(2)Cisco Secure PIX 515-E Firewall
Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX 515-E防火墙系通过端到端安全服务的有机组合,提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同,Cisco Secure PIX 515-E防火墙采用非UNIX、安全、实时的内置系统。可提供扩展和重新配置IP网络的特性,同时不会引起IP地址短缺问题。NAT既可利用现有IP地址,也可利用Internet指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。Cisco Secure PIX 515-E还可根据需要有选择性地允许地址是否进行转化。CISCO保证NAT将同所有其它的PIX防火墙特性(如多媒体应用支持)共同工作。Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。
(3)天融信网络卫士NGFW4000-S防火墙
北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国创新的核检测防火墙,更加安全更加稳定。网络卫士 NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的,因此管理界面完全是中文化的,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。
(4)东软NetEye 4032防火墙
NetEye 4032防火墙是NetEye防火墙系列中的最新版本,该系统在性能,可靠性,管理性等方面大大提高。其基于状态包过滤的流过滤体系结构,保证从数据链路层到应用层的完全高性能过滤,可以进行应用级插件的及时升级,攻击方式的及时响应,实现动态的保障网络安全。NetEye防火墙4032对流过滤引擎进行了优化,进一步提高了性能和稳定性,同时丰富了应用级插件、安全防御插件,并且提升了开发相应插件的速度。网络安全本身是一个动态的,其变化非常迅速,每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整,这样才能够动态的保护网络的安全。基于状态包过滤的流过滤体系结构,具有动态保护网络安全的特性,使NetEye防火墙能够有效的抵御各种新的攻击,动态保障网络安全。东软NetEye 4032防火墙比适合中小型企业的网络安全需求。
三、防火墙的基本配置
下面我以国内防火墙知名品牌天融信NGFW 4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。
图5:网络拓扑结构
NGFW4000有3个标准端口,其中一个接外网(Internet网),一个接内网,一个接DMZ区,在DMZ区中有网络服务器。安装防火墙所要达到的效果是:内网区的电脑可以任意访问外网,可以访问DMZ中指定的网络服务器, Internet网和DMZ的电脑不能访问内网;Internet网可以访问DMZ中的服务器。
1、配置管理端口
天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的,管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下,3个口都不是管理端口,所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来,给防火墙指定一个管理端口,以后对防火墙的设置就可以通过远程来实现了。
使用一条串口线把电脑的串口(COM1)与NGFW4000防火墙的console 口连接起来,启动电脑的"超级终端",端口选择COM1,通信参数设置为每秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无。进入超级终端的界面,输入防火墙的密码进入命令行格式。
定义管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0
修改管理口的GUI登录权限: fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255