1.为什么要用防火墙

在前文已经讨论了Internet防火墙的优点与缺点，但是作为Internet的本身存在的缺陷容易被人利用，对网络安全带来很大的威胁，所以就在网络安全中采用防火墙技术是非常有用的，这是因为：

□Internet是普遍依赖于TCP/IP协议的，这是一种在一种机型间的通信协议，它本身就很安全。

□Internet所提供的各种服务，如电子邮件、文件传输、远程登录、万维网等都存在着安全隐患。

□Internet上使用了薄弱的认证环节，薄弱的、静态的口令；一些TCP或UDP服务只能对主机地址进行认证，而不能对指定的用户进行认证。

□在Internet±存在着IP地址欺骗（伪装）。

□有缺陷的局域网服务（NIS和NFS）和主机之间存在着有缺陷的相互信任关系。特别是近几年掀起的电子商务、电子政务热潮，使用防火墙就显得相当重要了。

2.防火墙的产品分类

目前，防火墙产品大致分为软件防火墙、硬件防火墙和工业标准服务器形式的防火墙三类。

1软件防火墙

     软件防火墙一般运行在操作系统以上，以CheckpointFirewall/NAIGauntlet产品为例分别介绍。

1）Checkpoint Fire wall的主要特点如下：

FireWall-1主要的功能是在安全区域支持Entrust技术的数位证明（digitalcertificate）解决方案；以公用密钥为基础，使用X.509的认证机制IKE。FireWall-1支持LDAP目录管理，可帮助使用者定义包罗广泛的安全政策。

FireWall-1提供顾客包含远端的使用者使用多种安全的认证机制，以存取企业资源。在通信被允许进行之前，FireWall-1认证服务可安全地确认他们身份的有效性，而不需要修改本地客户端应用软件，认证服务是完全地被集成到企业整体的安全政策内，并能由FireWall-1图形使用者界面集中管理。所有的认证能经由防火墙日志浏览（logviewer）来监视和追踪。FireWall-1提供三种认证方法：使用者认证，提供以使用者为基础的FTP、TELNET,HTTP和RLOGIN的存取权限，跟使用者的IP位址无关；客户端认证能够使管理者授予存取的特权给予在特定IP位址的特定使用者；会话认证可以认证基于会话的任何一种服务。目前该产品支持的平台有WindowsNT.Window9x/2000.sunSolarisIBMAIX.HP-UX等。

2）NAI Gauntlet的主要特点如下：

      作为最高类型一基于应用层网关的Gauntlet防火墙，集成了NT的性能管理和易用性;应用层安全按照安全策略检查双向的通信。具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性。可应用于Internet.企业内部网和远程访问。Gauntlet防火墙具有友好和管理界面，其基于Java或NT环境，可以运行在Web浏览器中，支持远程管理和配置,如可从网络管理平台上监控和配置，如NTServer和HPOpenViewGauntlet还支持通过服务器、企业内部网、Internet来存取和管理SNMP设备。Gauntlet防火墙支持流行的多媒体实时服务，如RealAudio/Video、Microsoft。

      Gauntlet支持众多的标准协议如终端服务（TELNET、rlogin）、文件传送（FTP）、电子邮件（SMTP、POP3）、WWW（HTTP、SHTTP、SSL、Gopher）、Usenet新闻（NNTP）、域名服务（DNS）、简单网络管理协议（SNMP）、OracleSQL*NetShow、VDOLive,LDAP、PPTP。

2、硬件防火墙

硬件防火墙带有特殊的硬件，通常软件较少活动。

NetScreen公司的NetScreen防火墙产品是一种硬件防火墙NetScreen产品完全基于硬件ASLC芯片，它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、VPN、流量控制三种能于一体的网络产品。应用场合如下：

1)NetScreen10适用于10Mbps以太网。

2)NetScreen100适用于10Mbps以太网。

3)NetScreen1000则可以支持千以太网，适应不同场合的需要。

硬件防火墙的主要特点为：

NetScreen把多种安全功能集成在一个ASIC芯片上、将防火墙、虚拟专用网(VPN),网络流量控制和宽带接入这些功能全部集成在专有的一体硬件中，该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈，能实现最高级别的IPsec。

NetScreen防火墙的配置可在网络上任何一台带有浏览器的机器上完成NetScreen的优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全保护。

3.工业标准服务器防火墙

所谓工业标准服务器防火墙，即凡是符合工业标准的、大批量生产的、机架式服务器，无论是IA架构的，还是像IBM的ISA架构那样的，只要符合上述标准都可以称为标准服务器。因此，在这种平台上的安装、运行防火墙软件形成的防火墙系统，都可以称为工业标准服务器的防火墙。

工业标准服务器防火墙由于性能价格比非常高，而受到用户的欢迎，主要原因有以下6点。

(1)速度快、性能高