防火墙已经成为企业网络建设中的一个关键组成部分。

但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对 NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。 
一、 两种设备产生和存在的背景不同 
1.两种设备产生的根源不同 
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。 
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。 
2.根本目的不同 
路由器的根本目的是:保持网络和数据的 "通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。 
二、核心技术的不同
Cisco路由器核心的 ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。下图是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。 
针对现在的配置,存在的安全脆弱性如下: 
IP地址欺骗(使连接非正常复位) 
TCP欺骗(会话重放和劫持) 
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。 
虽然,路由器的 "Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为***创造了机会)。 
三、安全策略制定的复杂程度不同 
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范***的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。 
NetEye 防火墙的默认配置既可以防止各种***,达到既用既安全,安全策略的制定是基于全中文的 GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同 
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的 CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。 
NetEye防火墙的硬件配置非常高(采用通用的 INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。 
由于路由器是简单的包过滤,包过滤的规则条数的增加, NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。 
五、审计功能的强弱差异巨大 
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如 syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对***等安全事件的相应不完整,对于很多的***、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储, NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范***的能力不同
对于像 Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有***实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
具有防火墙特性的路由器成本 > 防火墙 + 路由器 
具有防火墙特性的路由器功能 < 防火墙 + 路由器
具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
各类防火墙的优缺点 中国网管论坛 bbs.bitsCN.com
1 包过滤防火墙
优点:
  每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。防火墙可以识别和丢弃带欺骗性源IP地址的包。
  包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
  包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
缺点:
配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。  
2.状态/动态检测防火墙
优点:
  检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。识别带有欺骗性源IP地址包的能力。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的FTP连接,允许返回的FTP包通过。基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。记录有关通过的每个包的详细信息的能力。基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。
缺点:
  状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。可是,硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度
3.应用程序代理防火墙
优点:
指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。通过限制某些协议的传出请求,来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪***和发生的未授权访问的事件事很有用的。
缺点:
速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用),必须在一定范围内定制用户的系统,这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。
4.NAT
优点:
所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起***。如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址。可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络
缺点:
  NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全,但它也是一些类似的局限。而且内网可以利用现流传比较广泛的***程序可以通过NAT做外部连接,就像它可以穿过包过滤防火墙一样的容易。 注意:现在有很多厂商开发的防火墙,特别是状态/动态检测防火墙,除了它们应该具有的功能之外也提供了NAT的功能。
5.个人防火墙
优点:增加了保护级别,不需要额外的硬件资源。个人防火墙除了可以抵挡外来***的同时,还可以抵挡内部的***。个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网,可能一个硬件防火墙对于他来说实在是太昂贵了,或者说是太麻烦了。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等。
缺点:
个人防火墙主要的缺点就是对公共网络只有一个物理接口。要记住,真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样一来的话,个人防火墙本身可能会容易受到威胁,或者说是具有这样一个弱点,网络通信可以绕过防火墙的规则。
  好了,在上面我们已经介绍了几类防火墙,并讨论了每种防火墙的优缺点。要记住,任何一种防火墙只是为网络通信或者是数据传输提供了更有保障的安全性,但是我们也不能完全依赖于防火墙。除了靠防火墙来保障安全的同时,我们也要加固系统的安全性,提高自身的安全意识。这样一来,数据和通信以及Web站点就会更有安全保障。
吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下 单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。
   最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
   数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
防火墙对比
  在了解了防火墙的工作原理及基本配置之后,下面给大家介绍一下 NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032这四款市场上最常见的硬件防火墙在基本性能、操作管理与市场价格上的比较。
防火墙
NetScreen208
CiscoPIX515E
NGFW4000-S
NetEye4032
核心技术
状态检测
状态检测
核检测
状态检测
产品类型
ASIC硬件
硬件设备
硬件设备
硬件设备
工作模式(路由模式、桥模式、混合模式)
路由模式、桥模式
路由模式、桥模式
路由模式、桥模式、
混合模式
路由模式、桥模式
并发连接数
130000
130000
600000
300000
网络吞吐量
550M
170M
100M
200M
最大支持网络接口
8个
6个
12个
8个
操作系统
ScreenOS
专用操作系统
专用操作系统
专用操作系统
管理方式
串口、CLI、Telnet、Web、GUI
串口、Telnet、Web、GUI
串口、Telnet、Web、GUI
串口、Telnet、GUI
市场报价
142,000RMB
80,000RMB
138,000RMB
148,000RMB
网络协议:认识互联网OSI七层模型
 互联网的各项应用,其实都是分层的,也就是各位网络达人常说的 OSI七层模型,下面我们就来具体看看互联网的OSI七层模型。
  一、什么是互联网OSI模型?
  OSI(Open System Interconnection)是指开放式系统互联参考模型。在我们的平常使用的计算机网络中存在众多体系结构,如IBM公司的SNA(系统网络体系结构)和DEC公司的DNA(Digital Network Architecture)数字网络体系结构等。由于体系太多,为了能够解决不同网络之间的互联问题,国际标准化组织制定了这个OSI模型。OSI将网络通信工作分为七层,由高到低依次为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
  OSI模型结构图
  二、数据如何各层之间传输?
  物理层,数据链路层,网络层属于OSI模型的低三层,负责创建网络通信连接的链路,传输层,会话层,表示层和应用层是OSI模型的高四层,具体负责端到端的数据通信。每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持,而网络通信则可以自上而下(在发送端)或者自下而上(在接收端)双向进行。当然,并不是所有通信都是要经过OSI的全部七层,如物理接口之间的转接,只需要物理层中进行即可;而路由器与路由器之间的连接则只需网络层以下的三层。
  三、各层的作用是什么?各自包括哪些就应用?
  1.物理层。物理层规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。物理层为上层协议提供了一个传输数据的物理媒体。
  属于物理层定义的典型规范包括:EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。
  2.数据链路层。数据链路层在不可靠的物理介质上提供可靠的传输。数据链路层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。
  数据链路层协议的代表包括:SDLC、HDLC、PPP、STP、帧中继等。
  3.网络层。网络层负责对子网间的数据包进行路由选择。网络层还可以实现拥塞控制、网际互连等功能。
  网络层协议的代表包括:IP、IPX、RIP、OSPF等。
  4.传输层。传输层是第一个端到端,即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外,传输层还要处理端到端的差错控制和流量控制问题。
  传输层协议的代表包括:TCP、UDP、SPX等。
  5.会话层。会话层管理主机之间的会话进程,即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。
  6.表示层。表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。
  7、应用层。应用层为操作系统或网络应用程序提供访问网络服务的接口。
  应用层协议的代表包括:Telnet、FTP、HTTP、SNMP等。
  四、在各层之间,数据是以什么单位进行传输的?
  这个问题比较有意思,数据在各层之间的单位都是不一样的,在物理层数据的单位称为比特(bit);在数据链路层,数据的单位称为帧(frame);在网络层,数据的单位称为数据包(packet);传输层,数据的单位称为数据段(segment)。