防火墙技术应用PPT.ppt

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,10,章 防火墙技术应用,河南经贸职业学院信息管理系,2,主要内容,10.1,防火墙简介,1,10.2,防火墙的工作原理,2,10.3,防火墙体系结构,3,10.4,防火墙部署基本方法和步骤,4,10.5,著名的防火墙产品简介,5,3,10.1.1,防火墙的概念,防火墙是指设置在不同网络，如可信任的企业内部网和不可信的公共网(如,Internet),或网络安全域之间的一系列部件的组合，如图所示。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。,4,10.1.2,防火墙的功能及特点,1.,防火墙的功能,防火墙是网络安全的一道屏障，它可以作为内网和外网之间的一个阻塞点或是控制点，极大地提高了一个内部网络的安全，并通过过滤不安全的服务来降低风险。只有经过其许可的应用协议或服务才能通过防火墙，因此网络环境将更安全。其功能主要有以下几种：,(1)所有进出网络的通信数据都必须通过防火墙；,(2)所有想穿过防火墙的通信数据都必须经过安全策略以及计划的确认和授权后才允许通过；,(3)可以很方便地监视网络的安全性，并报警；,(4)可以作为部署,NAT(Network Address Translation，,网络地址转换)的一个地点，利用,NAT,技术，将有限的,IP,地址动态或静态地与内部的,IP,地址对应起来，用于缓解,IP,地址空间不足的问题。,5,10.1.2,防火墙的功能及特点,2.,防火墙的优点,1),防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置，能将所有安全策略,(,如口令、加密、身份认证、审计等,),配置在防火墙上。防火墙执行网络的安全策略，只允许经过许可的、符合规则的请求通过。,2),对网络存取和访问进行监控审计,防火墙可以记录所有经过访问墙的访问并做出日志记录，同时也能提供网络使用情况的统计数据。,3),防止内部信息外泄,通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。,4),防火墙是一个安全策略的检查站,所有进出的信息都必须经过防火墙，它成为安全问题的检查点，拒绝可以的访问。,6,10.1.2,防火墙的功能及特点,3.,防火墙的不足,虽然防火墙具有较多的优点，但是它还是存在着一些不足，主要有以下几个方面：,1)不能防范恶意的知情者,防火墙可以禁止系统用户通过网络连接发送信息，但是用户可以将这些信息通过移动硬盘、,U,盘和刻录光盘等形式带出去。如果入侵者是内部网络的用户，则防火墙也是无能为力的。,2)不能防范不通过防火墙的连接,如果信息不通过防火墙进行传输，则防火墙也不起作用。例如，内部网络中的站点通过其它连接方式(如拨号连接)连接外部网络，则防火墙就没有办法阻止入侵者利用拨号入侵。,3)不能防备全部的威胁,如果是一个很好的防火墙设计方案，则可以防御新的威胁，但是没有一个防火墙能够自动防御所有新的威胁。,4)不能防范病毒,防火墙不能清除网络上主机上的病毒。,7,10.1.3,防火墙的发展历史,1.基于功能划分，可分为如下五个阶段,1)第一代防火墙,20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤(,Packet filter),技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备,。,2)第二、三代防火墙,1989年，贝尔实验室的,Dave Presotto,和,Howard Trickey,最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙(或代理防火墙)；到1992年，,USC,信息科学院的,BobBraden,开发出了基于动态包过滤(,Dynamic packet filter),技术的，后来演变为目前所说的状态监视(,Stateful inspection),技术。,3)第四代防火墙,1994年，市场上出现了第四代防火墙，即以色列的,CheckPoint,公司推出的基于这种技术的商业化产品。,4)第五代防火墙,1998年，,NAI,公司推出了一种自适应代理(,Adaptive proxy),技术，并在其产品,Gauntlet Firewall for NT,中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。,8,10.1.3,防火墙的发展历史,2.,基于实现方式划分，可分为如下四个阶段,1),第一代防火墙,基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。,2),第二代防火墙,用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品,。,3),第三代防火墙,建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。,4),第四代防火墙,具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。,9,10.2.1,包过滤防火墙,包过滤防火墙,(,Packet Filter Firewall),工作在网络层，一般在路由器上实现，用以过滤用户定义的内容。它基于单个数据包来实施网络控制，根据所收到的数据包的源和目的,IP,地址、,TCP,和,UDP,的源及目的端口号，协议类型和数据包中的各种标志位等参数，跟路由器的访问控制列表,(,Access Control List,，,ACL),进行比较，判断数据是否符合预先设定的安全策略，然后决定数据包是否进行转发或者丢弃，即包过滤。,包过滤的防火墙只在网络层检查数据包，与应用层无关，所以传输性能很好，可扩展能力强，但是，正因为包过滤防火墙只在网络层检查数据包，因此其访问控制粒度较粗，对于应用层上的服务内容无法感知，因此较容易被黑客所攻破。,包过滤技术的防火墙主要经历了静态包过滤和动态包过滤两个阶段：,10,10.2.1,包过滤防火墙,1.,静态包过滤,静态包过滤防火墙是根据预先定义好的过滤规则来审查每一个数据包，以便确定其是否与某一个规则相匹配。过滤得规则是基于数据包的头部信息来进行制定。报头信息中包括源,IP,地址、目的,IP,地址、传输协议,(,包括,TCP,、,UDP,和,ICMP,协议等,),、,TCP/UDP,端口号、,ICMP,消息类型等。包过滤防火墙需要遵循的一条基本原则是“最小特权原则”，即明确允许管理员允许通过的数据包，而禁止其它的数据包通过。,11,10.2.1,包过滤防火墙,2.,动态包过滤,动态包过滤防火墙采用动态设置包过滤规则的方法，即状态检测技术。它采用一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层进行检测、抽取部分状态信息进行保存，以便对接下来制定安全策略作为参考。检测模块支持多种协议和应用程序，可以方便地实现应用和服务的扩充。,12,10.2.2,代理服务器防火墙,代理服务器防火墙,(,Proxy Service Firewall),通过主机上运行代理的服务程序，直接对特定的应用层进行服务，所以也称之为应用网关防火墙。它的核心是运行在防火墙主机上的代理服务器进程。对于每一种不同的应用层服务,(,如,WWW,、,FTP,、,Telnet,等,),都有一个对应的代理。外部网络与内部网络之间想要建立链接，则首先通过代理服务器的中间转换，内部网络只接收代理服务器提出的要求，拒绝网络的直接请求。,代理服务可以实现用户认证、日志、审计跟踪和数据加密等功能，并实现对具体协议及应用的过滤。这种防火墙能够完全控制网络信息的交换，控制会话过程，具有灵活性和安全性，但可能会影响网络的性能。,13,10.2.3 电路级网关防火墙,电路级网关防火墙,(,Circuit Gateway Firewall),中，数据包被提交用户应用层处理。电路级网关用来在两个通信的终点之间转换包。它在通过在,TCP,三次握手过程中，检查双方的,SYN,、,ACK,和序列数据是否为合法逻辑，来判断该请求的会话是否合法。如果其认为该会话是合法的，则为双方建立连接，然后，网关进复制、传递数据，而不进行过滤。电路级网关通常需要依靠特殊的应用程序复制传递数据的服务。,14,10.2.4 混合防火墙,混合防火墙,(,Hybrid Firewall),是结合了以上各种防火墙的安全技术而形成的混合的多极防火墙，目的是提高防火墙的灵活性和安全性。,15,10.3.1 双宿主主机防火墙,这种结构是用一台装有两块网卡的堡垒主机做防火墙。两块网卡分别与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。,双宿主主机可以用于把一个内部网络从一个不可信的外部网络分离出来，如图所示，因为双宿主主机不能转发任何,TCP/IP,流量，所以，它可以彻底堵塞任何内部和外部不可信网络之间的,IP,流量。,16,10.3.2 屏蔽主机防火墙,屏蔽主机防火墙主要由屏蔽路由器和堡垒主机防火墙组成，该防火墙系统比双宿主主机防火墙更加安全，它不直接与,Internet,相连，如图所示。,17,10.3.3 屏蔽子网防火墙,屏蔽子网防火墙系统由两个包过滤的屏蔽过滤器和一个堡垒主机防火墙组成，,如图,所示。,18,10.3.4 防火墙体系结构的组成形式,建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：,(1),使用多堡垒主机；,(2),合并内部路由器与外部路由器；,(3),合并堡垒主机与外部路由器；,(4),合并堡垒主机与内部路由器；,(5),使用多台内部路由器；,(6),使用多台外部路由器；,(7),使用多个周边网络；,(8),使用双重宿主主机与屏蔽子网。,19,10.4.1 防火墙的基本配置原则,1.防火墙的默认配置策略,不管是哪种防火墙，在默认情况下一般都可以有以下两种情况配置的：,(1)拒绝所有的流量：在这种配置下，除非对对进、出的流量作显示的允许(,Permit)，,否则将拒绝任何流量通过防火墙。,(2)允许所有的流量：在这种配置下，除非对进、出的流量作显示的拒绝(,Deny)，,否则将允许任何流量通过防火墙。,目前，大多数防火墙都是采用“拒绝所有流量”作为默认配置的。,20,10.4.1 防火墙的基本配置原则,2.,防火墙配置的基本原则,在配置防火墙的过程中，首先要遵循的原则就是安全实用，因此需坚持以下几个基本原则：,1),简单实用,对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便,。,2),全面深入,单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。,3),内外兼顾,防火墙的一个特点是,“,防外不防内,”,，但在现实的网络环境中，,80%,以上的威胁都来自内部，所以我们要树立,“,防内,”,的观念，从根本上改变过去那种防外不防内的传统观念。,21,10.4.2 硬件防火墙的安装配置,1.,RG-WALL,防火墙的初始安装配置,用串口线将管理员的,PC,机的串口,(,如,COM1,端口,),与,RG-WALL,的串口,(,如,Console,端口,),进行连接,(,如图所示,),，然后，接通电源，,RG-WALL,系统开始启动。,22,10.4.2 硬件防火墙的安装配置,1.,RG-WALL,防火墙的初始安装配置,在管理员的,PC,机上通过点击,“,开始,”|“,程序,”|“,附件,”|“,通信,”|“,超级终端,”,，打开超级终端,(,HyperTerminal),程序，在,“,连接描述,”,对话框中输入超级终端的描述信息。,单击,“,确定,”,按钮，进入,“,连接到,”,对话框，如果管理员,PC,机使用,COM1,口进行连接，在此选择,“,COM1”,端口，然后单击,“,确定,”,按钮，进入,“,COM1”,属性设置对话框,23,10.4.2 硬件防火墙的安装配置,在,COM1,属性对话框中，设置参数“9600，8，无，1，无”，单击确定，进入防火墙配置的初始界面，系统成功启动完后(出现,Beep,音)进入登录界面。,输入用户名和密码后可以进入系统。,24,10.4.2 硬件防火墙的安装配置,2.,Cisco PIX,防火墙基本配置,防火墙与路由器一样也有四种用户配置模式，即：普通模式（,Unprivileged mode,）、,特权模式（,Privileged Mode,）、,配置模式（,Configuration Mode,）,和接口模式（,Interface Mode,），,进入这四种用户模式的命令也与路由器一样：,普通用户模式无需特别命令，启动后即进入；进入特权用户模式的命令为,“,enable”,；,进入配置模式的命令为,“,configure terminal”,；,而进入端口模式的命令为,“,interface ethernet 0”,。,25,10.4.2 硬件防火墙的安装配置,1),Cisco PIX,防火墙的初始配置如下,(1)用串口线将管理员的,PC,机的串口(如,COM1,端口)与,Cisco PIX,防火墙的串口(如,Console,端口)进行连接。,(2)接通,PIX,防火墙的电源，让系统加电初始化，然后开启与防火墙连接的主机。,(3)打开超级终端（,HyperTerminal）,程序(步骤与,RG-WALL,配置相同)。,(4)当,PIX,防火墙进入系统后即显示“,PIXFIREWALL”,的提示符，则说明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。,(5)输入,enable,命令，进入特权模式，此时系统提示为：,PIXFIREWALL#。,(6),输入命令：,configure terminal,进入全局配置模式，对系统进行初始化设置。,(7)配置保存：,wr mem。,(8),退出当前模式。,(9)查看当前用户模式下的所有可用命令：,show，,在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。,(10)查看端口状态：,show interface，,这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。,(11)查看静态地址映射：,show static，,这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。,26,10.4.2 硬件防火墙的安装配置,2),Cisco PIX,的一些基本配置,(1),clock,命令配置时钟。如果日志记录时间和日期都不准确，也就无法正确分析记录中的信息。这须在全局配置模式下进行。,(2)指定接口的安全级别。指定接口安全级别的命令为,nameif，,分别为内、外部网络接口指定一个适当的安全级别。在此要注意，防火墙是用来保护内部网络的，外部网络是通过外部接口对内部网络构成威胁的，所以要从根本上保障内部网络的安全，需要对外部网络接口指定较高的安全级别，而内部网络接口的安全级别稍低，这主要是因为内部网络通信频繁、可信度高。,(3)配置以太网接口,IP,地址。,(4)配置访问控制列表。,(5)访问控制列表的应用。,27,10.5.1 国外防火墙产品,1.,NetScreen,防火墙,NetScreen,公司的,NetScreen,防火墙产品是一种新型的网络安全硬件产品，目前其发展状况非常好，可以说是硬件防火墙领域内的新贵。,NetScreen,的产品完全基于硬件,ASIC,芯片，它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、,VPN、,流量控制三种功能于一体的网络产品。,NetScreen 10,适用于10,M,以太网，,NetScreen 100,适用于100,M,以太网，,NetScreen 1000,则可以支持千兆以太网，适应不同场合的需要。最新的,NetScreen-5000,产品系列是定制化、高性能的安全系统，可为大型企业、运营商及数据库中心网络客户提供前所未有的卓越性能。以,NetScreen,的第三代安全,ASIC,技术及分布式系统架构为基础，,NetScreen-5000,产品系列可为网络安全提供胜人一筹的扩展性和灵活性。,28,10.5.1 国外防火墙产品,2.,Check Point Firewall,防火墙,Check Point,公司的,Check Point Firewall-1,软件防火墙，是软件防火墙领域中声誉很好的一款产品，在世界范围内的软件防火墙销售中也名列前茅。在国内主要依靠一些代理商来进行中国市场的拓展。,FireWall-1,主要增强的功能是在安全区域支持,Entrust,技术的数位证明(,Digital Certificate),解决方案；以公用密钥为基础，使用,X.509,的认证机制,IKE。FireWall-1,支持,LDAP,目录管理，可帮助使用者定义包罗广泛的安全政策。,29,10.5.1 国外防火墙产品,3.,NAI Gauntlet,防火墙,NAT,公司是全球著名的网络安全产品提供商，其产品包括网络监测、防火前及防病毒产品。其,Gauntlet,防火墙使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力，很好地解决了安全、性能及灵活性之间的协调问题。它支持,NT,和,Unix,系统。,Gauntlet,防火墙的特色是作为基于应用层网关的,Gauntlet,防火墙，集成了,NT,的性能管理和易用性；应用层安全按照安全策略检查双向的通讯。具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性。可应用于,Internet、,企业内部网和远程访问。,Gauntlet,防火墙支持众多的标准协议如终端服务(,TELNET、rlogin)、,文件传送(,FTP)、,电子邮件(,SMTP、P0P3)、WWW(HTTP、SHTTP、SSL、Gopher)、Usenet,新闻(,NNTP)、,域名服务(,DNS)、,简单网络管理协议(,SNMP)、Oracle SQL*Net、RealAudio/Video、Xing、NetShow、VDOLive、LDAP、PPTP。,30,10.5.1 国外防火墙产品,4.,CyberwallPlus,防火墙,CyberwallPlus,系列防火墙是由网屹(,Network-1),公司开发并进行销售的产品，它也是基于软件的防火墙。,(1),CyberwallPlus,主机防火墙是为保护与互联网或企业网相连的,Windows NT 4.0,和,Windows2000,工作站和服务器而设计的，它以先进的信息包过滤技术为基础，提供周密的网络访问控制、优化主机入侵检测、防止入侵算法和详细的流量审核日志。,(2),CyberwallPlus-AP,保护内部网络防火墙，是为满足不断增长的内部网络安全需要而设计的。,CyberwallPlus-AP,运行在装有两个以太网卡,Windows NT/2000,的系统上，帮助用户的计算机网络抵御恶意的网络访问和入侵。,CyberwallPlus-AP,是一个有两个端口的系统，以透明的网桥模式工作，而不像大多数防火墙是路由模式，能够接受、过滤4500余种,IP,和非,IP,协议。,(3),CyberwallPlus-IP,包过滤防火墙是保护专有网络抵御攻击和入侵的互联网防火墙，位于网络的周边，保护进出公共互联网流量的安全，是一个高经济效益的网络安全解决方案，提供多层次的包过滤检测，阻止未授权的网络访问。,31,10.5.1 国外防火墙产品,5.,Sonicwall,防火墙,Sonicwall,系列防火墙是,Sonic System,公司针对中小企业需求开发的产品，有着很高的性价比，适合中小企业用户采用，它是一款硬件防火墙。,Sonicwall,系列防火墙包括,Sonicwall/10、Sonicwall/50、Sonicwall/Plus、Sonicwall/Bandit,和,Sonicwall/DMZ Plus,等。其主要功能是阻止未授权用户访问防火墙内网络；阻止拒绝服务攻击，并可完成,Internet,内容过滤；实现,IP,地址管理，网络地址转换(,NAT)；,制定网络访问规则，规定对某些网站访问的限制等。,32,10.5.2 国内防火墙产品,1.天融信网络卫士,天融信公司的网络卫士是我国第一套自主版权的防火墙系统，是一种基于硬件的防火墙，目前有,FW-2000,和,NG FW-3000,两种产品。网络卫士防火墙由多个模块组成，包括包过滤、应用代理、,NAT、VPN、,防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同用户的需求。,网络卫士防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(,NAT)、,用户身份鉴别、虚拟专用网、,Web,页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能，可以为不同类型的,Internet,接入网络提供全方位的网络安全服务。该系统在增强传统防火墙安全性的同时，还通过,VPN,架构，为企业网提供一整套从网络层到应用层的安全解决方案，包括访问控制、身份验证、授权控制、数据加密、数据完整性等安全服务,33,10.5.2 国内防火墙产品,2.东大阿尔派网眼防火墙,东大阿尔派网眼防火墙,NetEye,是一种软件防火墙产品，目前最新的版本是,NetEye2.0,版本。它集网络数据的监控和管理于一体，可以随时对网络数据的流动情况进行分析、监控和管理，以便及时制定保护内部网络数据的相应措施。该系统具有可靠性高、不易遭到攻击破坏等特点。,NetEye2.0,系统的管理主机和监控主机建立在一种独立安全的局域网络之内，而且通信数据经过了加密处理，提高了系统的安全性。,NetEye,防火墙可以工作在交换和路由两种模式下，当防火墙工作在交换模式时，内网、,DMZ,区和路由器的内部端口构成一个统一的交换式物理子网，内网和,DMZ,区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置；当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、,DMZ,到外网的网络地址转换，也就是说，内网和,DMZ,都可以使用保留地址，内网用户通过地址转换访问,Internet，,同时隔绝,Internet,对内网的访问，,DMZ,区通过反向地址转换对,Internet,提供服务。用户可以根据自己的网络情况和实际的安全需要来配置,NetEye,防火墙的工作模式。,34,10.5.2 国内防火墙产品,3.,紫光,UnisFirewall,防火墙,清华紫光网联科技的,UF3100/UF3500,防火墙是一种基于硬件的防火墙，兼具防火墙和流量控制等功能，无丢包数据通过率达50,Mbps，,可以支持,T3,线路甚至局域网间的流量要求。,UF3100/UF3500,结构紧凑(设计高度仅1,U)，,可放置在桌面或安装在标准机架上，是为机关或企业网内的宝贵数据提供最安全保护的硬件产品。,该防火墙系统采用汇编语言编写网络层,IP,包处理的操作，充分发挥了,CPU,的能力。,UF3100,防火墙自身具有很高的安全性，完全消除了,Y2K,问题，保护内部网络，并形成一个完整的安全系统。,UF3100,提供了一个附加的功能，即采用,VPN,技术使得远程用户能通过互联网安全访问内部网络。,UF-3100,把整个网络分成外部网、,DMZ,隔离区、内部网三层结构，大大增强了网络的抗攻击性能。硬件外形采用标准的19英寸的结构，便于安装。,35,10.5.2 国内防火墙产品,4.,东方龙马,OLM,防火墙,东方龙马公司在代理国外著名网络安全产品的同时推出了自己的防火墙产品,OLM,防火墙，它是一种硬件防火墙。该防火墙综合运用了强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施。它根据系统管理者设定的安全规则保护内部网络，同时提供强大的访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。,OLM,防火墙提供了“内部网到外部网”、“外部网到内部网”的双向,NAT,功能，同时支持两种方式的网络地址转换。一种为静态地址映射，即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部网络，也可以接受外部网络提供的服务。另一种是更灵活的方式，可以支持多对一的映射，即内部的多台机器可以通过一个外部有效地址访问外部网络。让多个内部,IP,地址共享一个外部,IP,地址，就必须转换端口地址，这样内部不同,IP,地址的数据包就能转换为同一个,IP,地址而端口地址不同，通过这些端口对外部提供服务。这种,NAT,转换可以更有效地利用,IP,地址资源，并且提供更好的安全性。,36,10.5.2 国内防火墙产品,5.讯安,SecuSF,防火墙,讯安,SecuSF,防火墙具有高效的信息分析能力和数据包过滤功能，为用户提供全面的访问控制、网络地址转换、应用代理服务并具有完善的审计记录功能。它采用独特信息代理通道技术，在保护内部网络的同时，实现内部信息对外发布。讯安,SecuSF,防火墙可在30分钟内完成安装、配置，是一种易于安装、便于管理的企业级软件防火墙产品。,37,10.5.2 国内防火墙产品,6.中科网威“长城”防火墙,中科网威“长城”防火墙（,Netpower Firewall）,是一种基于软件的防火墙，它拥有独特的系统体系结构设计，能把高速的运行能力、强有力的安全性能和简单易用、方便操作等特点有机结合在一起，为企业的重要数据和内部网络系统提供了一层可靠的安全保障。,“长城”防火墙能提供内容控制、日志管理、入侵探测、远程管理等多种功能，其采用专用的系统平台，保证了自身体系结构的可靠性，消除了软件类防火墙由于操作系统平台本身引起的安全问题，而且“长城”防火墙无用户数限制，使得大型机构能充分享受到价格的优惠。,Thank You!,