硬防就是硬体防火墙

软防就是软体防火墙

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并儘可能将问题定位，方便问题的解决。

一般来说，硬体防火墙的例行检查主要针对以下内容：

不管你在安装硬体防火墙的时候考虑得有多幺的全面和严密，一旦硬体防火墙投入到实际使用环境中，情况却随时都在发生改变。硬体防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网路安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施。所涉及的硬体防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。

在安全策略中，要写明修改硬体防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什幺时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设定是否正确。详尽的安全策略应该保证硬体防火墙配置的修改工作程式化，并能儘量避免因修改配置所造成的错误和安全漏洞。

如果在硬体防火墙上保留日誌记录，那幺检查硬体防火墙的磁碟使用情况是一件很重要的事情。如果不保留日誌记录，那幺检查硬体防火墙的磁碟使用情况就变得更加重要了。保留日誌记录的情况下，磁碟占用量的异常增长很可能表明日誌清除过程存在问题，这种情况相对来说还好处理一些。在不保留日誌的情况下，如果磁碟占用量异常增长，则说明硬体防火墙有可能是被人安装了Rootkit工具，已经被人攻破。

因此，网路安全管理人员首先需要了解在正常情况下，防火墙的磁碟占用情况，并以此为依据，设定一个检查基线。硬体防火墙的磁碟占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。

和磁碟使用情况类似，CPU负载也是判断硬体防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬体防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬体防火墙遭到DoS攻击或外部网路连线断开等问题造成的。

每台防火墙在正常运行的情况下，都有一组精灵程式（Daemon），比如名字服务程式、系统日誌程式、网路分发程式或认证程式等。在例行检查中必须检查这些程式是不是都在运行，如果发现某些精灵程式没有运行，则需要进一步检查是什幺原因导致这些精灵程式不运行，还有哪些精灵程式还在运行中。

关键的系统档案的改变不外乎三种情况：管理人员有目的、有计画地进行的修改，比如计画中的系统升级所造成的修改；管理人员偶尔对系统档案进行的修改；攻击者对档案的修改。

经常性地检查系统档案，并查对系统档案修改记录，可及时发现防火墙所遭到的攻击。此外，还应该强调一下，最好在硬体防火墙配置策略的修改中，包含对系统档案修改的记录。

硬体防火墙日誌记录了所有允许或拒绝的通信的信息，是主要的硬体防火墙运行状况的信息来源。由于该日誌的数据量庞大，所以，检查异常日誌通常应该是一个自动进行的过程。当然，什幺样的事件是异常事件，得由管理员来确定，只有管理员定义了异常事件并进行记录，硬体防火墙才会保留相应的日誌备查。

上述6个方面的例行检查也许并不能立刻检查到硬体防火墙可能遇到的所有问题和隐患，但持之以恆地检查对硬体防火墙稳定可靠地运行是非常重要的。如果有必要，管理员还可以用数据包扫描程式来确认硬体防火墙配置的正确与否，甚至可以更进一步地採用漏洞扫描程式来进行模拟攻击，以考核硬体防火墙的能力。

软防是指软体防火墙.顾名思义，软体防火墙就是像office 等，是一个安装在PC上（当然，这里是指可以在PC上安装，但具体使用的时候最好用伺服器），的一个软体，而且一般的防火墙都带了gateway功能。

一般需要使用防火墙的网路拓扑图：

<IMG SRC="/tech/UploadPic/2005-9/2005112732020599.gif" border=0>

交换机企业区域网路。

一般的企业网路结构图就是，路由器->防火墙

交换机DMZ区。

OK，这样一个大致的企业网路拓扑图就出来了。乍一看防火墙在这里就起到了路由的作用。其实也是，防火墙，在没有定致规则以前，也就是一个路由。

有些人可能会问到以前一些问题

软体防火墙能防黑客吗？能，前提是，你必须及时的升级，及定製正确的策略。

软体防火墙能防DOS攻击吗？能，绝对可以，现在DOS攻击已经不再可怕。

软体防火墙能防DDOS攻击吗？也许可能。看攻击量是否很大，结合你的频宽。

软体防火墙能防反射性DDOS攻击吗？不能。所谓的反射性DDOS攻击，所攻击的对象不是防火墙，而是你的频宽，你将面临的是几千、几万甚至更多的伺服器，来对你一条10M、100M或者1000M的频宽来进行攻击，在理论上，任何防火墙都无法做到完全防止这种攻击，至于在使用IP v4的时候，软体防火墙还做不到。除非你不用TCP/IP协定。

那幺说到底，防火墙到底能做些什幺呢？在这里就说一下比较常用的（结合上图）。



一般而言，一个企业都会对用户访问外网做限制。如：是否允许使用HTTP、FTP、TELNET，都可以在防火墙中策略、规则。



跟上面相反，区域网路的资源是否允许外网进来防问。一般而言是禁止的，即使要限问的话，一般也用到VPN（详见下篇文章）。只要这样才能最大可能的保证区域网路的安全。



区域网路与DMZ都是属于防火保护区。一般而言都是允许区域网路对DMZ区进行访问，但不允许DMZ区对区域网路访问。

DMZ区的伺服器一般都是以NAT到Internet。可以理解成路由器的连线埠映射。



对从Internet来访问DMZ数据做的一些限制，如：web伺服器只许访问web资源、mail伺服器只允许防问mail资源等。

一般而言，这是防火墙建立起来后常常要做的一些规则、策略。并不是说防火墙只能做到这些。当然，还有VPN等防火墙与防火墙的会话等都是可以做限制的。

其实说到底，软体防火墙与硬体防火墙是没有区别的，几乎硬体防火墙有的功能他都有了。不同点在于，软体防火墙是基于作业系统的如：2000/linux/Sun等。而硬体防火墙呢，是基于硬体的（当然它也带有系统，但并不是像2000/Linux/Sun这类的）。一个简单的例子。相信大家都知道刻录机吧，它就分为内置和外置的。系统配置可以直接影响到刻盘的的效果，比如内置刻录机在刻盘的时候，你在玩游戏（星际、雷神等）的时候，可能刻出的光碟会有很多你意想不到的问题。而外置的刻录机，一般都是带有快取的，就是说，你可以把他看作是一个独立的系统，他的工作是在作业系统之外的，但是必须有作业系统支配。而软体防火墙也一样，伺服器的性能也可以直接影响到他的性能，比如在装有防火墙的机器上上网、玩游戏等都是可能给防火墙带来负面的影响。

网路攻击可分为拒绝服务型攻击、扫描窥探攻击和畸形报文攻击三大类：

拒绝服务型（dos，denial of service）攻击是使用大量的数据包攻击系统，使系统无法接受正常用户的请求，或者主机挂起不能提供正常的工作。主要的dos 攻击有syn flood、fraggle 等。拒绝服务攻击和其他类型的攻击不同之处在于：攻击者并不是去寻找进入内部网路的入口，而是阻止合法用户访问网路资源。

扫描窥探攻击是利用ping 扫射（包括icmp 和tcp）来标识网路上存活着的系统，从而準确的指出潜在的目标。利用tcp 和udp 连线埠扫描，就能检测出作业系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好準备。

畸形报文攻击是通过向目标系统传送有缺陷的ip 报文，使得目标系统在处理这样的ip 报文时会崩溃，给目标系统带来损失。主要的畸形报文攻击有ping of death、teardrop 等。

现在市场上针对这些攻击的有很多知名的硬防，如：金盾硬防集（专业做硬防技术的单位，非常不错的），傲盾硬防集。其外的还有冰盾，黑洞，黑盾，绿盾，威盾，等等。