000
2,000
2,000
2,000
400,000
MTBF(小时)
30000
30000
30000
30000
40000
40000
40000
40000
50000
50000
50000
50000
规格(长宽高)
15721030
15721030
23843544
23843544
23843544
43543544
43543544
17025540
43543588
43543544
43543588
43543588
22 SME级别F50-NP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F50-NP
50M
4000
4+6
Unlimited
20M
25
NetScreen
NS-5XT
70
2,000
5
10
20M
10
NS-5GT
75
2,000
5
10
20M
10
NS-5GT_Ex
75
4,000
5
Unlimited
20M
25
Cisco
PIX-501-50
60M
7,500
2+4
50
6M
10
PIX-501-10
60M
7,500
2+4
10
6M
10
Nokia
IP40-U
70M
3
Unlimited
15M
10
F50-NP吞吐量可升级至75M
23 SME级别F100-NP&F100-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F100-NP
100M
16,000
4+6
Unlimited
40M
100
F100-UP
120M
128,000
4
Unlimited
95M
120
NetScreen
NS-25
100M
32,000
4
Unlimited
20M
125
Cisco
Pix-506E
100M
25,000
2
Unlimited
16M
25
Nokia
IP130
102M
100,000
3
Unlimited
13M
F100-NP吞吐量可升级至200M
24 CorpXpres系列F100-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F100-Pro
200M
200,000
6
Unlimited
95M
120
NetScreen
NS-25
170M
64,000
4
Unlimited
45M
500
Cisco
Pix-515E-UR
188M
130,000
2-6
Unlimited
63M
2,000
Nokia
Nokia无此档产品
25 CorpXpres系列F300-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F300-Pro
400M
320,000
8
Unlimited
130M
1,200
NetScreen
NS-204
400M
128,,000
4
Unlimited
200M
1,000
Cisco
Pix-525-UR
330M
280,000
2-6
Unlimited
145M
2,000
Nokia
IP350
400M
128,000
4
Unlimited
60M
2,000
26 EntXpress系列F600-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F600-UP
800M
512,000
6-14
Unlimited
600M
1,600
NetScreen
NS-208
550M
128,000
8
Unlimited
200M
1,000
NS-500
700M
250,000
12
Unlimited
250M
5,000
Cisco
Cisco无此档产品
Nokia
IP530
507M
128,000
4
Unlimited
115M
2,000
IP380
600M
128,000
6
Unlimited
90M
2,000
27 EntXpress系列F600-Pro&F600+性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F600-Pro
1,000M
1,000,000
6-14
Unlimited
800M
2,000
F600+
1,500M
1,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG1000
1,000M
250,000
4 -8
Unlimited
1,000M
2,000
Cisco
PIX-535-UR
1,700M
500,000
2-8
Unlimited
440M
2,000
Nokia
IP710
1,300M
128,000
4
Unlimited
139M
2,000
28 TelcoXpress系列F1800&F3000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F1800
2,000M
2,000,000
6-14
Unlimited
1,000M
2,000
F3000
3,000M
3,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG2000
2,000M
512,000
8
Unlimited
1,000M
10,000
Cisco
Cisco无此档产品
Nokia
IP740
2,000M
500,000
4
Unlimited
139M
10,000
29 TelcoXpress系列F5000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F5000
4,000M
5,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
Netscreen无此档产品
Cisco
Cisco无此档产品
Nokia
IP1260
4,200M
1,000,000
4
Unlimited
800M
210超级电信级产品F5000-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F5000-Pro
16,000M
5,000,000
5-40
Unlimited
16,000M
400,000
NetScreen
NS-5200
10,000M
1,000,000
8
Unlimited
5,000M
30,000
NetScreen
NS-5400
30,000M
1,000,000
24
Unlimited
15,000M
30,000
Cisco
FWSM模块
5,000
1,000,000
100(VLAN)
Unlimited
n/a
n/a
Nokia
Nokia无此档产品
阿姆瑞特现已推出的5000Pro防火墙,是当今世界上最快的防火墙产品已经在欧洲的各大电信运营商网络成功的开始了应用
下面是它图样:
平台架构
最多支持八块高性能的基于ASIC加速的板卡
每块板卡支持2G的明通和密通吞吐量
每块板卡支持4+1个网口, 四个千兆口, 一个SFP
管理卡位于工控机的背板,不占用插槽
背板还拥有一个网口汇聚卡, 可以支持八个百兆电口,SFP,或者万兆口
重要技术参数
防火墙明通吞吐量16Gbps
IPSEC密通吞吐量16Gbps
同时并发连接8千万
55万大包PPS
四十万最大通道数
支持32768个VLAN接口
支持最多8000个虚拟路由系统
GAN兼容,支持3G网络安全需求
完全支持IKEv2和EIP-SIM
三,阿姆瑞特防火墙的组成
31 阿姆瑞特防火墙硬件
阿姆瑞特防火墙采用专有的硬件,采用高性能的CPU和大容量的内存保证硬件的高性能其中,阿姆瑞特NP系列采用NP的硬件架构;600UP以上的产品采用ASIC技术
32 阿姆瑞特防火墙内核
阿姆瑞特防火墙为"无系统内核",即:防火墙没有 *** 作系统,因此不会存在通用 *** 作系统的漏洞,从而在底层保证防火墙的安全性;同时,因为 *** 作系统需要不断地去维护,升级,无 *** 作系统就不存在此类问题,这也排除了因为系统升级,打补丁破坏防火墙功能,性能的问题
阿姆瑞特防火墙内核启动后,可直接管理防火墙的所有硬件(CPU,网卡,总线等),它可以在底层从硬件设备中接管进出防火墙数据并进行处理,利用了所有可能的硬件性能,同时减少了 *** 作系统的开销,因此可以最快的处理数据,使其成为市场上现有的最快的防火墙之一
33 阿姆瑞特防火墙管理器
阿姆瑞特防火墙管理器的作用是对防火墙进行管理,配置,日志的查询,同时可以集中管理到多达3万台防火墙
34 阿姆瑞特防火墙日志服务器
阿姆瑞特防火墙日志服务器的作用是接收并存储防火墙的日志
35 其它防火墙硬件和内核简介
厂家
介绍
阿姆瑞特防火墙的优势
Juniper
Juniper防火墙采用专用的 *** 作系统平台,而且把 *** 作系统固化在专用芯片(ASIC)上
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Juniper小,所以在性能上两者相差不大;但是在灵活性和扩展性上比Juniper强
Cisco
Cisco PIX防火墙采用安全的黑盒子,非UNIX系统,是X86结构
阿姆瑞特600系列采用ASIC架构,NP系列采用NP架构
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Cisco小,所以在性能上比Cisco强;在功能上和管理的方便性上都比Cisco强;而Cisco防火墙在加密算法的不同(如DES和3DES)则要不同的License和不同内存大小来支持,阿姆瑞特防火墙没有这样的限制
NOKIA
NOKIA防火墙采用NOKIA的硬件平台,而软件采用Check Point的
阿姆瑞特防火墙内核文件到目前为止都是小于2M,远远小于NOKIA防火墙,所以在性能和延迟比NOKIA强;在功能上和管理的方便性上比NOKIA的强;而NOKIA防火墙按照接口类型,接口数量,软件和用户数量来购买,阿姆瑞特防火墙没有这样的限制
四,阿姆瑞特防火墙的技术特点
阿姆瑞特防火墙除了是一款专业的防火墙设备以外,还具有强大得的路由功能以及专业级带宽管理功能具体对其技术特点概括如下:
全方位安全防护
强大的路由功能
专业的带宽管理
灵活的网络接入
丰富的功能
便捷的图形管理
细微的网络日志
41 全方位安全防护
阻断入侵者的攻击,保护用户的网络正常运行是防火墙的最基本职责阿姆瑞特防火墙提供者全方位的安全防护例如:
411 全状态检测防火墙
阿姆瑞特防火墙对所有的协议都可以进行状态检测进行过滤,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤因此可以防止假冒IP攻击,防止非正常连接同时提高防火墙工作效率
412灵活的访问控制
阿姆瑞特防火墙所能控制的颗粒度非常细,可以对以下的信息作出访问控制:
源和目的地址
源和目的接口
IP协议号
TCP和UDP端口号
端口范围
ICMP信息类型
IP和TCP中都有的选项类型
IP和TCP标记组合
VLAN信息
时间
防火墙的接口(包括物理和逻辑接口)
访问内容
访问的文件类型
访问控制可以说是防火墙的基本功能,不同的是Juniper,Nokia和PIX无法支持防火墙的接口,IP和TCP中的选项和用户访问文件类型进行访问控制
413 用户认证
阿姆瑞特防火墙支持本地用户库认证,RADIUS认证,LDAP认证
Juniper支持本地用户库认证,RADIUS认证,LDAP认证,RSA,SecurIP
Cisco支持本地用户库认证,RADIUS认证,TACACS
NOKIA支持本地用户库认证,RADIUS认证
不同的是阿姆瑞特防火墙做用户认证的时候,可以设置每用户名多次登陆,也可以设置每用户名一次登陆,此功能如下图所示:
414 强大的抵御攻击能力
阿姆瑞特防火墙提供针对黑客攻击的强大防御功能:
防止黑客对OS Fingerprinting 和 Firewalking的企图
防止黑客对网络的TCP/UDP端口扫描
防止黑客对网络的同步攻击
防止黑客对网络的ICMP flood攻击
防止黑客对网络的UDP flood攻击
防止黑客对网络的死ping(Ping of death)攻击
防止黑客对网络的IP欺骗(IP spoofing)攻击
防止黑客对网络的端口扫描(Port scan)
防止黑客对网络的陆地攻击(Land attack)
防止黑客对网络的撕毁攻击(Tear drop attack)
防止黑客对网络的过滤IP源路由选项(Filter IP source route option)
防止黑客对网络的IP地址扫描攻击(IP address sweep attack)
防止黑客对网络的WinNuke attack攻击
防止黑客对网络的Java/ActiveX/Zip/EXE
防止黑客对网络的默认分组拒绝(Default packet deny)攻击
防止黑客对网络的Dos & DDoS攻击
用户定义的不良URL
防止黑客对网络的Per-source session limiting攻击
防止黑客对网络的Syn fragments攻击
防止黑客对网络的Syn and Fin bit set攻击
防止黑客对网络的No flags in TCP攻击
防止黑客对网络的FIN with no ACK攻击
防止黑客对网络的ICMP fragment攻击
防止黑客对网络的Large ICMP
防止黑客对网络的IP source route
防止黑客对网络的IP record route
防止黑客对网络的IP security options
防止黑客对网络的IP timestamp
防止黑客对网络的IP stream
防止黑客对网络的IP bad options
防止黑客对网络的Unknown protocols
抵御黑客的攻击也是防火墙的基本功能,但阿姆瑞特防火墙在抵御攻击的时候,原理于其他防火墙不同
其他的防火墙
通过设定阈值进行攻击防范,例如每个IP每秒2000个SYN报文以下才认为是正常的,超出视为攻击因此比较难慢性抵御DDOS攻击(例如:很多IP每秒1500个SYN攻击)
依托通用OS,OS对攻击的抵御能力不足;且防火墙软件与OS间必然存在开销,消耗系统资源
阿姆瑞特防火墙
采用类似代理技术进行攻击防范,必须首先与防火墙建立起连接,防火墙才会再与主机进行连接,攻击不会通过防火墙到达主机
专用内核,没有OS开销,提高了自身抵御攻击能力
设计中充分考虑了系统抗攻击的能力,预留防火墙系统资源,任何情况下CPU利用率都不会达到100%
415 URL过滤
阿姆瑞特防火墙支持URL过滤
Juniper支持URL过滤
NOKIA不支持URL过滤
Cisco PIX Firewall URL过滤与NetPartners Websense产品一起提供PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行PIX Firewall 53版本及更高版本中支持Websensen第4版本
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担
42 强大的路由功能
阿姆瑞特防火墙的路由功能非常强大的路由功能,最大可以支持4096条静态路由此外还支持策略路由,动态路由以及虚拟路由等
421 策略路由
阿姆瑞特防火墙可以基于不同的策略定义不同的路由,因此可以根据源地址,服务,时间等定义不同的路由从而达到不需要其他设备可以连接多个ISP,应用在多个出口的环境,同时,可以对数据包的路由方向进行选择此功能如下图所示:
不同的是通过策略路由可以支持WEB Cache(例如:免费的Squid)从而达到利用免费的软件实现URL过滤,应用代理的目的,同时可用作支持病毒扫描服务器等
Juniper支持策略路由,只是做到源地址,源IP,源端口,目的地址,目的IP,目的端口但无法对时间,数据包路由的方向作策略路由
Cisco不支持策略路由
NOKIA支持策略路由
422 路由备份
阿姆瑞特防火墙可以做到端口之间的冗余,这样可以保证不会因为一条链路的中断而造成业务的中断,此功能如下图所示:
423支持OSPF V2动态路由
阿姆瑞特防火墙全面支持OSPF路由协议,完全符合RFC文档对OSPF协议的规定因此可以于专业的路由器的OSPF媲美,同时支持透明下起OSPF协议,OSPF OVER IPSEC等
阿姆瑞特防火墙的OSPF根据RFC 2328来定义,支持OSPF版本2,也可以支持早期版本RFC 1538,可以和CISCO,北电等设备之间做OSPF
不同的是通过阿姆瑞特防火墙自带的日志软件,可以对OSPF HELLO包做分析;即使防火墙工作在透明模式下,也可以运行OSPF协议;在网络环境下也支持OSPF协议的运行
Juniper防火墙OSPF基于虚拟路由器而启用的,根据RFC 2328的定义,支持OSPF版本2,也可以支持早期版本RFC 1538在网络环境下也支持OSPF协议的运行
NOKIA支持OSPF协议,采用的标准是RFC 2328,不支持早期版本RFC 1538
Cisco PIX防火墙不支持OSPF协议
424 支持虚拟路由器/系统
阿姆瑞特防火墙支持虚拟防火墙功能,是通过回环接口组的方式实现的,要求防火墙的版本在85以上
NOKIA支持虚拟防火墙功能
Juniper虚拟防火墙逻辑划分了多个虚拟系统,以提供多客户式托管服务,每个虚拟系统(VSYS)都是一个唯一的安全域,并且可以拥有自己的管理源,管理员可以设置自己的地址薄,用户列表,自定义服务,,策略以使自己的安全个性化可以通过两种方式实现虚拟系统:基于VLAN和基于IP要在204以上的才支持,5200和5400最多可以做到500个
Cisco PIX支持虚拟防火墙功能,但要求防火墙版本是70以上
425 对VLAN的支持
阿姆瑞特防火墙全系列型号都支持VLAN
Cisco防火墙要在515型号以上的才支持VLAN
Juniper防火墙要在25 高级版本型号以上的才支持VLAN
NOKIA防火墙要在130型号以上的才支持VLAN
43 专业的带宽管理
阿姆瑞特防火墙除了具有全方位的安全防护和强大的路由功能以外,还具备专业的带宽管理功能
阿姆瑞特防火墙支持阿姆瑞特防火墙可以基于IP,基于服务,基于接口,基于组信息,基于VLAN信息,连接等信息进行带宽管理并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量通过QoS/CoS设置,可以进行:
· 带宽限制
· 带宽保证
· 优先级控制 (0-7,有8个优先级别)
· 动态流量均衡
此功能如下图所示:
总体来说,阿姆瑞特防火墙在作带宽管理的时候,具有如下特点:
通过定义管道的方式提供CoS/QoS功能
管道没有数量的限制
带宽管理设置精度为1Kbps
可进行带宽限制,带宽保证,动态均衡带宽
大差别带宽管理时,不存在"饿死"现象
可对上传和下载数据分别进行带宽管理
明通,密通数据均可以作带宽管理
带宽管理可基于接口,VLAN,IP地址,服务,时间等设定
Juniper,Cisco,NOKIA防火墙做不到带宽保证,动态流量均衡同时带宽管理的精度也比较粗糙(为64kbps)
44灵活的网络接入
阿姆瑞特防火墙在网络接入方面非常灵活,具体的特点如下:
透明,路由,混合接入
同一接口下的透明+路由
源地址,目标地址同时转换
对称式接口设计
441 路由,透明和混合的工作模式
阿姆瑞特防火墙支持路由,透明和混合的工作模式
Juniper只支持路由和透明模式
Cisco只支持路由的工作模式和透明模式(需要防火墙的版本在70以上)
NOKIA只支持路由和透明模式
不同的是阿姆瑞特防火墙可以在透明模式下实现和路由模式下相同的功能,如在透明模式下支持NAT,VLAN,,OSPF,HA和虚拟防火墙等功能
442 同一接口下的透明+路由
阿姆瑞特防火墙支持同一的网络接口下的透明+NAT,如图:
防火墙if2接了2个网段,同时if2也配置了2个不同网段的地址,if1同if2其中一个地址在同一网段上,于另一个地址在不同网段上这样防火墙的if1于if2同时处于透明+路由的情况
Juniper,Cisco和NOKIA均不支持这个功能
443对称式接口设计
阿姆瑞特防火墙的接口都是对称试设计,因此任何一个接口都可以是内网,外网或者DMZ区因此可以作多个内网,多个外网或者多个DMZ区
444 接入模式
阿姆瑞特防火墙支持ADSL,DHCP Client,固定IP地址,支持多条ADSL线路拨号,支持ADSL按需拨号,此功能如下图所示:
Juniper不支持多条ADSL线路拨号
Cisco不支持多条ADSL线路拨号,ADSL按需拨号
NOKIA不支持多条ADSL线路拨号,ADSL按需拨号但NOKIA支持FDDI,ISDN,Token Ring,Serial(X35和X21),T1,E1,HSSI接口
45 丰富的功能
阿姆瑞特防火墙有如下功能:
1, __Client 的NAT设备的穿越
2, __Client 拨号上来可以通过DHCP服务器动态得到地址
3, __Client 拨号上来也可以自己手动设定一个虚拟IP地址,并可以和内网用户做双向通讯
4, __Client 拨号上来不仅可以通过Pre-Share KEY 的方式验证,同时还可以做用户名和密码的XAuth验证(通过RADIUS数据库)
5, __Client 拨号上来也可以通过证书的方式做用户认证,并且支持 CA服务器颁发的证书 或 自己生成的自签名证书
6, __Client 不仅可以拨号防火墙的外口公网IP地址建立隧道,也可以拨号一个动态域名建立隧道,
7, 站点之间的 支持Pre-Share KEY 的方式验证身份,也可以支持CA服务器颁发的证书 或 自己生成的自签名证书
8, 站点之间的 支持星型的互连
9, 站点之间的 支持NAT设备的穿越
10, 站点之间的 支持ADSL的动态地址的隧道的建立
11, 站点之间的 支持全开放的加密协议和生命周期的调试,IKE提议和IPSec的加密和传输方法都可以调试,可以和其他设备建立隧道
12, 全面支持PPTP,L2TP和GRE封装形式的技术
13,支持2个站点之间建立多台隧道,并且做到隧道之间的备份
Juniper, Cisco和NOKIA不支持站点之间的 支持ADSL的动态地址的隧道的建立
Cisco和NOKIA不支持2个站点之间建立多台隧道,并且做到隧道之间的备份
Cisco防火墙在国内销售的防火墙加密算法只支持DES,不支持3DES,主要是美国政府不允许,而且要收费,但是在欧洲销售的防火墙都支持DES和3DES,而且还免费

硬件防火墙都是分开的，因为有些地方不需要配协议库，这样可以的配合可以适合更多方面的客户进行报价，如果合同上没写包含协议库啊漏洞库什么的，如果需要就是要另外买的，所有的品牌都一样。
。

防火墙的发展趋势
网络安全涉及到通信和网络、密码学、芯片、 *** 作系统、数据库等多方面技术。目前的网络安全产品，主要分为以下几类：3A类产品、安全 *** 作系统、安全隔离与信息交换系统、安全WEB、反病毒产品、IDS和弱点评估产品、防火墙、、保密机、PKI等。其中，防火墙是网络安全的第一道屏障，所占市场最大，安全技术也比较成熟。下面就防火墙的现状与发展趋势作重点阐述。
防火墙的功能
从防火墙的功能来说，主要包含以下几个方面：访问控制，如应用ACL进行访问控制；攻击防范，如防止 SYN FLOOD 等； NAT; ；路由；认证和加密；日志记录；支持网管等。
为了满足多样化的组网需求，降低用户对其它专用设备的需求，减少用户建网成本，防火墙上也常常把其它网络技术结合进来，例如支持 DHCP SERVER ， DHCP RELAY;支持动态路由，如RIP，OSPF等；支持拨号， PPPOE 等特性；支持广域网口；支持透明模式(桥模式)；支持内容过滤(如URL过滤)、防病毒和IDS等功能。
防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。
应用代理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够好。但关键的是，它的性能比较差，从国外公开的防火墙测试报告来看，代理防火墙性能表现比较差，因此在网络带宽迅猛发展的情况下，已经不能完全满足需要。
此外，有的防火墙支持SOCK代理，这种代理屏蔽了协议本身，只要客户端支持SOCK代理，该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议，如QQ的语音和视频协议，采用其它技术，在NAT情况下很难实现对该协议的支持，但QQ软件本身支持SOCK代理，如果防火墙支持SOCK代理协议，就可以实现对防火墙的穿越。但对于防火墙而言，不参与协议解码，也意味着防火墙对该协议失去了监测能力。
状态检测技术
状态检测技术要监视每个连接发起到结束的全过程，对于部分协议，如FTP、 H323等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。
状态防火墙可以对特定的协议进行解码，因此安全性也比较好。有的防火墙可以对FTP、SMTP等有害命令进行检测和过滤，但因为在应用层解码分析，处理速度比较慢，为此，有的防火墙采用自适应方式，因此处理速度很快。
状态防火墙还有一个特色是，当检测到SYN FLOOD攻击时，会启动代理。此时，如果是伪造源IP的会话，因为不能完成三层握手，攻击报文就无法到达服务器，但正常访问的报文仍然可达。
防火墙因为软件复杂，实现的功能较多，必须有 *** 作系统支持， *** 作系统的安全是防火墙安全的基石。1998年，在中国和美国计算机学会ACM共同举办的国际会议上，我提出了高保障防火墙的概念，其核心是防火墙与安全 *** 作系统无缝集成，在防火墙上实现类似B级 *** 作系统的机制，如标记，MAC，强实体认证等。入关具有入关证，出关具有出关证。建立了防止内部敏感信息泄漏的机制，达到既防外又防内的目标。
防火墙的未来发展趋势
未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。
实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。
受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)。对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。
这里还要提到日志问题，根据国家有关标准和要求，防火墙日志要求记录的内容相当多。随着网络流量越来越大，庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。所以，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。
多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器；支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSEC ，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。
未来防火墙的 *** 作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。

防火墙在哪里设置
1首先，你需要知道电脑防火墙的位置。最简单的方法是进入控制面板，然后在右上方的查看方式中，切换到大图标，找到windows防火墙，点击打开，进入具体设置页面；
2打开电脑的windows防火墙后，如果只是想禁用或启用防火墙，只需选择[启用]或[关闭]然后确认即可。
3启用防火墙后，如果您希望允许某些软件连接到网络并禁用其他程序和服务，您可以在计算机的windows防火墙中选择[允许程序通过Windows防火墙进行通信]。如果您想禁用网络程序或服务，只需删除复选框，然后按“确定”；
4如果某些必需的程序或服务不在例外列表中，并且防火墙已打开，则这些程序和服务无法连接到外部网络。要添加它，请单击“允许另一个程序运行”，然后在新窗口列表中选择要添加的程序，然后单击“确定”保存它。
5如果设置了很多例外，最后又想取消，只需要将防火墙恢复到默认值，点击左侧菜单中的恢复默认设置即可。
6恢复之后，也就是说以后程序和服务想访问网络的时候，就会被屏蔽。这时候就需要在例外菜单中设置防火墙拦截程序时通知我，让一些有用的程序被甄别释放；
7最后，建议始终保持防火墙开启，这是保护电脑不被使用的有利防线；
以上是防火墙在哪里设置方法的介绍。希望大家关注网络安全，提高网络安全意识。

有人扫荡端口了
看看下面的文章，可能对你有帮助
有关端口安全防护的
众所周知，计算机之间通信是通过端口进行的，例如你访问一个网站时，Windows就会在本机开一个端口(例如1025端口)，然后去连接远方网站服务器的一个端口，别人访问你时也是如此。默认状态下，Windows会在你的电脑上打开许多服务端口，黑客常常利用这些端口来实施入侵，因此掌握端口方面的知识，是安全上网必备的技能。
一、常用端口及其分类
电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256×256(65536)个端口，这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分，它们又可以分为以下两大类:
1系统保留端口(从0到1023)
这些端口不允许你使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如80端口就代表Web服务。21对应着FTP，25对应着SMTP、110对应着POP3等。
2动态端口(从1024到65535)
当你需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端口未关闭，再需要端口时就会分配1025端口供你使用，依此类推。
但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口(远程终端服务)。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。
二、如何查看本机开放了哪些端口
在默认状态下，Windows会打开很多“服务端口”，如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接，可以使用以下两种方法。
1利用netstat命令
Windows提供了netstat命令，能够显示当前的 TCP/IP 网络连接情况，注意:只有安装了TCP/IP协议，才能使用netstat命令。
*** 作方法:单击“开始→程序→附件→命令提示符”，进入DOS窗口，输入命令 netstat -na 回车，于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号，Foreign Address是远程计算机IP地址和端口号，State表明当前TCP的连接状态，LISTENING是监听状态，表明本机正在打开135端口监听，等待远程电脑的连接。
如果你在DOS窗口中输入了netstat -nab命令，还将显示每个连接都是由哪些程序创建的。本机在135端口监听，就是由svchostexe程序创建的，该程序一共调用了5个组件(WS2_32dll、RPCRT4dll、rpcssdll、svchostexe、ADVAPI32dll)来完成创建工作。如果你发现本机打开了可疑的端口，就可以用该命令察看它调用了哪些组件，然后再检查各组件的创建时间和修改时间，如果发现异常，就可能是中了木马。
2使用端口监视类软件
与netstat命令类似，端口监视类软件也能查看本机打开了哪些端口，这类软件非常多，著名的有Tcpview、Port Reporter、绿鹰PC万能精灵、网络端口查看器等，推荐你上网时启动Tcpview，密切监视本机端口连接情况，这样就能严防非法连接，确保自己的网络安全。

三、关闭本机不用的端口
默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此你应该封闭这些端口。主要有:TCP139、445、593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口)，以及远程服务访问端口3389。关闭的方法是:
①137、138、139、445端口:它们都是为共享而开放的，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是:单击“开始→控制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBios over Tcpip，在打开的“NetBios over Tcpip属性”窗口中，单击选中“常规”标签下的“不要使用这个设备(停用)”，单击“确定”按钮后重新启动后即可。
②关闭UDP123端口:单击“开始→设置→控制面板”，双击“管理工具→服务”，停止Windows Time服务即可。关闭UDP 123端口，可以防范某些蠕虫病毒。
③关闭UDP1900端口:在控制面板中双击“管理工具→服务”，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDoS攻击。
④其他端口:你可以用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地安全策略”，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭。
四、重定向本机默认端口，保护系统安全
如果本机的默认端口不能关闭，你应该将它“重定向”。把该端口重定向到另一个地址，这样即可隐藏公认的默认端口，降低受破坏机率，保护系统安全。
例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389)，可以将它重定向到另一个端口(例如1234)，方法是:
1在本机上(服务器端)修改
定位到下列两个注册表项，将其中的 PortNumber，全部改成自定义的端口(例如1234)即可:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
2在客户端上修改
依次单击“开始→程序→附件→通讯→远程桌面连接”，打开“远程桌面连接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的“另存为”按钮，将该连接参数导出为rdp文件。用记事本打开该文件，在文件最后添加一行:server port:i:1234 (这里填写你服务器自定义的端口)。以后，直接双击这个rdp 文件即可连接到服务器的这个自定义端口了。

分类: 电脑/网络 >> 反病毒
解析:

第一要素：防火墙的基本功能

防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能：

防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许，否则就禁止”； 防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Tel等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

如果用户需要NNTP（网络消息传输协议）、XWindow、>