5.5防火墻的體系結(jié)構防火墻可以設置成許多不同的結(jié)構，并提供不同級別的安全，而維護和運行的費用也不同。防火墻有多種分類方式。下面介紹四種常用的體系結(jié)構：篩選路由器、雙網(wǎng)主機式體系結(jié)構～屏蔽主機式體系結(jié)構和屏蔽子網(wǎng)式體系結(jié)構。

在介紹之前，先了解幾個相關的基本概念：堡壘主機：高度暴露于Internet并且是網(wǎng)絡中最容易受到侵害的主機。它是防火墻體系的大無畏者，把敵人的火力吸引到自己身上，從而達到保護其他主機的目的。堡壘主機的設計思想是檢測點原則，把整個網(wǎng)絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其他主機的安全。堡壘主機必須有嚴格的安防系統(tǒng)，因其最容易遭到攻擊。1屏蔽主機：被放置到屏蔽路由器后面網(wǎng)絡上的主機稱為屏蔽主機，該主機能被訪問的程度取決于路由器的屏蔽規(guī)則。屏蔽子網(wǎng)：位于屏蔽路由器后面的子網(wǎng)，子網(wǎng)能被訪問的程度取決于路由器的屏蔽規(guī)則。篩選路由式體系結(jié)構這種體系結(jié)構極為簡單，路由器作為內(nèi)部網(wǎng)和外部網(wǎng)的唯一過濾設備，如下圖所示。2防火墻的體系結(jié)構內(nèi)部網(wǎng)外部網(wǎng)篩選路由器式體系結(jié)構

包過濾篩選路由器3雙網(wǎng)主機式體系結(jié)構這種體系結(jié)構有一主機專門被用作內(nèi)部網(wǎng)和外部網(wǎng)的分界線。該主機里插有兩塊網(wǎng)卡，分別連接到兩個網(wǎng)絡。防火墻里面的系統(tǒng)可以與這臺雙網(wǎng)主機進行通信，防火墻外面的系統(tǒng)(Internet上的系統(tǒng))也可以與這臺雙網(wǎng)主機進行通信，但防火墻兩邊的系統(tǒng)之間不能直接進行通信。另外，使用此結(jié)構，必須關閉雙網(wǎng)主機上的路由分配功能，這樣就不會通過軟件把兩個網(wǎng)絡連接在一起了。圖6雙網(wǎng)主機式體系結(jié)構內(nèi)部網(wǎng)外部網(wǎng)雙網(wǎng)主機4屏蔽主機式體系結(jié)構此類型的防火墻強迫所有的外部主機與一個堡壘主機相連接，而不讓它們直接與內(nèi)部主機相連。下圖中的屏蔽路由器實現(xiàn)了把所有外部到內(nèi)部的連接都路由到了堡壘主機上。堡壘主機位于內(nèi)部網(wǎng)絡，屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng)絡，構成防火墻的第一道防線。（參見下頁圖7）圖7屏蔽主機式體系結(jié)構5防火墻的體系結(jié)構屏蔽主機式體系結(jié)構Internet堡壘主機防火墻屏蔽路由器6屏蔽路由器必須進行適當?shù)呐渲?，使所有外部到?nèi)部的連接都路由到了堡壘主機上，并且實現(xiàn)外部到內(nèi)部的主動連接。此類型防火墻的安全級別較高，因為它實現(xiàn)了網(wǎng)絡層安全(屏蔽路由器——包過濾)和應用層安全(堡壘主機——代理服務)。入侵者在破壞內(nèi)部網(wǎng)絡的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。即使入侵了內(nèi)部網(wǎng)絡，也必須和堡壘主機相競爭，而堡壘主機是安全性很高的機器，主機上沒有任何入侵者可以利用的工具，不能作為黑客進一步入侵的基地。此類型防火墻中屏蔽路由器的配置十分重要，如果路由表遭到破壞，則數(shù)據(jù)包不會路由到堡壘主機上，使堡壘主機被越過。7屏蔽子網(wǎng)(ScreenedSubNet)式體系結(jié)構這種體系結(jié)構本質(zhì)上與屏蔽主機體系結(jié)構一樣，但是增加了一層保護體系——周邊網(wǎng)絡，而堡壘主機位于周邊網(wǎng)絡上，周邊網(wǎng)絡和內(nèi)部網(wǎng)絡被內(nèi)部屏蔽路由器分開。由前可知，當堡壘主機被入侵之后，整個內(nèi)部網(wǎng)絡就處于危險之中，堡壘主機是最易受侵襲的，雖然其很堅固，不易被入侵者控制，但萬一被控制，仍有可能侵襲內(nèi)部網(wǎng)絡。如果采用了屏蔽子網(wǎng)(ScreenedSubNet)式體系結(jié)構，入侵者將不能直接侵襲內(nèi)部網(wǎng)絡，因為內(nèi)部網(wǎng)絡受到了內(nèi)部屏蔽路由器的保護。屏蔽子網(wǎng)式體系結(jié)構如下圖所示。圖8屏蔽子網(wǎng)式體系結(jié)構8防火墻的體系結(jié)構屏蔽子網(wǎng)式體系結(jié)構Internet堡壘主機屏蔽路由器屏蔽路由器周邊網(wǎng)絡9非軍事區(qū)（DMZ)網(wǎng)絡 非軍事區(qū)(DMZ）網(wǎng)絡與防火墻體系結(jié)構非常相似。防火墻可以布置成非軍事區(qū)(DMZ）。組織要提供讓外部訪問的服務器（如Web服務器或FTP服務器）時才需要用到非軍事區(qū)（DMZ）。為此，防火墻至少有三個網(wǎng)絡接口。一個接口連接內(nèi)部專用網(wǎng)，一個連接外部公網(wǎng)（即Internet），一個連接公用服務器（構成非軍事區(qū)（DMZ)網(wǎng)絡），如圖9.19所示。1011 這種模式的主要優(yōu)點是可以限制非軍事區(qū)(DMZ)中任何服務的訪問。例如，如果惟一需要的服務是Web服務器，則可以將進出非軍事區(qū)網(wǎng)絡的通信流限制為HTTP與HTTPS協(xié)議（分別為端口80和443），過濾所有其他通信流。更重要的是，內(nèi)部專用網(wǎng)并不直接連接非軍事區(qū)，因此，即使敵人能攻進非軍事區(qū)，內(nèi)部專用網(wǎng)也是安全的，無法訪問的。125.6防火墻的構筑原則構筑防火墻主要從以下幾個方面考慮：體系結(jié)構的設計；安全策略的制訂；安全策略的實施。131.網(wǎng)絡策略 影響Firewall系統(tǒng)設計、安裝和使用的網(wǎng)絡策略可分為2級，高級的網(wǎng)絡策略定義允許和禁止服務以及如何使用服務，低級的網(wǎng)絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。2.服務訪問策略 服務訪問策略集中在因特網(wǎng)訪問服務以及外部網(wǎng)絡訪問（如撥入策略、SLIP/PPP連接等）。服務訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是允許通過增強認證的用戶在必要的情況下從因特網(wǎng)訪問某些內(nèi)部主機和服務；允許內(nèi)部用戶訪問指定的因特網(wǎng)主機和服務。143.防火墻設計策略 防火墻設計策略基于特定的Firewall,定義完成服務訪問策略的規(guī)則。通常有2種基本的設計策略：允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。第一種的特點是好用但不安全，第二種是安全但不好用，通常采用第二種類型的設計策略。而多數(shù)防火墻都在2種之間采取折衷。4.增強的認證 許多在因特網(wǎng)上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶／口令機制。多年來，用戶被告知使用難于猜測和破譯的口令，雖然如此，攻擊者仍然在因特網(wǎng)上監(jiān)視傳輸?shù)目诹蠲魑模箓鹘y(tǒng)的口令機制形同虛設。增強的認證機制包含智能卡．認證令牌，生理特征（指紋）以及基于軟件（RSA）等技術，來克服傳統(tǒng)口令的弱點。雖然存在多種認證技術，它們均使用增強的認證機制產(chǎn)生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰（如SmartCard和認證令牌）。15防火墻的產(chǎn)品(國外)16防火墻的產(chǎn)品(國內(nèi))175.7防火墻產(chǎn)品Juniper公司的Netscreen防火墻產(chǎn)品Netscreen防火墻可以說是硬件防火墻領域內(nèi)的領導者。2004年2月，Netscreen被網(wǎng)絡設備巨頭Juniper收購，成為Juniper的安全產(chǎn)品部，兩家公司合并后將與Cisco展開激烈的竟爭。Netscreen的產(chǎn)品完全基于硬件ASIC芯片，它就像個盒子一樣安裝使用起來很簡單。產(chǎn)品系列：Netscreen－5000產(chǎn)品系列是定制化、高性能的安全系統(tǒng)，適用于高端用戶。Netscreen-500集防火墻、VPN及流量管理等功能于一體，是一款高性能的產(chǎn)品，支持多個安全域，適用于中高端用戶。其中端產(chǎn)品主要有：Netscreen－204、Netscreen－208。18低端產(chǎn)品有：NetScreen－50、Netscreen－25。Netscreen－GlobalSecurityManagement(集群防火墻集中管理軟件)提供了服務提供商和企業(yè)所需要的用來管理所有Netscreen產(chǎn)品的特性。與防毒領袖廠商TrendMicro合作推出的Netscreen-5GT集成防火墻/VPN/DoS保護功能并提供了內(nèi)置的病毒掃描功能。

主要特色：19a.專用的網(wǎng)絡安全整合式設備：高性能安全產(chǎn)品，集成防火墻、VPN和流量管理功能，性能優(yōu)越。b.產(chǎn)品線完整，能滿足各大小商業(yè)需求：適用于包括寬帶接入的移動用戶，小型、中型或大型企業(yè)，高流量的電子商務網(wǎng)站，以及其他網(wǎng)絡安全的環(huán)境。

c.安裝和管理：通過使用內(nèi)置的WebUI界面、命令行界面和Netscreen中央管理方案，在幾分鐘內(nèi)完成安裝和管理，并且可以快速實施到數(shù)千臺設備上。

d.通用性：所有設備都提供相同核心功能和管理界面，便于管理和操作。20CyberwallPlus系列防火墻CyberwallPlus系列防火墻是由網(wǎng)屹(Network－1)公司開發(fā)，是基于軟件的防火墻。Cyberwallplus家族由四種系列防火墻產(chǎn)品和中心的管理器組成，提供全方位的保護。它們分別是CyberwallPLUS－SV保護服務器防火墻；CyberwallPLUS－WS保護工作站防火墻；CyberwallPLUS-IP邊界防火墻；CyberwallPLUS－AP多協(xié)議防火墻及CyberwallPLUS－CM集中管理產(chǎn)品。21

a.CyberwallPLUS-SV和CyberwallPLUS－WS是為分別保護與互聯(lián)網(wǎng)或企業(yè)網(wǎng)相連的Windows服務器和工作站而設計的，它以先進的信息包過濾技術為基礎，提供周密的網(wǎng)絡訪問控制、優(yōu)化主機入侵檢測、防止入侵算法和詳細的流量審核日志。CyberwallPlus－AP是高速的局域網(wǎng)防火墻，是為滿足不斷增長的內(nèi)部網(wǎng)絡安全需要而設計的。22

b.CyberwallPlus-AP運行在裝有兩個以太網(wǎng)卡WindowsNT/2000的系統(tǒng)上，幫助用戶的計算機網(wǎng)絡抵御惡意的網(wǎng)絡訪問和入侵。CyberwallPlus-AP是一個有兩個端口的系統(tǒng)，以透明的網(wǎng)橋模式工作，而不像大多數(shù)防火墻是路由模式，能夠接受、過濾4500余種IP和非IP協(xié)議。CyberwallPlus－AP設計簡單、有效，應用時不需要破壞現(xiàn)有的網(wǎng)絡地址或重新配置網(wǎng)絡，甚至可以放在同一IP子網(wǎng)的節(jié)點之間。23

c.CyberwallPlus－IP是保護專有網(wǎng)絡抵御攻擊和入侵的互聯(lián)網(wǎng)防火墻，位于網(wǎng)絡的周邊，保護進出公共互聯(lián)網(wǎng)流量的安全，是一個高經(jīng)濟效益的網(wǎng)絡安全解決方案，提供多層次的包過濾檢測，阻止未授權的網(wǎng)絡訪問。CyberwallPlus－IP作為先進的防火墻解決方案系列的一員，為用戶提供強有力的安全保護功能，它具備高度的靈活性、可伸縮性，可以很好地適應用戶對未來安全需求的變化。24CheckPoint防火墻作為CheckPoint軟件技術有限公司網(wǎng)絡安全性產(chǎn)品線中最為重要的產(chǎn)品。CheckPointTMFireWall-1是業(yè)界領先的企業(yè)級安全性套件，它集成了訪問控制、認證、加密、網(wǎng)絡地址翻譯、內(nèi)容安全性和日志審核等特性。a.FireWall-1通過分布式的客戶機/服務器結(jié)構管理安全策略，保證高性能、高伸縮性和集中控制。b.FireWall－l由基本模塊(防火墻模塊、狀態(tài)檢測模塊和管理模塊)和一些可選模塊組成。這些模塊可以通過不同數(shù)量、平臺的組合配置成靈活的客戶機/服務器結(jié)構。25

c.FireWall－1采用CheckPoint公司的狀態(tài)檢測(StatefulInspection)專利技術，以不同的服務區(qū)分應用類型，為網(wǎng)絡提供高安全、高性能和高擴展性保證。

d.Firewall－1狀態(tài)檢測模塊分析所有的包通信層，汲取相關的通信和應用程序的狀態(tài)信息。狀態(tài)檢測模塊能夠理解并學習各種協(xié)議和應用，以支持各種最新的應用。

e.Firewall－1可以在不修改本地服務器或客戶應用程序的情況下，對試圖訪問內(nèi)部服務器的用戶進行身份認證。FireWall-1的認證服務集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。26思科安全PIX防火墻CiscoSecurePIX防火墻基于包過濾和應用代理兩種主流防火墻技術的基礎上，提供空前的安全保護能力，它的保護機制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應安全算法(ASA)。ASA自適應安全算法與包過濾相比，功能更加強勁；另外，ASA與應用層代理防火墻相比，其性能更高，擴展性更強。ASA可以跟蹤源和目的地址、傳輸控制協(xié)議(TCP)序列號、端口號和每個數(shù)據(jù)包的附加TCP標志。只有存在已確定連接關系的正確的連接時，訪問才被允許通過PIX防火墻。這樣，內(nèi)部和外部的授權用戶就可以透明地訪問企業(yè)資源，同時保護內(nèi)部網(wǎng)絡不會受到非授權訪問的侵襲。［關于ASA算法詳情請訪問］27以PIXFirewall515為例，思科防火墻具有以下一些關鍵特性：a.非常高的性能。b.實時嵌入式操作系統(tǒng)。c.位于企業(yè)網(wǎng)絡和internet訪問路由器之間，并包括以太網(wǎng)、快速以太網(wǎng)、令牌環(huán)網(wǎng)或FDDILAN連接選項。d.保護模式基于自適應安全算法(ASA)，可以確保最高的安全性。28e.用于驗證和授權的“直通代理”技術。f.URL過濾。g.HPOpenView集成。h.用于配置和管理的圖形用戶界面。i.通過電子郵件和尋呼機提供報警和告警通知。j.通過專用鏈路加密卡提供VPN支持。k.符合委托技術評估計劃(TTAR)，通過美國安全事務處(NSA)的認證。29天融信公司的網(wǎng)絡衛(wèi)土網(wǎng)絡衛(wèi)士是我國第一套自主知識產(chǎn)權的防火墻系統(tǒng)，是一種基于硬件的防火墻，目前有NGFW－3000、NGFW－4000、NGFW4000－UF、NGFW－ARES幾款產(chǎn)品。網(wǎng)絡衛(wèi)士防火墻由多個模塊組成，包括包過濾、應用代理、NAT、VPN、防攻擊等功能模塊，各模塊可分離、裁剪和升級，以滿足不同用戶的需求。管理器的硬件平臺為能運行Netscape4.0瀏覽器的Intel兼容微機，軟件平臺采用Win9x操作系統(tǒng)。主要特色：采用了領先一步的SSN(安全服務器網(wǎng)絡)技術，安全性高于其他防火墻普遍采用的DMZ(非軍事區(qū))技術。SSN與外部網(wǎng)之間有防火墻保護，與內(nèi)部網(wǎng)之間也有防火墻保護，一旦SSN受到破壞，內(nèi)部網(wǎng)絡仍會處于防火墻的保護之下。30網(wǎng)絡衛(wèi)士防火墻系統(tǒng)集中了包過濾防火墻、應用代理、網(wǎng)絡地址轉(zhuǎn)換(NAT)、用戶身份鑒別、虛擬專用網(wǎng)、Web頁面保護、用戶權限控制、安全審計、攻擊檢測、流量控制與計費等功能，可以為不同類型的Internet接入網(wǎng)絡提供全方位的網(wǎng)絡安全服務。該系統(tǒng)在增強傳統(tǒng)防火墻安全性的同時，還通過VPN架構，為企業(yè)網(wǎng)提供一整套從網(wǎng)絡層到應用層的安全解決方案，包括訪問控制、身份驗證、授權控制、數(shù)據(jù)加密、數(shù)據(jù)完整性等安全服務。31清華紫光網(wǎng)聯(lián)科技的UF3100/UF3500防火墻UF3100/UF3500是一種基于硬件的防火墻，兼具防火墻和流量控制等功能，無丟包數(shù)據(jù)通過率達50Mbps，可以支持T3線路甚至局域網(wǎng)間的流量要求。UF3100/UF3500結(jié)構緊湊(設計高度僅1U)，可放置在桌面或安裝在標準機架上，是為機關或企業(yè)網(wǎng)內(nèi)的數(shù)據(jù)提供最安全保護的硬件產(chǎn)品之一。主要特色：32a.防火墻系統(tǒng)采用匯編語言編寫網(wǎng)絡層IP包處理的操作，充分發(fā)揮了CPU的能力。UF3100防火墻自身具有很高的安全性，完全消除了Y2K問題，保護內(nèi)部網(wǎng)絡，并形成一個完整的安全系統(tǒng)。UF3100提供了一個附加的功能，即采用VPN技術使得遠程用戶能通過互聯(lián)網(wǎng)安全訪問內(nèi)部網(wǎng)絡。UF－3100將整個網(wǎng)絡分成外部網(wǎng)、DMZ隔離區(qū)、內(nèi)部網(wǎng)三層結(jié)構，大大增強了網(wǎng)絡的抗攻擊性能。硬件外形采用標準的19英寸的結(jié)構，便于安裝。b.UF3500防火墻是為ISP等大型機構設計使用的，數(shù)據(jù)通過率為70MbpS，還通過專門的FPGA實現(xiàn)了QOS，保證了視頻、音頻等實時應用程序的運行。UF3500還提供了硬件選項支持未來功能的增加，如保證更高加密強度的加密模塊等。33網(wǎng)眼防火墻NetEyeNetEye是一種軟件防火墻產(chǎn)品，目前最新的版本是NetEye2.0版本。網(wǎng)眼防火墻NetEye2.0集網(wǎng)絡數(shù)據(jù)的監(jiān)控和管理于一體，可以隨時對網(wǎng)絡數(shù)據(jù)的流動情況進行分析、監(jiān)控和管理，以便及時制訂保護內(nèi)部網(wǎng)絡數(shù)據(jù)的相應措施。該系統(tǒng)具有可靠性高、不易遭到攻擊破壞等特點。網(wǎng)眼防火墻NetEye2.0系統(tǒng)的管理主機和監(jiān)控主機建立在一種獨立安全的局域網(wǎng)絡之內(nèi)，而且通信數(shù)據(jù)經(jīng)過了加密處理，提高了系統(tǒng)的安全性。34

主要特色：可以工作在交換和路由兩種模式下，當防火墻工作在交換模式時，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構成一個統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡拓撲結(jié)構和各主機和設備的網(wǎng)絡設置；當防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡地址轉(zhuǎn)換；也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務。用戶可以根據(jù)自己的網(wǎng)絡情況和實際的安全需要來配置NetEye防火墻的工作模式。35東方龍馬防火墻東方龍馬公司在代理國外著名網(wǎng)絡安全產(chǎn)品的同時推出了自己的防火墻產(chǎn)品OLM防火墻，它是一種硬件防火墻。綜合運用了強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施。它根據(jù)系統(tǒng)管理者設定的安全規(guī)則保護內(nèi)部網(wǎng)絡，同時提供強大的訪問控制、網(wǎng)絡地址轉(zhuǎn)換、透明的代理服務、信息過濾、流量控制等功能。提供完善的安全性設置，通過高性能的網(wǎng)絡核心進行訪問控制。主要特色：36

a.OLM防火墻提供了“內(nèi)部網(wǎng)到外部網(wǎng)”、“外部網(wǎng)到內(nèi)部網(wǎng)”的雙向NAT功能，同時支持兩種方式的網(wǎng)絡地址轉(zhuǎn)換。一種為靜態(tài)地址映射，即外部地址和內(nèi)部地址一對一的映射，使內(nèi)部地址的主機既可以訪問外部網(wǎng)絡，也可以接受外部網(wǎng)絡提供的服務。b.另一種是更靈活的方式，可以支持多對一的映射，即內(nèi)部的多臺機器可以通過一個外部有效地址訪問外部網(wǎng)絡。讓多個內(nèi)部IP地址共享一個外部IP地址，就必須轉(zhuǎn)換端口地址，這樣，內(nèi)部不同IP地址的數(shù)據(jù)包就能轉(zhuǎn)換為同一個IP地址而端口地址不同，通過這些端口對外部提供服務。這種NAT轉(zhuǎn)換可以更有效地利用IP地址資源，并且提供更好的安全性。37中科網(wǎng)威“長城”防火墻(NetpowerFirewall)“長城”防火墻是一種基于軟件的防火墻，它擁有獨特的系統(tǒng)體系結(jié)構設計，能把高速的運行能力、強有力的安全性能和簡單易用、方便操作等特點有機地結(jié)合在一起，為企業(yè)的重要數(shù)據(jù)和內(nèi)部網(wǎng)絡系統(tǒng)提供了一層可靠的安全保障?！伴L城”防火墻能提供內(nèi)容控制、日志管理、入侵探測、遠程管理等多種功能，其采用專用的系統(tǒng)平臺，保證了自身體系結(jié)構的可靠性，消除了軟件類防火墻由于操作系統(tǒng)平臺本身引起的安全問題，而且“長城”防火墻無用戶數(shù)限制，使得大型機構能充分享受到價格的優(yōu)惠。主要特色：38a.提供基于時間、基于地址的存取控制模式。b.檢測SYN攻擊、檢測TearDrop攻擊、檢測PingofDeath攻擊、檢測IPSpoofing攻擊、默認數(shù)據(jù)包拒絕、過濾源路由IP、動態(tài)過濾訪問。C.提供telnet、ftp、http等常用協(xié)議的支持。d.提供可視化、可聽化、系統(tǒng)日志等告警方式。e.提供標記、口令等身份認證方式。f.提供圖表式配置管理功能。

防火墻的最新資料，請登錄相關廠商的網(wǎng)站進行查閱。39硬件防火墻的性能指標1.性能是防火墻的關健 防火墻作為一個網(wǎng)絡設備，運行于網(wǎng)絡之中，其性能的好壞直接影響到網(wǎng)絡的整體性能。評價防火墻的性能指標有很多，包括用來評價網(wǎng)絡設備性能的指標，如吞吐量、延遲、丟包率、背對背等指標；還有用來評價防火墻的性能指標，如最大連接數(shù)、連接建立速率等指標。需要說明的一點是：防火墻的性能指標固然重要，但防火墻的性能指標高，一定是要在其高安全性的條件下的，也就是防火墻不能因為性能而失去其安全性，因為如果這樣，就完全可以不用防火墻了。下面對各個指標對防火墻的影響進行說明。402.吞吐量、延遲、丟包率 目前，許多用戶在選購防火墻時，測試性能時都選擇這幾個指標，并用Smartbits,Nettest等測試儀器進行測量。那么這些指標是否能夠真正的反映防火墻的性能呢？這幾個指標是IETF的RFC1242,2544中定義的，用來評價網(wǎng)絡設備的性能指標，在某種程度上可以用來評價防火墻，但決不能單純用這幾個指標用來評價防火墻。防火墻是安全設備，因此應該在防火墻保證高安全性的情況下用這幾個指標來評價防火墻的性能，也就是要在防火墻進行NAT轉(zhuǎn)換、大量規(guī)則、應用層過濾,VPN應用的情況下，測試這幾個指標，這樣才能夠真實反映防火墻的性能。413.最大連接數(shù)、連接建立速率 很多用戶用最大連接數(shù)指標來評價防火墻的性能，認為連接數(shù)量越大，防火墻的性能越好，認為同等價錢的情況下，支持的連接數(shù)量越大，防火墻的性價比就越高。那么連接數(shù)到底代表的是什么呢？由于狀態(tài)檢測的防火墻要建立連接表，來保存當前連接的狀態(tài)信息（包括應用層的狀態(tài)信息），最大連接數(shù)就是指防火墻最多可以保存多少條連接的狀態(tài)信息。連接數(shù)是否越大越好呢，通常情況下是這樣的，為什么說是通常情況下呢？因為有些廠家為了宣傳的目的，把連接數(shù)設置得很大，以此來吸引用戶的購買，42 但這樣的連接數(shù)只是防火墻進行狀態(tài)檢測時的連接數(shù)，并不是防火墻能夠保證高安全性的同時所能達到的連接數(shù)量。即達到這個廠家宣傳的連接數(shù)時，防火墻將不能進行應用層保護、NAT轉(zhuǎn)換、VPN應用等功能，而這個連接數(shù)對用戶是沒有任何實際意義的?，F(xiàn)在，很多測評機構評價防火墻時，也只是單純的測試防火墻的這種情況下的連接數(shù)，其不能真正反映防火墻的性能。最大連接數(shù)的測試，應該是防火墻在該連接數(shù)情況下，仍然可以進行NAT轉(zhuǎn)換、應用層保護、VPN應用等操作。43 連接數(shù)多大是合適的呢？以一個有500個用戶的企業(yè)為例，假設該500個用戶同時上網(wǎng)，每個用戶打開10個瀏覽器窗口，每個窗口建立了5條連接，則一共需要的連接數(shù)是500×10×5=25000條連接，這是在極端情況下，通常情況下，用戶的連接還會有斷掉的，每個窗口不一定都能夠建立5條連接，每個用戶不一定都能夠打開10個瀏覽器窗口，而且還同時有數(shù)據(jù)傳輸。因此，用戶選購防火墻時，不要為最大連接數(shù)很大的表面現(xiàn)象所蒙騙，要弄清楚，連接數(shù)是什么情況下的連接數(shù)，還要考慮自己是否需要那么大的連接數(shù)。44 連接建立速率通常是指防火墻每秒能夠建立多少條連接。如果防火墻的連接建立速率比較小，則當并發(fā)訪問多的時候，就會有連接建立不成功的情況，通常表現(xiàn)給終端用戶的就是不能成功瀏覽網(wǎng)頁，或應用不能使用，重新連接才可能成功。對于上面的例子，如果500個用戶同時上網(wǎng)，每個瀏覽器打開5條連接，這需要防火墻的連接建立速率為2500才能滿足。通常，防火墻的連接建立速率應該在2000條/s，以上才能夠滿足要求，否則就可能嚴重影響用戶的使用。45 綜上所述，性能指標是防火墻的一個關鍵指標。防火墻在進行NAT轉(zhuǎn)換、大量規(guī)則、VPN應用、應用層保護等高安全性的情況下的吞吐量、延遲、丟包率、背靠背等指標，才是用來評價防火墻性能的指標。最大連接數(shù)，一定要分清是否是防火墻進行高安全性時最大連接數(shù)量。連接建立速率直接影響到并發(fā)訪問時的性能，因此該值不能夠太小，否則會影響用戶應用的響應時間。以上關于性能的說明，用戶在選購防火墻時一定要注意。46CiscoPIX防火墻配置命令 PIX是Cisco的硬件防火墻，硬件防火墻有工作速度快，使用方便等特點。下面將介紹PIX防火墻的配置規(guī)則,模式,以及命令使用。 PIX有很多型號，并發(fā)連接數(shù)是PIX防火墻的重要參數(shù)。PIX25是典型的設備。PIX防火墻常見接口有：console、Failover、Ethernet、USB。

47網(wǎng)絡區(qū)域：

內(nèi)部網(wǎng)絡：inside

外部網(wǎng)絡：outside

中間區(qū)域：稱DMZ(?；饏^(qū))。放置對外開放的服務器。48防火墻的配置規(guī)則 沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無法穿過防火墻。 內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務器允許外部發(fā)起連接

inside可以訪問任何outside和dmz區(qū)域。

dmz可以訪問outside區(qū)域。

inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

outside訪問dmz需要配合acl(訪問控制列表)。

49PIX防火墻的配置模式PIX防火墻的配置模式與路由器類似，有4種管理模式：

PIXfirewall>：用戶模式

PIXfirewall#：特權模式

PIXfirewall(config)#：配置模式

monitor>：ROM監(jiān)視模式，開機按住[Esc]鍵或發(fā)送一個“Break”字符，進入監(jiān)視模式。

50PIX基本配置命令 常用命令有：nameif、interface、ipaddress、nat、global、route、static等。 nameif：設置接口名稱，并指定安全級別，安全級別取值范圍為1～100，數(shù)字越大安全級別越高。

例如要求設置：

ethernet0命名為外部接口outside，安全級別是0。

ethernet1命名為內(nèi)部接口inside，安全級別是100。

ethernet2命名為中間接口dmz,安裝級別為50。

51使用命令：

PIX525(config)#nameifethernet0outsidesecurity0

PIX525(config)#nameifethernet1insidesecurity100

PIX525(config)#nameifethernet2dmzsecurity5052 Interface：配置以太口工作狀態(tài)，常見狀態(tài)有：auto、100full、shutdown。

auto：設置網(wǎng)卡工作在自適應狀態(tài)。

100full：設置網(wǎng)卡工作在100Mbit/s，全雙工狀態(tài)。

shutdown：設置網(wǎng)卡接口關閉，否則為激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#interfaceethernet1100fullshutdown53 ipaddress：配置網(wǎng)絡接口的IP地址，例如：

PIX525(config)#ipaddressoutside52

PIX525(config)#ipaddressinside

內(nèi)網(wǎng)inside接口使用私有地址，外網(wǎng)outside接口使用公網(wǎng)地址。

54 global：指定公網(wǎng)地址范圍：定義地址池。

global命令的配置語法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外網(wǎng)接口名稱，一般為outside。

nat_id：建立的地址池標識(nat要引用)。

ip_address-ip_address：表示一段ip地址范圍。

[netmarkglobal_mask]：表示全局ip地址的網(wǎng)絡掩碼。

55例如：

PIX525(config)#global(outside)1-5

地址池1對應的IP是：-5

PIX525(config)#global(outside)1

地址池1只有一個IP地址。

PIX525(config)#noglobal(outside)1

表示刪除這個全局表項。

56 nat：地址轉(zhuǎn)換命令，將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)公網(wǎng)ip。

nat命令配置語法：nat(if_name)nat_idlocal_ip[netmark]

其中：

(if_name)：表示接口名稱，一般為inside.

nat_id：表示地址池，由global命令定義。

local_ip：表示內(nèi)網(wǎng)的ip地址。對于表示內(nèi)網(wǎng)所有主機。

[netmark]：表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。

在實際配置中nat命令總是與global命令配合使用。

一個指定外部網(wǎng)絡，一個指定內(nèi)部網(wǎng)絡，通過net_id聯(lián)系在一起。

57例如：

PIX525(config)#nat(inside)100

表示內(nèi)網(wǎng)的所有主機(00)都可以訪問由global指定的外網(wǎng)。

PIX525(config)#nat(inside)1

表示只有/16網(wǎng)段的主機可以訪問global指定的外網(wǎng)。

58 route命令定義靜態(tài)路由。

語法：

route(if_name)00gateway_ip[metric]

其中：

(if_name)：表示接口名稱。

00：表示所有主機

Gateway_ip：表示網(wǎng)關路由器的ip地址或下一跳。

[metric]：路由花費。缺省值是1。

59例如：

PIX525(config)#routeoutside001

設置缺省路由從outside口送出，下一跳是。

00代表，表示任意網(wǎng)絡。

PIX525(config)#routeinside1

設置到網(wǎng)絡下一跳是。最后的“1”是花費。60

Static：配置靜態(tài)IP地址翻譯，使內(nèi)部地址與外部地址一一對應。

語法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address

其中：

internal_if_name表示內(nèi)部網(wǎng)絡接口，安全級別較高，如inside。

external_if_name表示外部網(wǎng)絡接口，安全級別較低，如outside。

outside_ip_address表示外部網(wǎng)絡的公有ip地址。

inside_ip_address表示內(nèi)部網(wǎng)絡的本地ip地址。

(括號內(nèi)序順是先內(nèi)后外，外邊的順序是先外后內(nèi))

61例如：

PIX525(config)#static(inside，outside)

表示內(nèi)部ip地址，訪問外部時被翻譯成全局地址。

PIX525(config)#static(dmz，outside)

中間區(qū)域ip地址，訪問外部時被翻譯成全局地址。

62

管道conduit命令用來設置允許數(shù)據(jù)從低安全級別的接口流向具有較高安全級別的接口。

例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。

語法：

conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

其中：

global_ip是一臺主機時前面加host參數(shù)，所有主機時用any表示。

foreign_ip表示外部ip。

[netmask]表示可以是一臺主機或一個網(wǎng)絡。

63例如：

PIX525(config)#static(inside，outside)

PIX525(config)#conduitpermittcphosteqwwwany

這個例子說明static和conduit的關系。是內(nèi)網(wǎng)一臺web服務器，現(xiàn)在希望外網(wǎng)的用戶能夠通過PIX防火墻訪問web服務。

所以先做static靜態(tài)映射：－>

然后利用conduit命令允許任何外部主機對全局地址進行http訪問。

64訪問控制列表ACL

訪問控制列表的命令與couduit命令類似，

例：

PIX525(config)#access-list100permitipanyhosteqwww

PIX525(config)#access-list100denyipanyany

PIX525(config)#access-group100ininterfaceoutside65偵聽命令fixup

作用是啟用或禁止一個服務或協(xié)議，

通過指定端口設置PIX防火墻要偵聽listen服務的端口。

例：

PIX525(config)#fixupprotocolftp21

啟用ftp協(xié)議，并指定ftp的端口號為21

PIX525(config)#fixupprotocolhttp8080

PIX525(config)#nofixupprotocolhttp80

啟用http協(xié)議8080端口，禁止80端口。

66telnet

當從外部接口要telnet到PIX防火墻時，telnet數(shù)據(jù)流需要用vpn隧道ipsec提供保護或在PIX上配置SSH，然后用SSHclient從外部到PIX防火墻。

例：

telnetlocal_ip[netmask]

local_ip表示被授權可以通過telnet訪問到PIX的ip地址。

如果不設此項，PIX的配置方式只能用console口接超級終端進行67顯示命令：

showinterface；查看端口狀態(tài)。

showstatic；查看靜態(tài)地址映射。

showip；查看接口ip地址。

showconfig；查看配置信息。

showrun；顯示當前配置信息。

writeterminal；將當前配置信息寫到終端。

showcpuusage；顯示CPU利用率，排查故障時常用。

showtraffic；查看流量。

showblocks；顯示攔截的數(shù)據(jù)包。

showmem；顯示內(nèi)存

68DHCP(動態(tài)主機配置協(xié)議)服務

PIX具有DHCP服務功能。

例：

PIX525(config)#ipaddressdhcp

PIX525(config)#dhcpdaddress00-00inside

PIX525(config)#dhcpdns87

PIX525(config)#dhcpdomain

69PIX防火墻舉例

設：

ethernet0命名為外部接口outside，安全級別是0。

ethernet1被命名為內(nèi)部接口inside，安全級別100。

ethernet2被命名為中間接口dmz，安全級別50。

70PIX525#conft

PIX525(config)#nameifethernet0outsidesecurity0

PIX525(config)#nameifethernet1insidesecurity100

PIX525(config)#nameifethernet2dmzsecurity50

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#interfaceethernet2100full

71 PIX525(config)#ipaddressoutside52;設置接口IP

PIX525(config)#ipaddressinside00;設置接口IP

PIX525(config)#ipaddressdmz00;設置接口IP

PIX525(config)#global(outside)1-4;定義的地址池

PIX525(config)#nat(inside)100;00表示所有

PIX525(config)#routeoutside00;設置默認路由

72 PIX525(config)#static(dmz，outside)01;靜態(tài)NAT

PIX525(config)#static(dmz，outside)02;靜態(tài)NAT

PIX525(config)#static(inside，dmz)0000;靜態(tài)NAT

PIX525(config)#access-list101permitipanyhosteqwww;設置ACL

PIX525(config)#access-list101permitipanyhosteqftp;設置ACL

PIX525(config)#access-list101denyipanyany;設置ACL

PIX525(config)#access-group101ininterfaceoutside;將ACL應用在outside端口

73 當內(nèi)部主機訪問外部主機時，通過nat轉(zhuǎn)換成公網(wǎng)IP，訪問internet。當內(nèi)部主機訪問中間區(qū)域dmz時，將自己映射成自己訪問服務器，否則內(nèi)部主機將會映射成地址池的IP，到外部去找。

當外部主機訪問中間區(qū)域dmz時，對映射成01，static是雙向的。

PIX的所有端口默認是關閉的，進入PIX要經(jīng)過acl入口過濾。

靜態(tài)路由指示內(nèi)部的主機和dmz的數(shù)據(jù)包從outside口出去。74第一節(jié)活塞式空壓機的工作原理第二節(jié)活塞式空壓機的結(jié)構和自動控制第三節(jié)活塞式空壓機的管理復習思考題單擊此處輸入你的副標題，文字是您思想的提煉，為了最終演示發(fā)布的良好效果，請盡量言簡意賅的闡述觀點。第六章活塞式空氣壓縮機

piston-aircompressor壓縮空氣在船舶上的應用：

1.主機的啟動、換向；

2.輔機的啟動；

3.為氣動裝置提供氣源；

4.為氣動工具提供氣源；

5.吹洗零部件和濾器。

排氣量:單位時間內(nèi)所排送的相當?shù)谝患壩鼩鉅顟B(tài)的空氣體積。單位：m3/s、m3/min、m3/h第六章活塞式空氣壓縮機

piston-aircompressor空壓機分類：按排氣壓力分：低壓0.2～1.0MPa；中壓1～10MPa；高壓10～100MPa。按排氣量分：微型<1m3/min；小型1～10m3/min；中型10～100m3/min；大型>100m3/min。第六章活塞式空氣壓縮機

piston-aircompressor第一節(jié)活塞式空壓機的工作原理容積式壓縮機按結(jié)構分為兩大類：往復式與旋轉(zhuǎn)式兩級活塞式壓縮機單級活塞壓縮機活塞式壓縮機膜片式壓縮機旋轉(zhuǎn)葉片式壓縮機最長的使用壽命-

----低轉(zhuǎn)速（1460RPM），動件少（軸承與滑片），潤滑油在機件間形成保護膜，防止磨損及泄漏，使空壓機能夠安靜有效運作；平時有按規(guī)定做例行保養(yǎng)的JAGUAR滑片式空壓機，至今使用十萬小時以上，依然完好如初，按十萬小時相當于每日以十小時運作計算，可長達33年之久。因此，將滑片式空壓機比喻為一部終身機器實不為過。滑(葉)片式空壓機可以365天連續(xù)運轉(zhuǎn)并保證60000小時以上安全運轉(zhuǎn)的空氣壓縮機1.進氣2.開始壓縮3.壓縮中4.排氣1.轉(zhuǎn)子及機殼間成為壓縮空間，當轉(zhuǎn)子開始轉(zhuǎn)動時，空氣由機體進氣端進入。2.轉(zhuǎn)子轉(zhuǎn)動使被吸入的空氣轉(zhuǎn)至機殼與轉(zhuǎn)子間氣密范圍，同時停止進氣。3.轉(zhuǎn)子不斷轉(zhuǎn)動，氣密范圍變小，空氣被壓縮。4.被壓縮的空氣壓力升高達到額定的壓力后由排氣端排出進入油氣分離器內(nèi)。4.被壓縮的空氣壓力升高達到額定的壓力后由排氣端排出進入油氣分離器內(nèi)。1.進氣2.開始壓縮3.壓縮中4.排氣1.凸凹轉(zhuǎn)子及機殼間成為壓縮空間，當轉(zhuǎn)子開始轉(zhuǎn)動時，空氣由機體進氣端進入。2.轉(zhuǎn)子轉(zhuǎn)動使被吸入的空氣轉(zhuǎn)至機殼與轉(zhuǎn)子間氣密范圍，同時停止進氣。3.轉(zhuǎn)子不斷轉(zhuǎn)動，氣密范圍變小，空氣被壓縮。螺桿式氣體壓縮機是世界上最先進、緊湊型、堅實、運行平穩(wěn)，噪音低，是值得信賴的氣體壓縮機。螺桿式壓縮機氣路系統(tǒng)：

A

進氣過濾器

B

空氣進氣閥

C

壓縮機主機

D

單向閥

E

空氣/油分離器

F

最小壓力閥

G

后冷卻器

H

帶自動疏水器的水分離器油路系統(tǒng)：

J

油箱

K

恒溫旁通閥

L

油冷卻器

M

油過濾器

N

回油閥

O

斷油閥冷凍系統(tǒng)：

P

冷凍壓縮機

Q

冷凝器

R

熱交換器

S

旁通系統(tǒng)

T

空氣出口過濾器螺桿式壓縮機渦旋式壓縮機

渦旋式壓縮機是20世紀90年代末期開發(fā)并問世的高科技壓縮機，由于結(jié)構簡單、零件少、效率高、可靠性好，尤其是其低噪聲、長壽命等諸方面大大優(yōu)于其它型式的壓縮機，已經(jīng)得到壓縮機行業(yè)的關注和公認。被譽為“環(huán)保型壓縮機”。由于渦旋式壓縮機的獨特設計，使其成為當今世界最節(jié)能壓縮機。渦旋式壓縮機主要運動件渦卷付，只有磨合沒有磨損，因而壽命更長，被譽為免維修壓縮機。

由于渦旋式壓縮機運行平穩(wěn)、振動小、工作環(huán)境安靜，又被譽為“超靜壓縮機”。

渦旋式壓縮機零部件少，只有四個運動部件,壓縮機工作腔由相運動渦卷付形成多個相互封閉的鐮形工作腔，當動渦卷作平動運動時，使鐮形工作腔由大變小而達到壓縮和排出壓縮空氣的目的。活塞式空氣壓縮機的外形第一節(jié)活塞式空壓機的工作原理一、理論工作循環(huán)（單級壓縮）工作循環(huán)：4—1—2—34—1吸氣過程

1—2壓縮過程

2—3排氣過程第一節(jié)活塞式空壓機的工作原理一、理論工作循環(huán)（單級壓縮）

壓縮分類：絕熱壓縮：1—2耗功最大等溫壓縮：1—2''耗功最小多變壓縮：1—2'耗功居中功＝P×V（PV圖上的面積）加強對氣缸的冷卻，省功、對氣缸潤滑有益。二、實際工作循環(huán)（單級壓縮）1.不存在假設條件2.與理論循環(huán)不同的原因：1）余隙容積Vc的影響Vc不利的影響—殘存的氣體在活塞回行時，發(fā)生膨脹，使實際吸氣行程（容積）減小。Vc有利的好處—

（1）形成氣墊，利于活塞回行；（2）避免“液擊”（空氣結(jié)露）；（3）避免活塞、連桿熱膨脹，松動發(fā)生相撞。第一節(jié)活塞式空壓機的工作原理