1. 为什么需要安全

　　安全的重要性来自于网络和计算机系统的漏洞和人为失误，由于目前操作系统或者是其它网络软件中存在一些缺陷，使得那些别有用心的人可以利用这些缺陷进入你的机器中，即使再小心，你的绝密文件也会暴露在网络上。现在有许多黑客工具，即使计算机新手也可以利用它们很轻松攻入你的计算机系统，是不是很可怕？如果想真正确保自己计算机的安全，需要在网络边界实施安全防范措施。

　　网关防火墙就是完成信息安全保障的首选设备。

　　2. 防火墙能带来什么样的安全--功能介绍

　　所有的 Internet 通信都是通过独立数据包的交换来完成的，而每个数据包都是由源主机向目标主机传输的。

　　防火墙的目的就是使用安全屏障把内网主机和Internet隔开。它检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截这个包还是将其放行。

　　天融信防火墙除了包过滤功能外，还有监视每次连接的状态检测功能、检测恶意代码的内容过滤功能。并且采用专用协议栈的设计模式，其突出的特点是支持更加广泛的应用协议，比如复杂的流媒体协议等。本文重点不是这里，详细功能请参见天融信NGFW技术白皮书等资料。

　　3. 有了路由器，还需要防火墙吗？

　　有很多用户，认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢？

　　3.1 传输畅通vs传输安全--路由器与防火墙技术的目的差异

　　路由器工作在OSI模型中的第三层，即网络层。路由器利用IP地址来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性。路由器不转发广播消息，而把广播消息限制在各自的网络内部。发送到其他网络的数据包先被送到路由器，再由路由器转发出去。

　　从技术上讲，路由器的首要目的是将数据包转发到其他网络，强调“畅通”。而防火墙是专门用于检测每次的连接请求是否合法，它的首要目的是确保网络传输的安全，强调的是“安全”。

　　3.2 保护自身vs保护内网--安全路由器与防火墙的保护对象比较

　　针对网络潜在的各种安全威胁，安全路由器在实现常规路由功能的基础上，在设计时强化了数据传输加密这一关键技术问题，增强了信息保护与数据加密性能，能够有效防止虚假路由信息的接收。

　　在典型的网络应用中，防火墙都是安置在路由器的后面，因而路由器没有受防火墙的保护。

　　路由器的安全功能基本都是防止自身的路由功能受到攻击威胁而陷入瘫痪的。因此，安全路由器实质上是在缺乏防火墙保护的路由器增加了防护自身的功能。

　　而防火墙防护自身的能力只是基础，它的根本目的是充当内网的贴身保镖。

　　3.3 包过滤vs核检测--路由器的“防火墙功能”与天融信防火墙功能比较

　　一些著名的路由器厂商如Cisco公司宣称在路由器中实现了防火墙功能。实际是怎样的呢？路由器中用到了访问列表，包括源IP、源端口、目的IP、目的端口、TCP/UDP协议等域，在此基础上，推出了所谓“防火墙功能”，只是实现了简单的包过滤功能。而包过滤只是防火墙最初级的功能模块。

　　路由器的CPU和内存性能不如防火墙，包过滤的处理速度也不如后者。

　　路由器不能过滤服务的内容，例如应用层的邮件收发协议SMTP和POP3的VRFY等具有潜在威胁的命令、HTTP的../../winnt/system32/cmd.exe之类恶意代码、FTP的文件名等。而当前安全威胁的重点是针对这些应用层协议的攻击，对于这些最具威力的攻击，路由器的“防火墙功能”显得力不从心。

　　天融信防火墙采用了核检测技术，实现连接状态监视、恶意内容防范、流量控制、高容错性等先进功能，极大提高了内网的安全防范能力。

　　3.4 初级防范vs全方位深度防御--路由器与天融信防火墙的抗攻击能力比较

　　路由器的防范功能建立在不可信网络与可信网络有明确划分的前提下，这样才能将不可信网络的IP地址所发的数据包截掉。在Internet上，很难严格区分某个IP一定是不可信网络，另外，IP地址欺骗可以让路由器误以为是可信网络的数据包。

　　除了对于应用层等最常见和最具威胁性的攻击无能为力外，路由器也不能防范探测和扫描。而探测和扫描都是黑客攻击的必备手段，目的是搜集重要的信息。

　　路由器的根本目的是将数据包传入或传出到指定的目的网络。因此，网管为了探测路由器是否正常，需要用ICMP Echo Request进行连接查询，路由器收到ICMP Echo请求后，会返回Echo Reply信息。另外，如果用tracert或traceroute命令探测某一IP地址，很容易得到路由器及里面的IP地址的返回信息。

　　而如果用到防火墙来保护该IP地址，这种探测会被防火墙简单地过滤掉。黑客得不到任何信息。

　　天融信防火墙可以对应用层、SSL、会话层、传输层、网络层、链路层的数据进行策略匹配，确保网络连接的合法性和信息传输的安全保密性。它还可以工作在网络边界、内网不同部门之间，即可以工作在路由模式、透明网桥模式，还可以工作在混合模式。

　　天融信防火墙的抗攻击属于全方位、多层次、纵深防御范畴，能根据具体的连接来判断是否属于攻击，不具体依赖于某个前提。

　　受防火墙保护的内网防范攻击安全度为：

　　防火墙的抗攻击能力；

　　只使用路由器的防范攻击安全度为：

　　内网最弱主机的抗攻击能力；

　　而防火墙的抗攻击能力>>内网最弱主机的抗攻击能力！

　　3.5 命令行vs集中管理器--路由器与防火墙的安全策略复杂度比较

　　路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。

　　天融信防火墙的默认配置既可以防止各种攻击，达到即用即安全，安全策略的制定是基于全中文的的图形化管理界面，其安全策略的制定人性化，配置简单、出错率低。

　　3.6 命令行vs集中审计平台--路由器与天融信防火墙的日志审计功能比较

　　路由器没有足够的存储介质，只能通过采用外部的日志服务器等来完成对日志、事件的存储；路由器本身没有审计分析工具，对日志、事件的描述采用的是命令语言；路由器对攻击等安全事件的相应不完整，对于很多的探测、扫描等行为不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。

　　天融信防火墙的日志存储介质有两种，包括本身的硬盘存储，和单独的日志服务器；针对这两种存储，天融信防火墙都提供了强大的审计分析工具，使管理员可以非常容易分析出各种安全隐患；天融信防火墙对安全事件的响应的及时性，还体现在多种报警方式上，包括蜂鸣、短信、邮件、日志；天融信防火墙还具有实时监控功能，可以在线监控通过防火墙的连接，为分析网络运行情况，排除网络故障提供了方便。

　　4. 病毒防火墙的作用能替代防火墙吗

　　4.1 什么是病毒防火墙，与防火墙的差异在哪里？

　　所谓的“病毒防火墙”，其实和网关防火墙根本不是一个范畴的东西，严格地应称为“病毒实时检测和清除系统”，是反病毒软件的工作模式之。当它们运行的时候，会把病毒特征监控的程序驻留内存中，随时查看系统的运行中是否有病毒的迹象；一旦发现有携带病毒的文件，它们就会马上激活杀毒处理的模块，先禁止带毒文件的运行或打开，再马上查杀带毒的文件。病毒防火墙就是以这样的方式，监控着用户的系统不被病毒所感染。

　　网关防病毒, 是在整个网络的出入口处将来自内外网络的数据中的病毒拦截，防止病毒在网络中传播，它在解决整个网络防毒问题中承担着很重要的角色。衡量防毒对网络性能产生的影响， 除了与病毒扫描引擎的优劣性有关外，和网关防毒服务器的硬件平台及系统处理效率都有很大的关系。

　　网关级病毒防火墙如FortiGate，它在网关上只对应用层的HTTP、SMTP、POP和IMAP协议进行病毒扫描，并通过策略控制流经不同网络方向的病毒扫描或阻断。而在网络传输中，这些协议只在网络流量的很小一部分，容易造成病毒识别的漏报和误报。

　　5. 交换机VLAN的引用能替代防火墙吗

　　5.1 VLAN能解决什么问题？

　　目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一网段的任何网卡所截取。因此，黑客只要接入以太网上的任一节点进行窃听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网窃听作为其最基本的手段。

　　为了克服以太网的广播问题，可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止基于网络窃听的入侵。但对于其它的会话截持、重放、扫描、探测等攻击束手无策。

　　5.2 具有802.1X认证机制的交换机能替代防火墙吗？

　　传统以太网具有连通性和共享性两个特点，交换机或HUB将数据包广播出去，位于同一网内的所有机器都能收到广播包，这样一台内网机器能够窃听另一台机器的数据传输。即使交换机引入VLAN也只是缩小了能够窃听的范围，即只有在同一VLAN的机器才能共享广播包。

　　IEEE802.1X协议是一个符合IEEE802协议集的局域网接入控制协议，其全称是“基于端口的访问控制协议”（Port Based Network Access Control Protocol），能提供一种局域网用户的认证和授权手段，达到接受合法用户接入，保护网络安全的目的。

　　局域网用户要通过交换机访问外网，首先要输入合法的用户名和口令，只有通过认证服务器的身份认证，交换机才转发该用户数据请求。认证服务器通过检验客户端发送来的身份标识（用户名和口令），来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果，向交换机发出打开或保持端口关闭的状态。

　　一旦身份认证完成，内网与外网的数据访问就不再受交换机的监测。因此，交换机的802.1X认证机制只是加强了内网用户合法性检查，并不能防范外网对内网的攻击行为，而防火墙的根本目的是保护整个内网的安全，它监测每一个进出防火墙的数据包，判断是否满足安全策略，是否具有攻击性，从而确保整个内网不受外部攻击的影响。

　　6. 主机的加固能替代防火墙吗？

　　操作系统的安全是保证计算机系统整体安全的基础。AT&T实验室的S.Bellovin博士对美国CERT(Computer Emergency Response Term)提供的安全报告进行分析后认为，多数安全问题都源于操作系统的安全脆弱性。

　　真实的安全环境有两个特征，其一，安全威胁是多种多样的，它们可能威胁信息的机密性、完整性、可用性等，因此要求系统要支持安全策略的多样性，满足多种安全目标。其二，安全环境是变化的，一种是周期性变化；一种是环境的突然变化。主机系统的加固必须能及时响应环境的变化，及时弥补新发现的安全漏洞。

　　如前所述，防火墙保护的是一个内部网络，而主机加固只能保证一定时期内这台机器抵抗已知漏洞的威胁。

　　有了防火墙，要加强内部网络的安全性，可以把安全防范策略应用到防火墙上即可抗击绝大部分的外部攻击。

　　而如果没有防火墙，即使将每台系统都打上最新补丁，实际防范能力也只能保证每个独立主机达到一定安全性，但是它们之间的数据传输安全仍然无法保证。

　　7. 应用系统安全措施能替代防火墙吗？

　　应用系统是在操作系统上运行的程序，由于操作系统都存在着各种各样的安全漏洞，应用系统的安全措施再好，也不能弥补整个系统的安全隐患。

　　设计任何应用系统，如VPN、安全管理中心、认证中心、个人防火墙等，都无法根本加强其“底座”的安全性。因为应用系统所涉及的进程管理、内存使用、文件系统等核心应用是由操作系统实现的。应用系统的安全策略对这些核心操作的缺陷鞭长莫及。

　　例如，有一种针对Windows 2000版本中CPU资源耗尽的DoS攻击，在其上运行的个人防火墙，无论安全规则多么严格，也无法避免此类攻击。

　　8. 结论

　　8.1 路由器与NGFW4000的安全防范比较

　　传输畅通vs传输安全 路由器与防火墙技术的目的差异

　　保护自身vs保护内网 安全路由器与防火墙的保护对象比较

　　包过滤vs核检测

　　路由器的“防火墙功能”与天融信防火墙技术原理比较

　　初级防范vs全方位深度防御 抗攻击能力比较

　　命令行vs集中管理器 安全策略复杂度比较

　　命令行vs集中审计平台 日志审计功能比较

　　8.2 个人防火墙与NGFW4000的对比

　　包过滤vs核检测 技术原理比较

　　保护一台vs保护内网 保护范围比较

　　自主访问控制vs强制访问控制 保护级别比较

　　随机vs带宽/时间控制 扩展功能差异

　　8.3 主机加固与NGFW4000的对比

　　传输安全不保证vs内网无忧 防范能力差异

　　每台都需加固vs安全策略集中在网关防火墙 效率差异

　　8.4 交换机VLAN技术与NGFW4000的对比

　　防止广播包vs 保护内网 产生目的不同

　　减少窃听vs全方面深度防御 防范能力差异

　　9. 参考文献

　　National Security Agency, Router Security Configuration Guide, Sep 17, 2001

　　卿斯汉，刘文清，国家信息安全保障体系建设应当从安全操作系统抓起，2002年中国信息安全产业与技术发展高峰论坛，2002.5

　　天融信NGFW4000防火墙技术白皮书

　　Dreamboy, NetEye防火墙与Cisco路由器的安全性比较，2002.11

　　陈爱锋，Topsec整体安全解决方案，2003.3

　　佚名，路由器原理及路由协议，www.cnsafe.net , 2002.7

　　仲季，路由器最新技术，www.ccidnet.com，2002.7

　　天网安全阵线，网络防火墙和病毒防火墙的差别，sky.net.cn

　　The difference between the firewall and the application level proxy server, www.proxyplus.net