3Com公司的防火墙全面解决方案 [技术解决方案] www.IT.com.cn IT世界轻松一点

　　早期的网络建设注重网络设备的连通性，链路的可靠性，设备的可靠性，从而达到信息的实时共享。而在信息爆炸时代的今天，人们对计算机软硬件，网络的软硬件的理解越来越深入，违法人员很可能借助于计算机网络进行非法活动；Infonetics Research公司在"企业网络用户今天关心什么"的调查结果中表明，企业网络安全排在第一位，已经超过对网络可靠性，第三层交换，服务质量等功能的需求；因此企业网络在网络建设的同时，还应该注重网络安全。

　　网络安全实际上是一个体系结构，包括信息的驻留点以及沿途经过的各个中间环节，从物理层到应用层都要小心对待。Internet的普及以及今天企业业务对Internet的依赖都促使企业领导层增强实施安全的措施。

　　作为一个知名的传统网络厂商，美国3Com公司多年来在提供企业整体解决方案的同时，还深入了解用户的需求，为企业网络安全提供全面解决方案，包括提供物理端口隔离功能的以太网安全交换机，提供端口与物理地址（MAC）捆绑的工作组交换机，提供包过滤功能的三层交换机，提供基于QoS策略控制的多款交换机，支持802.1x 技术的无线局域网络产品。3Com公司计划在今年春季升级它们公司的工作组交换机，支持802.1x网络注册标准，为企业内部网络提供全面安全控制。除此之外，3Com公司还提供了一系列防火墙产品，为企业网络提供安全之门。

　　防火墙技术

　　不管选用哪种类型的防火墙，必须确保它是安全的并且经过第三方可信部门的认证，比如国际计算机安全委员会-ICSA。ICSA将防火墙分成三大类：包过滤防火墙，应用级代理服务器以及状态包检测防火墙。

　　包过滤防火墙

　　顾名思义，包过滤防火墙检查接收到的每个数据包，以确定是否与设定的包过滤规则相匹配，从而做出允许和拒绝的判定。过滤规则基于网络层IP包的包头信息。包过滤防火墙工作在网络层，如下图所示：

　　IP包的包头中包含源/目标IP地址，封装协议类型（TCP,UDP,ICMP或IP Tunnel），TCP/UDP端口号，ICMP消息类型，TCP包头中的ACK位等等。如果检查结果与某条规则匹配，并且规则定义允许转发，则数据包按正常情况处理；如果与规则匹配并且规则定义拒绝，防火墙将丢弃数据包并做纪录；如果没有匹配规则，则按缺省情况处理。

　　包过滤防火墙只处理到网络层，速度较快，所以一般在传统的路由器上就可以实现，对于应用以及用户都是透明的；但安全程度较低，很容易被网络高手攻破。比如黑客可以采用源IP欺骗-source IP spoofing技巧，将自己伪装成来自于一台可信主机，甚至于是来自于企业内部网络。

　　实际上包过滤防火墙只能拒绝外部主机伪装成内部主机IP，而无法拒绝那些伪装成其它可信任外部主机IP的外部主机。

　　包过滤防火墙的维护比较困难，定义数据包过滤器也比较复杂，任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时包过滤防火墙一般无法提供完善的日志。

　　应用级代理服务器

　　应用级代理技术检查每一个IP包中的应用，从而判断其可信性。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层，在应用层实现防火墙功能。每一种应用都需要安装和配置不同的应用代理程序，比如访问WEB站点的HTTP，用于文件传输的FTP，用于E-MAIL的SMTP/POP3等等。

　　代理防火墙从一个接口接受数据，按照预先定义的规则检查可信性，如果可信，就将数据传给另一个接口。代理技术不允许内网和外网直接对话，真正使得内部系统和外部系统完全独立。

　　代理防火墙具有更严格的安全策略，能够让网络管理员对网络服务进行全面的控制。如果某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发。　　好的代理防火墙应该是完全透明的，由于它一直处理的应用层，因此可以提供可靠的用户认证以及详尽的审计纪录。

　　代理防火墙支持的应用有限，无法为RPC，talk和其它一些基于通用协议组的服务提供代理。同时升级一种应用时，相应的代理程序也必须同时升级。代理防火墙一般基于UNIX或 Windows NT操作系统，因此性能较低。

　　状态包检测防火墙

　　状态包检测防火墙是最新一代的防火墙技术，一般称第三代防火墙。这类防火墙检查IP包的所有部分来判定是允许还是拒绝请求，是目前最先进的网络层防火墙。状态包检测技术检查所有的OSI层，如下图所示，因此它提供的安全程度远高于包过滤防火墙。

　　状态检测技术来源于标准的包过滤技术，但增加了详尽的安全检查；它截获来自一个接口的数据包，从中找出足够的信息，比如TCP顺序号，从而确定连接的状态。如果截获的数据包匹配定义的规则，防火墙就将该数据包转发到目标端口。

　　状态检测防火墙跟踪所有来自内部网络的请求信息，并自动构建动态状态表（也可以说是动态连接表-针对TCP 或虚拟连接表-针对UDP/ICMP等），然后检测所有来自于外部网络的数据包；如果该数据包是响应内部网络的请求，就允许通过；如果不是，就拒绝。

　　状态检测防火墙越来越流行，因为它们比包过滤防火墙更安全，比代理防火墙更快，性能更高，并且容易配置和维护。

　　3Com公司防火墙产品

　　目前3Com公司的防火墙产品包括三款：

　　· SuperStack 3防火墙，

　　· OfficeConnect DMZ防火墙

　　· OfficeConnect 25防火墙。

　　它们的区别主要在于支持用户数量的多少，OfficeConnect 25防火墙包括2个10Mbps端口，支持25个并发用户；OfficeConnect DMZ防火墙包括3个10Mbps端口，其中一个端口是DMZ口，支持100个并发用户；SuperStack 3防火墙支持3个10/100Mbps端口，其中一个是DMZ端口，支持无限用户。

　　3Com公司的防火墙采用实时操作系统，并经过修剪，专门用于网络安全功能，彻底避免了传统软件防火墙由于依赖UNIX和Windows NT操作系统而带来的潜在漏洞。同时，采用高性能安全防火墙引擎，提供状态包检测保护，属于专用硬件防火墙，能够为大中小企业提供高性能价格比的解决方案。

　　3Com公司防火墙根据内部网络用户的访问请求在防火墙内部动态建立一个实时更新的状态列表，每个会话在列表中都有相应的连接状态与之相对应，所以当属于同一个连接的响应数据包从外网进来时，将经过连接状态表进行检查，确定该数据包是否属于同一个会话，如果是就允许进入内网。在会话结束时，该会话连接状态将及时从状态列表中删除，从而保证内部网络的安全。