全方位讲解硬件防火墙的选择

面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的，因此管理界面完全是中文化的，使管理工作更加方便，网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。

（4）东软NetEye 4032防火墙

NetEye 4032防火墙是NetEye防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面大大提高。其基于状态包过滤的流过滤体系结构，保证从数据链路层到应用层的完全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的保障网络安全。NetEye防火墙4032对流过滤引擎进行了优化，进一步提高了性能和稳定性，同时丰富了应用级插件、安全防御插件，并且提升了开发相应插件的速度。网络安全本身是一个动态的，其变化非常迅速，每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整，这样才能够动态的保护网络的安全。基于状态包过滤的流过滤体系结构，具有动态保护网络安全的特性，使NetEye防火墙能够有效的抵御各种新的攻击，动态保障网络安全。东软NetEye 4032防火墙比适合中小型企业的网络安全需求。

三、防火墙的基本配置

下面我以国内防火墙第一品牌天融信NGFW 4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。

图5：网络拓扑结构

NGFW4000有3个标准端口，其中一个接外网（Internet网），一个接内网，一个接DMZ区，在DMZ区中有网络服务器。安装防火墙所要达到的效果是：内网区的电脑可以任意访问外网，可以访问DMZ中指定的网络服务器，Internet网和DMZ的电脑不能访问内网；Internet网可以访问DMZ中的服务器。

1、配置管理端口

天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的，管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下，3个口都不是管理端口，所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来，给防火墙指定一个管理端口，以后对防火墙的设置就可以通过远程来实现了。

使用一条串口线把电脑的串口（COM1）与NGFW4000防火墙的console口连接起来，启动电脑的超级终端，端口选择COM1，通信参数设置为每秒位数9600，数据位8，奇偶校验无，停止位1，数据流控制无。进入超级终端的界面，输入防火墙的密码进入命令行格式。

定义管理口：if eth1 XXX.XXX.XXX.XXX 255.255.255.0

修改管理口的GUI登录权限： fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255

　2、使用GUI管理软件配置防火墙

安装天融信防火墙GUI管理软件TOPSEC集中管理器，并建立NGFW4000管理项目，输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。

（1）定义网络区域

Internet（外网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping、GUI、telnet。

Intranet（内网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，允许ping、GUI、telnet。

DMZ区：接在eth2上， 缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，禁止ping、GUI、telnet。

（2）定义网络对象

一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的，也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用，表示地址映射的实际机器，详细描述见通信策略。

图6

子网表示一段连续的IP地址。可以作为策略的源或目的，还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP，为了避免使用三个子网来描述技术部使用的IP地址，可以将这两个被其他部门占用的地址在例外地址中说明。

图7

为了配置访问策略，先定义特殊的节点与子网：

FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

V_SERVER：代表外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。

inside：表示内网上的所有机器，区域=Intranet，起始地址=0.0.0.0，结束地址=255.255.255.255。

outside：表示外网上的所有机器，区域=Internet，起始地址=0.0.0.0，结束地址=255.255.255.255。

（3）配置访问策略

在DMZ区域中增加三条访问策略：

A、访问目的=FTP_SERVER，目的端口=TCP 21。