前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻解決方案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

防火墻解決方案范文第1篇

這是McAfee自2010年以768萬美元被英特爾收購以來最大的一筆交易。

此次要約收購交易已經(jīng)獲得了Stonesoft公司CEO Ilkka Hiidenheimo、主席Hannu Turunen，及一名董事會成員（共持有Stonesoft 34.7%股權）的同意。Stonesoft的董事會，亦建議其他股東支持該方案。

赫爾辛基調(diào)查機構Inderes Oy的分析師米克爾·拉塔尼表示：“正如你經(jīng)常聽到有些企業(yè)的網(wǎng)站被入侵，網(wǎng)絡安全的大趨勢從未展現(xiàn)出放緩的跡象。而Stonesoft有潛力看到這強勁的增長，因此這對英特爾來說是一項不錯的交易。而此次交易提出的價格對Stonesoft的股東而言也是一項非常好的交易?！?/p>

總部位于赫爾辛基的Stonesoft為企業(yè)客戶提供一系列的安全解決方案，包括下一代防火墻，規(guī)避防御系統(tǒng)以及SSL VPN解決方案，幫助企業(yè)免遭網(wǎng)絡安全威脅。它通過軟件、硬件和虛擬設備提供軍事級別的防火墻。研究公司Gartner最近的安全報告授予該公司“有遠見的企業(yè)”稱號。該公司提供行業(yè)內(nèi)最完整的安全解決方案，這也是吸引邁克菲的主要原因。

英特爾網(wǎng)絡安全部的高級副總裁兼總經(jīng)理派特·卡爾霍恩在他的博客中寫道：“McAfee已經(jīng)設計生產(chǎn)出了高安全度的防火墻，為全球包括政府機構在內(nèi)的最重要的網(wǎng)絡提供防護。此次收購，我非常有信心，我們將為下一代防火墻提供最先進的技術，Stonesoft的技術能夠滿足一個全新的、巨大的企業(yè)細分市場的需求?！?/p>

卡爾霍恩還說：“有了英特爾的支持，我們現(xiàn)在提供兩種領先的防火墻解決方案，這將是我們安全連接戰(zhàn)略中至關重要的一個層級。此次對Stonesoft的投資也將允許我們將我們的資源集中在我們IPS平臺的開發(fā)上，使之能夠成為市場領先的解決方案，幫助企業(yè)抵御絕大多數(shù)復雜且高級的威脅。將IPS和防火墻與我們領先的威脅智能感知系統(tǒng)、解決威脅專家，以及領先的網(wǎng)絡和郵件保護解決方案結合在一起，McAfee必將在網(wǎng)絡安全領域處于領先地位?！?/p>

防火墻解決方案范文第2篇

傳統(tǒng)的防火墻通常是基于訪問控制列表(ACL)進行包過濾的，位于在內(nèi)部專用網(wǎng)的入口處，所以也俗稱“邊界防火墻”。隨著防火墻技術的發(fā)展，防火墻技術也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術，如電路級網(wǎng)關技術、應用網(wǎng)關技術和動態(tài)包過濾技術，在實際運用中，這些技術差別非常大，有的工作在OSI參考模式的網(wǎng)絡層，有的工作在傳輸層，還有的工作在應用層。

在這些已出現(xiàn)的防火墻技術中，靜態(tài)包過濾是最差的安全解決方案，其應用存在著一些不可克服的限制，最明顯的表現(xiàn)就是不能檢測出基于用戶身份的地址欺騙型數(shù)據(jù)包，并且很容易受到諸如DOS（拒絕服務）、IP地址欺詐等黑客攻擊?，F(xiàn)在已基本上沒有防火墻廠商單獨使用這種技術。應用層網(wǎng)關和電路級網(wǎng)關是比較好的安全解決方案，它們在應用層檢查數(shù)據(jù)包。但是，我們不可能對每一個應用都運行這樣一個服務器，而且部分應用網(wǎng)關技術還要求客戶端安裝有特殊的軟件。這兩種解決方案在性能上也有很大的不足之處。動態(tài)包過濾是基于連接狀態(tài)對數(shù)據(jù)包進行檢查，由于動態(tài)包過濾解決了靜態(tài)包過濾的安全限制，并且比技術在性能上有了很大的改善，因而目前大多數(shù)防火墻廠商都采用這種技術。但是隨著主動攻擊的增多，狀態(tài)包過濾技術也面臨著巨大的挑戰(zhàn)，更需要其它新技術的輔助。

技術發(fā)展趨勢

隨著新的網(wǎng)絡攻擊的出現(xiàn)，防火墻技術也有一些新的發(fā)展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。

防火墻包過濾技術發(fā)展趨勢。一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。

多級過濾技術。所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應用網(wǎng)關（應用層）一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。

使防火墻具有病毒防護功能。現(xiàn)在通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。

防火墻的體系結構發(fā)展趨勢

隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

防火墻的系統(tǒng)管理發(fā)展趨勢

防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個方面：首先是集中式管理，分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡中安全策略的一致性?？焖夙憫涂焖俜烙惨蟛捎眉惺焦芾硐到y(tǒng)。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網(wǎng)絡設備開發(fā)商中開發(fā)成功，也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。

強大的審計功能和自動日志分析功能。這兩點的應用可以更早地發(fā)現(xiàn)潛在的威脅并預防攻擊的發(fā)生。

網(wǎng)絡安全產(chǎn)品的系統(tǒng)化

隨著網(wǎng)絡安全技術的發(fā)展，現(xiàn)在有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡安全體系”。因為我們在現(xiàn)實中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術難以滿足當前網(wǎng)絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡系統(tǒng)部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。如現(xiàn)在的IDS設備就能很好地與防火墻一起聯(lián)合。

目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測部分直接“做”到防火墻中，使防火墻具有IDS和病毒檢測設備的功能；另一種是各個產(chǎn)品分立，通過某種通訊方式形成一個整體，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成過濾和報告。目前更看重后一種方案，因為它實現(xiàn)方式較前一種容易許多。

分布式防火墻技術

分布式防火墻的主要特點。綜合起來這種新的防火墻技術具有以下幾個主要特點：主機駐留、嵌入操作系統(tǒng)內(nèi)核、類似于個人防火墻。其次，不同于個人防火墻是單純的直接面向個人用戶，針對桌面應用的主機防火墻是面向企業(yè)級客戶的，它與分布式防火墻其它產(chǎn)品共同構成一個企業(yè)級應用方案，形成一個安全策略中心統(tǒng)一管理，所以它在一定程度上也面對整個網(wǎng)絡。它是整個安全防護系統(tǒng)中不可分割的一部分，整個系統(tǒng)的安全檢查機制分散布置在整個分布式防火墻體系中。

分布式防火墻的主要優(yōu)勢。在新的安全體系結構下，分布式防火墻代表新一代防火墻技術的潮流，它可以在網(wǎng)絡的任何交界和節(jié)點處設置屏障，從而形成了一個多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。主要優(yōu)勢如下：增強的系統(tǒng)安全性、提高了系統(tǒng)性能、系統(tǒng)的擴展性、實施主機策略、應用更為廣泛，支持VPN通信。

分布式防火墻的主要功能

分布式防火墻的特點和優(yōu)勢，那么到底這種防火墻具備哪些功能呢？因為采用了軟件形式（有的采用了“軟件+硬件”形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現(xiàn)在以下幾個方面：

Internet訪問控制。依據(jù)工作站名稱、設備指紋等屬性，使用“Internet訪問規(guī)則”，控制該工作站或工作站組在指定的時間段內(nèi)是否允許/禁止訪問模板或網(wǎng)址列表中所規(guī)定的Internet Web服務器，某個用戶可否基于某工作站訪問www服務器，同時當某個工作站/用戶達到規(guī)定流量后確定是否斷網(wǎng)。

應用訪問控制。通過對網(wǎng)絡通訊從鏈路層、網(wǎng)絡層、傳輸層、應用層基于源地址、目標地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測，控制來自局域網(wǎng)/Internet的應用服務請求，如SQL數(shù)據(jù)庫訪問、IPX協(xié)議訪問等。

網(wǎng)絡狀態(tài)監(jiān)控。實時動態(tài)報告當前網(wǎng)絡中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡入侵事件等信息。

黑客攻擊的防御。抵御包括Smurf拒絕服務攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡內(nèi)部以及來自Internet的黑客攻擊手段。

防火墻解決方案范文第3篇

今年已經(jīng)是華為連續(xù)第五年參展RSA大會，五年的參展經(jīng)歷折射了華為安全的快速成長歷程，從一名初出茅廬的新手到挑動著安全巨頭神經(jīng)的領先安全企業(yè)，華為羽翼漸豐，在安全領域獲得越來越多的話語權和關注。

在今年的RSA大會上，華為的防火墻產(chǎn)品獲得NSS實驗室下一代防火墻NGFW最高級評價，即“推薦級”，同時和FireMon簽署合作備忘錄，倡導產(chǎn)業(yè)鏈共建安全生態(tài)圈。

2015年，是全球信息安全產(chǎn)業(yè)飛速發(fā)展和變化的一年。這一年，安全市場總體空間超過90億美元，產(chǎn)業(yè)鏈競爭格局加劇，與此同時，安全采購方式、覆蓋領域、專業(yè)能力都在發(fā)生變化。

那么RSA2016大會又向我們傳遞了哪些最新的安全領域發(fā)展趨勢呢？親臨現(xiàn)場的IDC信息安全市場研究經(jīng)理王培向《通信產(chǎn)業(yè)報》（網(wǎng)）表示，今年RSA大會將主題定為“Connect to protect”，便是希望所有的安全廠商、安全團隊團結在一起，用聯(lián)合的力量保護大家的信息網(wǎng)絡安全。

的確如此，網(wǎng)絡攻擊變得越來越復雜，單一廠商無法完全解決。特別身處大數(shù)據(jù)時代，單點的智慧已經(jīng)不足以引發(fā)變革，安全界需要運用集體智慧來守護業(yè)務。

“在今年的RSA大會上，我們深刻地感受到，合作、聯(lián)盟、情報共享已經(jīng)成為主流安全廠商的必然選擇。”華為安全領域分析師陸昆侖向記者表示。

他補充說道：“特別是在移動安全和云服務兩個市場中，每個廠商只做自己最擅長的一部分，將它們整合到一起才能夠給客戶提供更加全面的解決方案。所以，我一直認為協(xié)作是非常重要的?！?/p>

目前，在國外市場，不少廠商已經(jīng)展開協(xié)作。以美國的三家安全企業(yè)舉例，F(xiàn)ireEye只做單一的安全產(chǎn)品用于抵御APT攻擊；PaloAlto則專注下一代防火墻的研發(fā)；Splunk則擅長利用大數(shù)據(jù)形成安全威脅分析模型，三家企業(yè)開展協(xié)作，整合產(chǎn)品形成完整的解決方案提供給客戶?！八麄兊淖谥际菍ふ液献骰锇槿椭脩艚鉀Q問題。”王培向記者表示。

不過，王培向記者坦承，目前國內(nèi)安全廠商對協(xié)作態(tài)度還是比較排斥的，更多的做法是為用戶提供一體化解決方案，他們的目標也很明確，保持用戶黏性。

青松智慧北京科技有限公司創(chuàng)始人兼CEO孫大偉向記者表達了同樣的觀點：“中國和國外的安全產(chǎn)業(yè)情況完全兩重天。受制于國內(nèi)政策和生態(tài)環(huán)境所限，安全廠商之間的競爭日益激烈，甚至拼得頭破血流。但是，云計算和互聯(lián)網(wǎng)已經(jīng)將傳統(tǒng)的安全邊界打破，協(xié)作和共享是國內(nèi)安全廠商必須走的一條道路?！?/p>

在這方面，華為為國內(nèi)廠商做出了表率。去年，華為提出建立“云清聯(lián)盟”，該聯(lián)盟的宗旨是將全球運營商、安全服務提供商、IDC的資源進行整合，構成一個云端的“DDoS防御生態(tài)系統(tǒng)”，統(tǒng)一進行管理和調(diào)度，以“近源清洗”徹底解決DDoS攻擊問題。青松智慧便是這一聯(lián)盟的成員之一。

而在RSA2016大會上，華為又與FireMon公司簽署了合作備忘錄，共同宣布在全球范圍內(nèi)提供華為NGFW防火墻策略管理聯(lián)合解決方案，幫助廣大用戶高效管理華為NGFW防火墻策略，降低運維成本。

長期以來，IT運維人員在防火墻管理方面的壓力很大，策略管理普遍存在低效不準確的情況。

通過雙方的聯(lián)合解決方案，用戶將可以使用FireMon的解決方案方便、高效地管理華為所有防火墻的安全策略。

這一合作不僅是華為倡導安全生態(tài)圈建設的最新行動，也是華為企業(yè)業(yè)務“被集成”戰(zhàn)略的又一具體表現(xiàn)。

防火墻解決方案范文第4篇

【關鍵詞】辦公網(wǎng);技術網(wǎng);防火墻;隔離

1.概述

1.1 當前網(wǎng)絡狀況

隨著廣播發(fā)射電臺網(wǎng)絡建設的發(fā)展，電臺的業(yè)務需求也呈現(xiàn)多樣化，臺站網(wǎng)絡按照規(guī)劃一般分為兩個網(wǎng)段：辦公（OA）網(wǎng)和技術網(wǎng)。在現(xiàn)有的網(wǎng)絡中，以一臺H3C S5500交換機作為電臺辦公網(wǎng)的核心交換機，辦公網(wǎng)通過H3C S5500上聯(lián)MSR3020路由器，通過MSR3020接入全局廣域網(wǎng)，H3C S5500與MSR3020之間采用Eudemon 200防火墻隔離。

技術網(wǎng)以一臺三層交換機H3C S5500為核心，接入采用二層方式連接。改造之前辦公網(wǎng)與技術網(wǎng)之間沒有添加隔離設備，物理直接相連，通過靜態(tài)路由協(xié)議互通。如圖1所示。

圖1 網(wǎng)絡連接示意圖

1.2 辦公網(wǎng)與技術網(wǎng)隔離的背景

1.2.1 網(wǎng)絡潛在威脅

由于計算機網(wǎng)絡的發(fā)展，信息系統(tǒng)的不安全因素陡然增加。網(wǎng)絡的不安全因素主要表現(xiàn)為下列幾個方面：[1]

物理臨近攻擊。

內(nèi)部犯罪。

信息泄露。

重放攻擊。

篡改和破壞。

惡意程序的攻擊。

系統(tǒng)脆弱性攻擊。

網(wǎng)絡安全隱患是全方位的，軟件，硬件，人為等因素都會造成網(wǎng)絡的故障，甚至是不可挽回的損失。我們現(xiàn)在需解決的是電臺辦公網(wǎng)與技術網(wǎng)的隔離問題，也就是說要保證辦公網(wǎng)即使出現(xiàn)計算機病毒，惡意代碼等也不會波及到技術網(wǎng)。反之技術網(wǎng)的安全威脅也不會波及到辦公網(wǎng)。

1.2.2 隔離原因

在改造之前的運行環(huán)境中，技術網(wǎng)和辦公網(wǎng)之間是通過靜態(tài)路由互通的，兩網(wǎng)之間沒有任何的隔離措施。

根據(jù)無線電臺管理局內(nèi)網(wǎng)網(wǎng)絡建設的要求，辦公網(wǎng)和技術網(wǎng)的安全級別是不一樣的。技術網(wǎng)主要部署安全播出服務器和控制終端，安全級別要求更高，技術網(wǎng)的網(wǎng)段地址不對外，只在臺站內(nèi)有效;辦公網(wǎng)網(wǎng)段是全局廣域網(wǎng)的，局機關與臺站以及各臺站之間都可以互訪。因此為了保證網(wǎng)絡安全，在辦公網(wǎng)和技術網(wǎng)之間須要增加安全隔離措施，以盡量避免或減少病毒、攻擊等網(wǎng)絡威脅對技術網(wǎng)造成影響。

在兩網(wǎng)之間，辦公網(wǎng)用戶與技術網(wǎng)用戶不需要進行數(shù)據(jù)交換，辦公網(wǎng)服務器與技術網(wǎng)服務器分別設有一臺應用服務器實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)同步。因此，安全隔離措施將全部禁止辦公網(wǎng)與技術網(wǎng)中其余用戶和服務器的數(shù)據(jù)交換，只允許辦公網(wǎng)應用服務器（即辦公網(wǎng)通訊服務器，例如IP為10.2.72.149）和技術網(wǎng)應用服務器（即技術網(wǎng)通訊服務器，例如IP為172.1.72.5）之間進行數(shù)據(jù)傳遞。

2.隔離方案對比

根據(jù)電臺辦公網(wǎng)與技術網(wǎng)現(xiàn)狀和需求，我們提出以下四種網(wǎng)絡隔離解決方案：

2.1 物理隔離

物理隔離是一種完全斷開物理上連接的方式，使得辦公網(wǎng)和技術網(wǎng)相互不連通。在辦公網(wǎng)需要提取技術網(wǎng)相關數(shù)據(jù)時，通過移動存儲介質(zhì)進行傳輸。這種方式的優(yōu)點在于只要保證了存儲介質(zhì)和對技術網(wǎng)進行訪問的相關人員的安全，就保證了技術網(wǎng)的絕對安全。

但是由于辦公網(wǎng)需要讀取的不僅僅是數(shù)據(jù)庫中存儲的數(shù)據(jù)，還包括服務器里實時變動的相應數(shù)據(jù)，所以采取此方式得到的數(shù)據(jù)都存在相當大的延遲，從某種程度上講，得到的數(shù)據(jù)已經(jīng)“失效”。

2.2 訪問控制列表

為了過濾通過網(wǎng)絡設備的數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識別需要過濾的對象。在識別出特定的對象之后，網(wǎng)絡設備才能根據(jù)預先設定的策略允許或禁止相應的數(shù)據(jù)包通過，訪問控制列表（Access Control List，ACL）就是用來實現(xiàn)這些功能。ACL通過一系列的匹配條件對數(shù)據(jù)包進行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號等。ACL應用在交換機全局或端口，交換機根據(jù)ACL中指定的條件來檢測數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。由ACL定義的數(shù)據(jù)包匹配規(guī)則，還可以在其它需要對流量進行區(qū)分。

優(yōu)點：此方案不需要添加任何隔離設備。僅需要在核心交換機上設置ACL，只允許指定的辦公網(wǎng)服務器訪問技術網(wǎng)服務器，禁止其余用戶訪問，配置靈活，維護方便。

缺點：對病毒和網(wǎng)絡攻擊的防御作用較小。

2.3 多功能安全網(wǎng)關

在辦公網(wǎng)和技術網(wǎng)之間增加多功能安全網(wǎng)關設備，隔離辦公網(wǎng)和技術網(wǎng)。

多功能安全網(wǎng)關工作模式為路由模式，采用靜態(tài)路由方式。增加包過濾規(guī)則，對匹配辦公網(wǎng)通訊服務器和技術網(wǎng)通訊服務器的網(wǎng)絡流量允許通過，其余流量禁止通過，同時利用訪問控制列表過濾病毒端口。

優(yōu)點：功能強大，整合了防病毒、IDS、IPS、防火墻等功能，降低技術復雜度。

缺點：不能有效防范內(nèi)部攻擊，過度集成造成誤判率較高，降低了系統(tǒng)的可用性和穩(wěn)定性。

2.4 防火墻

在辦公網(wǎng)和技術網(wǎng)之間增加防火墻設備，隔離辦公網(wǎng)和技術網(wǎng)。

防火墻配置路由模式，采用靜態(tài)路由方式。同時，采用兩種隔離規(guī)則：

（1）增加包過濾規(guī)則，對匹配辦公網(wǎng)通訊服務器和技術網(wǎng)通訊服務器的網(wǎng)絡流量允許通過，其余流量禁止通過，同時利用訪問控制類別過濾病毒端口。

（2）通過NAT方式，對外隱藏技術網(wǎng)應用服務器地址，把該IP地址轉(zhuǎn)換成一個其他地址，轉(zhuǎn)換后辦公網(wǎng)中只能看到防火墻轉(zhuǎn)換后的地址，而無法看到原始IP地址，增強了安全性。

優(yōu)點：性價比高，配置靈活，維護方便，安全性高。

缺點：功能較為單一，不能有效防范內(nèi)部攻擊和未設置策略的攻擊漏洞。

2.5 方案對比和選擇

為了提供最佳的解決方案，我們需要針對電臺網(wǎng)絡進行綜合的分析，權衡利弊，才能提出一個理想的解決方案。

電臺辦公網(wǎng)與技術網(wǎng)之間數(shù)據(jù)流量并不大，辦公網(wǎng)用戶與辦公網(wǎng)用戶之間除了特定的應用服務器都沒有數(shù)據(jù)交換的需要。但是數(shù)據(jù)交換具有偶然性、實時性的要求，除了讀取數(shù)據(jù)庫中保存的數(shù)據(jù)，還需要讀中間件服務器中的實時變化的數(shù)據(jù)。綜合考慮辦公網(wǎng)與技術網(wǎng)的使用現(xiàn)狀、流量、數(shù)據(jù)交換要求、經(jīng)濟性以及安全特性等因素，以上4種解決方案中我們建議采取第四種解決方案，即采用防火墻作為兩網(wǎng)間的隔離設備，以達到安全防護的目的。

主要原因如下：

（1）物理隔離方式因為沒有直接的物理連接最為安全，但其提供的數(shù)據(jù)交換不能夠滿足對技術網(wǎng)數(shù)據(jù)提取的要求。

（2）訪問控制列表過于簡單，只能單純地過濾數(shù)據(jù)報，不能對報文作深度的監(jiān)測分析，沒有防病毒、抗攻擊能力。

（3）多功能安全網(wǎng)關，具備強大的防火墻功能，安全性較高，但價格昂貴，配置復雜，過度集成造成性能下降，誤判率高，增加了配置和維護的復雜性。

（4）防火墻功能強大，傳輸效率高，安全性較高，可對數(shù)據(jù)報進行深度的監(jiān)測分析，具有抗病毒、抗攻擊能力。

3.防火墻隔離詳細設置

3.1 防火墻工作模式

針對電臺站辦公網(wǎng)與技術網(wǎng)現(xiàn)狀，防火墻采用路由模式工作，因為只有采用這種工作模式才可以利用NAT技術進（下轉(zhuǎn)第169頁）（上接第165頁）行地址轉(zhuǎn)換，實現(xiàn)隱藏技術網(wǎng)地址的目的。

在路由模式下，防火墻必須設置接口IP地址。它除了具備路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)功能外，同時解析所有通過它的數(shù)據(jù)包，增強網(wǎng)絡安全性。見圖2所示。

圖2 防火墻隔離示意圖

3.2 IP地址和路由協(xié)議使用

防火墻采用路由模式時與之連接的接口必須配置IP地址，防火墻采用靜態(tài)路由協(xié)議與辦公網(wǎng)和技術網(wǎng)互通。

接口地址表如下：

辦公交換機S5500，端口為GE0/0/19，IP地址為10.2.72.17;

防火墻，端口為GE0，IP地址為10.2. 72.18，端口為GE1，IP地址為10.2.72.21;

技術交換機S5500，端口為E1/0/2，IP地址為10.2.72.22。

NAT地址表：內(nèi)部地址為172.1.72.5;外部地址為10.2.72.120/29

參照接口地址表和NAT的地址表，路由協(xié)議配置規(guī)則如下：

（1）技術網(wǎng)核心交換機S5500配置靜態(tài)路由，規(guī)則配置為：去往目標網(wǎng)絡地址10.2. 72.149，下一跳地址為10.2.72.21。

（2）防火墻配置靜態(tài)路由，規(guī)則配置為：去往目標網(wǎng)絡地址172.1.72.5，下一跳地址為10.2.72.22;去往目標網(wǎng)絡地址10.2. 72.149，下一跳地址為10.2.72.17。同時，設置NAT地址池將地址為172.1.72.5放置在地址池中，轉(zhuǎn)換成地址為10.2.72.120/29綁定在出方向GE1接口，設置global地址10.2.72.121轉(zhuǎn)換成inside地址172.1.72.5。

（3）辦公網(wǎng)核心交換機S5500設置靜態(tài)路由，規(guī)則配置為：去往目標網(wǎng)絡地址10.2. 72.120，下一跳地址為10.2.72.18。

3.3 NAT配置

在本防火墻設置中，可以把技術網(wǎng)看作一個內(nèi)部網(wǎng)絡。

NAT就是在技術網(wǎng)中使用內(nèi)部地址，而當技術網(wǎng)節(jié)點要與辦公網(wǎng)節(jié)點進行通訊時，就在防火墻處將技術網(wǎng)地址替換成一個另外的地址。

通過這種方法，NAT對外屏蔽了技術網(wǎng)網(wǎng)絡，所有技術網(wǎng)計算機對于辦公網(wǎng)來說是不可見的，而技術網(wǎng)計算機用戶通常不會意識到NAT的存在。

在這次改造過程中，我們可在防火墻上配置NAT，針對技術網(wǎng)配置地址轉(zhuǎn)換，技術網(wǎng)應用服務器，IP地址為172.1.72.5，可以看作是內(nèi)部地址，通過地址轉(zhuǎn)換，轉(zhuǎn)換成IP地址為10.2.72.121的全局地址。

對于辦公網(wǎng)來說，辦公網(wǎng)只知道技術網(wǎng)應用服務器轉(zhuǎn)換的地址，而不知道真實的地址，這就提高了網(wǎng)絡安全性，確保了技術網(wǎng)內(nèi)服務器的保密性，隱藏了技術網(wǎng)內(nèi)真實的IP地址。

以上設置能夠保證技術網(wǎng)服務器正常訪問辦公網(wǎng)服務器，同時辦公網(wǎng)服務器也能正常訪問技術網(wǎng)服務器，而辦公網(wǎng)中只知道去往地址的路由，并不會知道技術網(wǎng)服務器的存在，這樣就利用防火墻保證了辦公網(wǎng)和技術網(wǎng)的安全性和獨立性。

4.結論

辦公網(wǎng)和技術網(wǎng)隔離的改造完成之后，保障了辦公網(wǎng)用戶終端安全的使用，技術網(wǎng)應用系統(tǒng)可靠穩(wěn)定的運行，對電臺網(wǎng)絡安全建設發(fā)揮了巨大的作用，為電臺的安全播出工作做出了重要的貢獻。

參考文獻

防火墻解決方案范文第5篇

防火墻功能和性能的矛盾一直是困擾信息安全產(chǎn)品的問題，也是最被用戶詬病之處。解決方法只有一個，那就是尋求新的硬件之道。

好在硬件技術在不斷發(fā)展，多核技術的出現(xiàn)讓廠商們看到了新曙光。目前，市面上除了傳統(tǒng)的x86、NP和ASIC架構的防火墻外，又出現(xiàn)了一個新的防火墻設計――多核防火墻。那么，多核與以往傳統(tǒng)的x86、NP、ASIC架構相比有何特色？人們該如何選擇不同的架構？近日，在神州數(shù)碼網(wǎng)絡公司推出首款多核防火墻――終結者多業(yè)務網(wǎng)關2.0之際，記者采訪了神州數(shù)碼網(wǎng)絡公司技術總監(jiān)楊海濤。

x86性能最多只能達到2Gbps

長久以來，國內(nèi)許多安全廠商的防火墻產(chǎn)品都采用基于x86的架構，而國外廠商的多數(shù)防火墻則采用ASIC架構。幾年前，隨著技術的更新?lián)Q代，隨著網(wǎng)絡處理器（NP）技術的興起，為了趕超國際上的先進水平，彌補國內(nèi)防火墻性能上的不足，很多國內(nèi)廠商開始采用“NP+ASIC”的架構。

x86架構是一種通用的“CPU+Linux”操作系統(tǒng)的架構。其處理機制是，數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸是依靠“中斷”實現(xiàn)，這導致了不可逾越的性能瓶頸，尤其在傳送小包的情況下（如64 Bytes的小包），數(shù)據(jù)包的通過率只能達到30%～40%左右，并且它的設計是必須依靠CPU計算，因此，很占CPU資源，這也是為什么x86防火墻性能上不去的原因。

雖然Intel提出了解決方案，將32位的PCI總線升級到了PCI-E ，總線速度最高可達16GBps，但是，小包傳送問題依然沒有解決?！叭绻脩粼谶M行小包通過率測試時，性能出現(xiàn)大幅度的下滑，這種防火墻多半是x86架構。提醒用戶一定不能被廠商的宣傳忽悠了，基于x86的防火墻，其最高性能只能達到2Gbps！”楊海濤說。

所以，目前市場上大多數(shù)的x86防火墻不能作為千兆防火墻使用，只能作為百兆防火墻。

ASIC架構

靈活性不夠

國外的大部分防火墻設計都采用了ASIC架構，以Juniper和Fortinet的產(chǎn)品為首，因為它的性能高，并且開發(fā)門檻高，一度成為國際國內(nèi)廠商的技術分水嶺。

基于ASIC架構的防火墻從架構上改進了中斷機制，數(shù)據(jù)通過網(wǎng)卡進入系統(tǒng)后，不需經(jīng)過主CPU處理，而是由集成在系統(tǒng)中的芯片直接處理，完成防火墻的功能，如路由、NAT、防火墻規(guī)則匹配等，因此，其性能得到了大幅度的提升: 性能可以達到萬兆，并且64 Bytes的小包都可以達到線速。

但問題是，這種防火墻在設計時，就必須將安全功能固化進ASIC芯片中，所以它的靈活性不夠，如果想要增添新的功能或進行系統(tǒng)升級，開發(fā)周期較長，對技術的要求也很高。此外，用ASIC開發(fā)復雜的功能，如垃圾郵件過濾、網(wǎng)絡監(jiān)控、病毒防護等，其開發(fā)比較復雜，對技術要求很高。因此，ASIC架構非常適用于功能簡單的防火墻。

NP是平衡方案

國內(nèi)許多廠商為了彌補防火墻性能的不足，在不斷進行技術研發(fā)，推出了基于“NP+ASIC”的防火墻架構，以解決x86架構性能不足和ASIC架構不夠靈活的問題。

NP是專門為網(wǎng)絡設備處理網(wǎng)絡流量而設計的處理器，其體系結構和指令集對于數(shù)據(jù)處理都做了專門的優(yōu)化，同時輔助一些協(xié)處理器完成搜索、查表等功能，可以對網(wǎng)絡流量進行快速的并發(fā)處理。硬件結構設計采用高速的接口技術和總線規(guī)范，具有較高的I/O能力。這是一種硬件加速的完全可編程的架構，軟硬件都易于升級，因此產(chǎn)品的生命周期更長。

NP最大的優(yōu)點在于它是通過專門的指令集和配套的軟件開發(fā)系統(tǒng)提供強大的編程能力，因而便于開發(fā)應用，可擴展性強，而且研制周期短，成本較低。但是，相比于x86架構，由于應用開發(fā)、功能擴展受到NP的配套軟件的限制，基于NP技術的防火墻的靈活性要差一些。采用微碼編程，在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構架之間，應該說NP是x86架構和ASIC之間的平衡方案。

多核可實現(xiàn)性能和綠色雙重設計

多核技術則是近年來新出現(xiàn)的處理器技術，它一出現(xiàn)，就被認為是解決信息安全產(chǎn)品功能與性能之間矛盾的一大硬件法寶。國外許多廠商，如SonicWall等，都推出了其多核產(chǎn)品。多核是在同一個硅晶片上集成了多個獨立物理核心，每個核心都具有獨立的邏輯結構，包括緩存、執(zhí)行單元、指令級單元和總線接口等邏輯單元，通過高速總線、內(nèi)存共享進行通信。在實際工作中，每個核心都可以達到1Ghz的主頻。因此，多核技術無論在性能、靈活性還是在開發(fā)的成本和難度方面，都是其他架構不能比擬的。

楊海濤介紹，目前各種芯片廠商推出的多核芯片共分三種: 一種是Intel、AMD推出的2核、4核的通用處理器，適用于桌面筆記本電腦等通用領域; 一種是IBM、SUN分別推出的cell和SPARC架構的多核處理器，主要用于圖形處理和運算; 第三種是RMI和Cavium推出的基于MIPS架構的嵌入式多核處理器，主要應用于數(shù)據(jù)通信領域，它最適合用于信息安全產(chǎn)品的開發(fā)。

除了上述特色外，多核的另一大特點是非常節(jié)能。楊海濤舉例，以神碼網(wǎng)絡推出終結者多業(yè)務網(wǎng)關產(chǎn)品為例，16核的DCFW-1800E-8G單電源功耗僅120W，采用雙電源也僅僅240W，而同樣x86平臺的雙電源高達1020W，每年多費電約7000度。1U的5千兆接口的DCFW-1800S-H-V2，功耗僅為15W，相比一般x86平臺工控機200～300W的功耗，一年節(jié)約的電費高達2500元。

鏈接

神碼推出的多核防火墻

性能功能一覽