【IT168专稿】伴随着计算机网络技术的突飞发展，各类用户都要面临当前的网络安全问题。而大多数的黑客入侵都是由于使用防火墙不正确而引发的网络故障，并非防火墙本身功能或性能问题造成的。防火墙主要目的是防止黑客入侵。而如今市场上的防火墙形式多样，有的以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。

      防火墙分类

      根据防范的方式和侧重点的不同而分为很多种类型，但总的来说可以分为三种：包过滤、应用级网关和代理服务器。

　　一、数据包过滤型防火墙

　　数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

　　二、应用级网关型防火墙

　　应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

　　三、代理服务型防火墙

　　代理服务也称链路级网关或TCP通道，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

　　防火墙的作用

　　防火墙可以监控进出网络的通信量，从而完成看似不可能的任务，让核准后的信息进行进站或出站，同时又能抵制对企业构成威胁的数据。安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自网络病毒的变种，也有可能来自配置上的低级错误或过于简单的口令设置。由于防火墙的作用是防止不希望的、未授权的数据包进出入被保护的网络，迫使用户强化自己的网络安全策略。常见的防火墙都可以达到以下目的：

　　一、可以限制非法用户进入内部网络，过滤掉不安全服务。
　　二、防止入侵者接近你的防御设施。
　　三、限定用户访问特殊站点。
　　四、为监视Internet安全提供方便。

　　由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，Web网站也是由某种形式的防火墙加以保护，这样对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。

　　防火墙选购

　　面对市场上种类繁多的防火墙产品，大多数企业用户感到无从选择。选购防火墙的时候，一般要从品牌、性能、价格、服务四个方面对产品进行分析。

　　品牌：品质要保证，许多黑客的攻击重点是防火墙，攻击一旦得逞，攻击者就可以在网络中为所欲为。用户在选择防火墙时，一定要选购质量过硬的产品。目前，国外主要防火墙品牌有Cisco、NetScreen等，国内主流厂商则有天融信以及瑞星公司等等。尽管国外品牌在高端技术上占据优势，但国内防火墙经过几年的发展在中低端领域显示出较大的优势，而且价格与服务明显优于国外产品。

　　性能：防火墙的性0能是现在的用户最为看重的部分。找到适合企业自身应用的防火墙，不一定是技术最高超的，是最能满足企业需要的。在选择防火墙产品时，用户可以从以下几个方面综合考虑：

　　首先，产品本身应该安全可靠。为了防止有人冒用，防火墙应该采取密码、电子钥匙等设置，并采用用户认证机制。用户认证机制要求管理员必须通过双因子认证，即钥匙口令加防火墙随机产生的口令，才能登录到防火墙，对配置和访问权限进行修改。同时，管理主机与防火墙之间的通信一般采用加密传输，以防止黑客利用网络嗅探器窃取数据。防火墙的稳定性对保障用户网络安全十分重要，应该具有检查、认证、警告、记录安全信息等功能，抵抗外来侵袭。

　　其次，应该具有良好的扩展性与适应性。当新的危险来临时，防火墙需要采取新的对策，要求防火墙必须具有良好的可扩展性与适应性。性能良好的防火墙，其结构和功能应能适应网络规模和安全策略的变化，提供多种工作方式。在扩展性上，一些厂商如天融信、瑞星等的防火墙产品采用了模块化设计，针对用户的需求进行软硬件定制，效果较好。

　　最后，用户还需要认真考虑防火墙的基本性能，如效率与安全防护能力、网络吞吐量以及与其他信息安全产品的联动等。

　　价格：不同价格的防火墙所提供的安全程度是不同的。对于有条件的企业来说，最好选择整套企业级的防火墙解决方案。目前国外产品集中在高端市场，价格比较昂贵。对于规模较小的企业来说，可以选择国内品牌，一些厂商最新推出的防火墙和入侵检测产品的报价都不超过3万元。

　　服务：由于攻击手段的层出不穷，与防病毒软件一样，防火墙需要不断进行升级完善。因此用户在选择防火墙时，除了考虑性能与价格外，还应考虑厂商提供的售后服务。

　　具体到用户来说，辨别一款防火墙的性能的优劣，主要可以看看权威评测机构或媒体的性能测试结果，这些结果都是以国际标准RFC2544标准来衡量的，主要包括：网络吞吐量、丢包率、延迟、连接数等，其中吞吐量又是重中之重。作为企业安全防护体系的基础设备之一，其是否适合用户的网络规模和应用特点将直接影响到企业网络的整体安全。所以在选择防火墙时，不同类型的用户需要结合自身需求和网络特点来进行。例如：小型用户/分支机构的网络一般少于50节点，通常不设专职网管员，采用T1、DSL、ISDN等方式与外界建立联系，有时需要开通FTP、邮件等网络服务，有时需要利用VPN与合作伙伴进行通信，需要的带宽较低。这些用户要求保护本地系统不被非法访问，防止员工非法向外传递信息，同时保护本地不受外来攻击。由于小型用户信息系统规模较小，遭受攻击造成的损失也较小，所以这些用户不必购买过于复杂和昂贵的防火墙设备。由于缺少专业的IT人员，防火墙的易用性是小型用户主要考虑的因素，以免防火墙的配置、管理过于复杂而影响其发挥安全功能。所以，集成了VPN、防病毒等多种功能、能够接受远程管理、实现与企业级防火墙协同工作、简单易用的小型防火墙是这类用户的理想选择。

　　就防火墙自身来说，它只是一个单独的产品，要想靠一个防火墙来实现网络的安全是不现实的。实现网络的安全，最主要的还是一个安全策略的问题，一个安全的防火墙配置一套不安全的策略也是没有效果的，安全的策略包括网络中的其他安全设备，甚至包括这些安全设备是怎样同防火墙协同工作的等等。所以说，购买了防火墙，不应该简单的理解为购买了一个产品，应该是购买了一套安全的服务，因此厂家的技术实力和专业实力也是不容忽视的问题。