保护企业网络安全 谨慎选择防火墙（4）

　　北京天融信网络安全技术有限公司是我国最早推出自主版权防火墙产品的专业网络安全公司之一。该公司所推出的"网络卫士"系列防火墙产品，是遵循国家相关管理政策和标准开发生产的，具有完全自主版权。该系列的防火墙产品采用了软硬件一体化设计，支持各种标准服务及用户自定义服务，扩展性好。实际上该公司新推出的防火墙产品已经是一个以防火墙为核心、多种安全技术和产品协同工作的网络安全体系，能够为客户提供一种比较完整的、动态的网络安全解决方案。产品不仅能够实现对站点、子网、服务的过滤，实现网络层和应用层的细粒度控制，而且使用了状态检测技术，可以实现URL阻断及HTTP、FTP的协议命令过滤，能够对外部扫描及攻击做出及时的响应。提供有灵活的访问控制功能(如基于地址、协议、端口、用户、时间、流量的访问控制)，采用了一次性口令认证机制，可护展支持RADIUS等第三方认证，并且可扩展支持职能IC卡、ikey等硬件方式认证。实现了用户数据的加密传输，并且对远程管理也提供了加密机制。具有IP地址翻译(NAT)功能，并且能够在特有的透明工作模式下实现地址翻译。支持多种工作模式，提高了网络应用的灵活性。提供流量统计与控制功能，支持QOS，具有完善的日志和审计功能，并且专门设置了对防火墙配置规则的测试功能。具有较强的防攻击能力，能够较好地防范对TCP、UDP等端口的扫描，抗DOS/DDOS攻击、源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN等多种攻击。有的产品还拥有双机热备等先进功能，进一步提高了产品的稳定性和可靠性。提供有VPN模块，可扩展支持第三方IDS入侵检测系统，实现协同工作。

　　北京邮电大学的PC防火墙

　　PC防火墙(Secure PC)是北京邮电大学信息安全中心研制开发的具有完全自主知识产权的桌面防火墙系统。已经通过专家鉴定，获得了公安部颁发的合格检测证书。Secure PC基本与国外最新推出的同类产品持平，有此功能甚至更胜一筹。

　　从而向用户的角度来说，这种防火墙颇具特色，更适合于中国人的思维习惯和生活习惯。传统意义下的防火墙是从保护局域网的攻击。随着PC机的迅速普及，PC机的安全问题和原有局域网一起都成为了防火墙的保护对象。由于PC机环境和用户的特殊性，不管从技术上还是从用户需求来说都有许多的不同。传统防火墙考虑得更多的是进入局域网内部的主机系统的安全，而PC机的防火墙则必须全面考虑主机系统的网络信息，甚至系统所采用的应用软件，对于某种条件下，还得考虑PC机的多用户问题。

　　该系统的主要功能是实现对进出主机的IP包的IP地址和协议端口的过滤。考虑到桌面防火墙功能的特殊性，该产品主要由以下几个模块组成：

　　(1)过滤规则管理。对用户提供方便实用的过滤规则管理界面，使用户可以对当前的防火墙过滤规则表中的记录进行增加、删除和修改等各种操作，过滤规则表则以密文形式存放，对过滤规则表的访问系统提供用户身份认证的机制。

　　(2)过滤规则加密处理。以加密形式存放当前防火墙的过滤规则，并利用杂凑函数实现对文件完整性的校验，从而防止未经授权的用户篡改和查看当前防火墙的过滤规则。如果无过滤规则文件，系统将拒绝对任何外部IP的访问。

　　(3)启用当前过滤规则(Ring 3部分)。用户通过该模块应用当前最新的过滤规则。该模块首先读取过滤规则存放文件，将读出的过滤规则解密后存放在常规内存中的缓冲区中。再通过WIN32接口的DeviceIOControl调用Ring 0的过滤规则服务模块，并将缓冲区指针作为调用参数传递。

　　(4)启用当前过滤规则(Ring 0部分)。该模块接收WIN32应用程序传送来的存放当前过滤规则的缓冲的指针，并使用NdisMoveMemory函数将存放在常规内存缓冲区中的数据存入供VxD设备驱动程序使用的系统堆中，从而使得这些过滤规则数据可以长期存在，其生命周期和VxD一样。

　　(5)面向上层网络应用程序的接口服务函数。这些接口函数均是Windows网络应用程序最终需要调用的网络服务。通过这些服务，可以在上层与VxD可访问的系统内存中的包过滤规则，然后应用这些过滤规则对当前IP包进行处理，将处理后的IP包交于原来的Windows网络协议 进行处理，。这样除了不被允许的IP包已经被过滤掉了以外，其他一切防火墙未启动时一样，从而实现了对IP包的成功过滤。

　　该防火墙系统能够对主机发送和接受的每一个IP包进行检查，获取IP源地址、目标地址和协议端口，并根据事先设定的规则拒绝或允许这个IP包通过。该防火墙能够实现对上层网络应用软件的全透明控制。也就是说，不管用户是选用网景公司的NetScape浏览器还是微软公司Explorer浏览器、不管是选用的是哪家的ftp软件等，系统都将提供同样的网络安全服务。该系统的运行有Windows95或Windows98平台上。