您现在的位置：首页 > 实用文 > 其他范文

硬件防火墙的例行检查

时间：2022-05-24 09:04:49 其他范文收藏本文下载本文

【导语】以下是小编精心整理的硬件防火墙的例行检查（共10篇），供大家参考借鉴，希望可以帮助到有需要的朋友。

硬件防火墙的例行检查

篇1：硬件防火墙的例行检查

硬件防火墙是保障内部网络安全的一道重要屏障，它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

一般来说，硬件防火墙的例行检查主要针对以下内容：

1.硬件防火墙的配置文件

不管你在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施。所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。

在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。

2.硬件防火墙的磁盘使用情况

如果在硬件防火墙上保留日志记录，那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录，那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下，磁盘占用量的异常增长很可能表明日志清除过程存在问题，这种情况相对来说还好处理一些。在不保留日志的情况下，如果磁盘占用量异常增长，则说明硬件防火墙有可能是被人安装了Rootkit工具，已经被人攻破。

因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线，

硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。

3.硬件防火墙的CPU负载

和磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬件防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。

4.硬件防火墙系统的精灵程序

每台防火墙在正常运行的情况下，都有一组精灵程序（Daemon），比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行，如果发现某些精灵程序没有运行，则需要进一步检查是什么原因导致这些精灵程序不运行，还有哪些精灵程序还在运行中。

5.系统文件

关键的系统文件的改变不外乎三种情况：管理人员有目的、有计划地进行的修改，比如计划中的系统升级所造成的修改；管理人员偶尔对系统文件进行的修改；攻击者对文件的修改。

经常性地检查系统文件，并查对系统文件修改记录，可及时发现防火墙所遭到的攻击。此外，还应该强调一下，最好在硬件防火墙配置策略的修改中，包含对系统文件修改的记录。

6.异常日志

硬件防火墙日志记录了所有允许或拒绝的通信的信息，是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大，所以，检查异常日志通常应该是一个自动进行的过程。当然，什么样的事件是异常事件，得由管理员来确定，只有管理员定义了异常事件并进行记录，硬件防火墙才会保留相应的日志备查。

上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患，但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。如果有必要，管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否，甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击，以考核硬件防火墙的能力。

篇2：硬件防火墙的例行检查服务器教程

一般来说，硬件防火墙的例行检查主要针对以下内容：

1.硬件防火墙的配置文件

在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等，

安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。

2.硬件防火墙的磁盘使用情况

因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。

3.硬件防火墙的CPU负载

篇3：浅谈服务器硬件防火墙

在电脑世界什么最重用?相信有许多朋友都会想到安全，的确，在安全的基础上才能保障系统正常运行，保证自己的内容私密性，保证不会因为受攻击而DOWN机。那么，既然是最重要的部分，那一定就是最贵的吧。这次应该很多朋友会想错，用马云的话来说：“服务是全世界最贵的产品，所以最佳的服务就是不要服务，最好的服务就是不需要服务。”为了节约开支，为了“不需要服务”，在服务器领域里了硬防的概念，IDC服务器租赁商通常免费赠送硬防来争取赢得客户。

服务器硬防的简单介绍

服务器的硬防是指硬件防火墙，硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

硬件防火墙的例行检查主要内容

1.硬件防火墙的配置文件

不论我们在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施，

所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。

2.硬件防火墙的磁盘使用情况

3.硬件防火墙的CPU负载

篇4：硬件防火墙配置：高级篇

关注更多防火墙设置问题请关注：防火墙设置

第一部分内容请参阅：如何配置硬件防火墙

10. 地址转换（NAT）

防火墙的NAT配置与路由器的NAT配置基本一样，首先也必须定义供NAT转换的内部IP地址组，接着定义内部网段，

定义供NAT转换的内部地址组的命令是nat，它的格式为：nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]]，其中if_name为接口名；nat_id参数代表内部地址组号；而local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的最大TCP连接数，默认为“0”，表示不限制连接；em_limit为允许从此端口发出的连接数，默认也为“0”，即不限制。如：

nat (inside) 1 10.1.6.0 255.255.255.0

表示把所有网络地址为10.1.6.0，子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。

随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为：

global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ，各参数解释同上。如：

global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址，其子网掩耳盗铃码为255.255.255.0。

11. Port Redirection with Statics

这是静态端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（PAT），或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。

命令格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信：

（1）. static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]

（2）. static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

此命令中的以上各参数解释如下：

internal_if_name：内部接口名称；external_if_name：外部接口名称；{tcp|udp}：选择通信协议类型；{global_ip|interface}：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；[netmask mask]：本地子网掩码；max_conns：允许的最大TCP连接数，默认为“0”，即不限制；emb_limit：允许从此端口发起的连接数，默认也为“0”，即不限制；norandomseq：不对数据包排序，此参数通常不用选。

现在我们举一个实例，实例要求如下

外部用户向172.18.124.99的主机发出Telnet请求时，重定向到10.1.1.6。

外部用户向172.18.124.99的主机发出FTP请求时，重定向到10.1.1.3。

外部用户向172.18.124.208的端口发出Telnet请求时，重定向到10.1.1.4。

外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时，重定向到10.1.1.5。

外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时，重定向到10.1.1.5。

外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时，重定向到10.1.1.7的80号端口。

以上重写向过程要求如图2所示，防火墙的内部端口IP地址为10.1.1.2，外部端口地址为172.18.124.216。

图2

以上各项重定向要求对应的配置语句如下：

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0

12. 显示与保存结果

显示结果所用命令为：show config；保存结果所用命令为：write memory。

四、包过滤型防火墙的访问控制表（ACL）配置

除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。

1. access-list：用于创建访问规则

这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。

（1）创建标准访问列表

命令格式：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建扩展访问列表

命令格式：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

命令格式：no access-list { normal | special } { all | listnumber [ subitem ] }

上述命令参数说明如下：

例如，现要在华为的一款防火墙上配置一个“允许源地址为10.20.10.0网络、目的地址为10.20.30.0网络的WWW访问，但不允许使用FTP”的访问规则，

相应配置语句只需两行即可，如下：

Quidway (config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq www

Quidway (config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

2. clear access-list counters：清除访问列表规则的统计信息

命令格式：clear access-list counters [ listnumber ]

这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。

如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为：

clear access-list counters 100

如有清除当前所使用的所有规则的统计信息，则以上语句需改为：Quidway#clear access-list counters

3. ip access-group

使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置，对应格式为：

ip access-group listnumber { in | out }

此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet，括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号，是1~199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

例如将规则100应用于过滤从外部网络接口上接收到的报文，配置语句为（同样为在倾为包过滤路由器上）：

ip access-group 100 in

如果要删除某个访问控制表列绑定设置，则可用no ip access-group listnumber { in | out } 命令。

4. show access-list

此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show access-list [ all | listnumber | interface interface-name ]

这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下：

Using normal packet-filtering access rules now.

100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

100 deny udp any any eq rip (no matches -- rule 3)

5. show firewall

此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

6. Telnet

这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。

命令格式为：telnet ip_address [netmask] [if_name]

其中的ip_address参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如：

telnet 192.168.1.1

如果要清除防火墙上某个端口的Telnet参数配置，则须用clear telnet命令，其格式为：clear telnet [ip_address [netmask] [if_name]]，其中各选项说明同上。它与另一个命令no telnet功能基本一样，不过它是用来删除某接口上的Telnet配置，命令格式为：no telnet [ip_address [netmask] [if_name]]。

如果要显示当前所有的Telnet配置，则可用show telnet命令。

normal：指定规则加入普通时间段。

special：指定规则加入特殊时间段。

listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit：表明允许满足条件的报文通过。

deny：表明禁止满足条件的报文通过。

protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr：为源IP地址。

source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr：为目的IP地址。

dest-mask：为目的地址的子网掩码。

operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

log：表示如果报文符合条件，需要做日志。

listnumber：为删除的规则序号，是1~199之间的一个数值。

subitem：指定删除序号为listnumber的访问列表中规则的序号。

篇5：硬件防火墙性能差异的鉴别方法

有一些问题常令用户困惑:在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似，面对这种情况，该如何鉴别?描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异也十分明显。

一、网络层的访问控制

所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。

1.规则编辑

对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则，是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?

2.IP/MAC地址绑定

同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。

3、NAT(网络地址转换)

这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题:难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。

二、应用层的访问控制

这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测)，但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。

对应用层的控制上，在选择防火墙时可以考察以下几点。

1.是否提供HTTP协议的内容过滤?

目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。

2.是否提供SMTP协议的内容过滤?

对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。

3. 是否提供FTP协议的内容过滤?

在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。

三、管理和认证

这是防火墙非常重要的功能，

目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。

各种管理方式中，基于命令行的CLI方式最不适合防火墙。

WUI和GUI的管理方式各有优缺点。

WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行;同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。

WUI形式的防火墙也有缺点:首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式;另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，很容易猜测到口令，这增加了安全威胁。

GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。

四、审计和日志以及存储方式

目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。

很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。

目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可以存储大量的日志(几个G到几十个G)，但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。

好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。

五、如何区分包过滤和状态监测

一些小公司为了推销自己的防火墙产品，往往宣称采用的是状态监测技术; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。

1. 是否提供实时连接状态查看?

状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。

2. 是否具备动态规则库?

某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接(缺省的源端口是20，在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。

状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。

篇6：如何正确鉴别硬件防火墙性能的差异

有一些问题常令用户困惑:在产品的功能上，各个厂商的描述十分雷同，一些后起之秀与知名品牌极其相似，面对这种情况，该如何鉴别?描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异也十分明显。

如何正确鉴别硬件防火墙性能的差异!

一、网络层的访问控制

所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。

1.规则编辑

2.IP/MAC地址绑定

3、NAT(网络地址转换)

篇7：阿尔法路由器与硬件防火墙简析

说到路由器与防火墙，想必有不少网友都会认为路由器中已经有防火墙了，但今天我们要说的是硬件防火墙，路由器是基于对网络数据包路由而产生的，需要完成的是将不同网络的数据包进行有效的路由，防火墙是基于对安全性的需求，数据包是否应该通过、通过后是否会对网络造成危害，

一、审计功能

阿尔法路由器本身没有审计分析工具，对日志、事件的描述采用的是单纯的记录，没有存储介质，只能通过采用外部的日志服务器等来完成对日志、事件的存储，对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。

二、核心技术

阿尔法路由器核心的ACL列表是基于简单的包过滤，防火墙是基于状态包过滤的应用级信息流过滤，假设内网的一台电脑，通过路由器防火墙对内网提供服务，为了保证安全性，在路由器上需要配置成：外－内只允许client访问server的tcpXX端口，其他拒绝。

阿尔法路由器防火墙不能监测TCP的状态，如果在内网的client和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的脆弱性，防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。

三、根本目的

路由器的根本目的是保持网络和数据通畅，而防火墙根本的的目的是保证任何非允许的数据包不能通过，

四、安全策略

阿尔法路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，出错率比较高，防火墙的默认配置既可以防止各种攻击，达到既用既安全，安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置简单、出错率低。

五、性能影响

阿尔法路由器是被设计用来转发数据包的，而不是专门设计作为防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器防火墙的CPU和内存的需要都非常大，而路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。

防火墙的硬件配置非常高，其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高，对性能的影响接近于零。

六、防范攻击

对于像阿尔法这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级IOS为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本，大部分路由器防火墙不具有这样的高级安全功能。

用户的网络的情况决定是否应该使用防火墙的标准，如果用户的环境、应用比较复杂，那么防火墙将能够带来更多的好处，防火墙将是网络建设中不可或缺的一部分。

本文来自于路由人网

篇8：防火墙、UTM产品硬件平台架构分析

现在市场上的防火墙、UTM产品从其架构上来说，大概分为三大类，

第一类是基于X86平台的，这种平台通常使用一颗或多颗主CPU来处理业务数据，网卡芯片和CPU通过PCI总线来传输数据。

由于传统的32位PCI总线频率为33MHZ，所以，理论通讯速率为：132 MB Bytes/S即：1056 MBits/S。单从PCI通讯的速率上来说是可以满足千兆防火墙的需要，但实际上PCI总线在X86系统中是共享的，也就是说，如果有两个网卡同时传输数据，那么每个网卡所能获得的速率就只有 66 MB Bytes/S，即：528 Mbits/S ，如果有四个网口同时传输数据，则每个网卡所能获得的速度只有16 MB Bytes/S，即128Mbit/S。

从总线速度来看基于32位PCI总线的X86平台，做为百兆防火墙的方案是没有任何问题的。但X86平台的防火墙方案，数据从网卡到CPU之间的传输机制是靠“中断”来实现的，中断机制导致在有大量数据包的需要处理的情况下(如：64 Bytes的小包，以下简称小包)，X86平台的防火墙吞吐速率不高，大概在30%左右，并且CPU占用会很高。这是所有基于X86平台的防火墙所共同存在的问题。

因此，基于32位PCI总线的X86平台是不能做为千兆防火墙使用的，因为32位PCI总线的通讯速率不能达到千兆防火墙的要求。针对这个问题，Intel提出了解决方案，可以把32位的PCI总线升级到了PCI-E ，即：PCI-Express，这样，PCI-E 4X的总线的速度就可以达到 MB Bytes/S，即：16Gbits/S，并且PCI-E各个PCI设备之间互相独立不共享总线带宽，每个基于PCI-E的网口可以使用的带宽为：2000MB Bytes/S，即：16Gbits/S，所以基于PCI-E 4X的X86从系统带宽上来说，做为千兆防火墙是没有任何问题的。但是，基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据，所以小包（64 Bytes）的通过率仍然为：30-40%。

第二类，基于ASIC架构的防火墙、UTM产品。

从上面对X86架构防火墙的分析中，我们了解到X86平台的防火墙其最大的缺点就是小包通速率低，只有30%－40%，造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CPU处理。基于ASCI架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，不经过主CPU处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能，如：路由、NAT、防火墙规则匹配等。这样数据不经过主CPU处理，不使用中断机制，理所当然，ASIC是做为功能简单的防火墙的最佳选择。

但随之而来的问题是，ASIC架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。尤其是作为多功能集成的UTM网关来说，无法在芯片一级完成杀毒、垃圾邮件过滤、网络监控等比较复杂的功能，所以说，ASIC架构用来做功能简单的防火墙，是完全适用的，64 Bytes的小包都可以达到线速。但ASIC架构做为UTM就不是理想的选择，因为ASIC架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。

第三类，基于NP架构的防火墙。

NP架构实现的原理和ASIC类似，但升级、维护远远好于ASIC 架构。NP架构在的每一个网口上都有一个网络处理器，即：NPE，用来处理来自网口的数据，

每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比ASIC短，但比X86长。做为UTM，由于NP架构每个网口上的网络处理器性能不高，所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。

可能有人会问？ASIC 和 NP为什么不可以把网关杀毒、和垃圾邮件过滤、访问监控等这些功能放在主CPU上来实现？这样不就可以做为UTM方案使用了吗？这个问题问得很好，目前有很多基于NP和ASIC的UTM都是这样做的，但问题是ASIC和NP架构的防火墙，其主CPU性能很低，如：Intel基于IXP2400的千高端NP方案，主CPU只有1.0G，处理能力还比不上Celeron 1.0G，大家可以对照一下与其主频相当的X86平台的处理能力。所以如果以ASIC和NP架构来实现一个UTM网关，只能是做为低端的方案来使用，如桌面型的UTM，而并不能做为中、高端的UTM来使用。

言归正传，那什么才是UTM网关合适的硬件方案呢？如果要在上述三种方案中选择一种的话，非X86架构莫属，当然，随着技术的发展，还有可能出现第四种防火墙的解决方案，可以做为实现UTM网关的完美平台，但这是后话，值得我们期待。X86平台的主要缺陷在于64Bytes的小包不能达到线速。但在实际用户中，除非是DOS、DDOS攻击才会产生大量的的小包，用户正常的应用不可能产生大量的小包。如果在基于X86平台的UTM产品中，解决好DOS和DDOS攻击的问题，那么，X86平台就是UTM网关理所当然的解决方案。对于这个问题，已经有产品开发了防DOS、DDOS攻击的功能，不但可以防御来自外网的DOS攻击而且能够防御来自企业内部网络的DOS、DDOS攻击，这样我们的UTM产品就解决了这个问题，使网关的稳定性和可靠性大大加强，在UTM整体性能方面优越于NP、ASIC。在遇到大规模的DOS、DDOS攻击时，也不会占用太多的CPU资源。

既然选择了X86做为UTM网关的硬件平台，那么，还会存在一个问题：“如果UTM网关处理的业务比较多，是否会影响网络速度？”，比较简单的答复是这样的：在CPU占用低于90%的时候，是不会影响网络速度的。因为UTM网关虽然集成了众多的功能，并且要求主CPU来处理这所有的业务。但从业务的方面来看，是独立的，如：收发邮件的数据就不会被做为通过HTTP上网的数据来处理，通过HTTP上网的数据也不会被做为邮件的数据来处理，所以当一个数据包通过UTM时，是分业务分流程处理的，在CPU占用90%以下时，CPU完全可以实时的处理这些业务。但如果CPU占用超过了90%，那怎么办？X86的平台是不是不能解决了？答案是否定的，对于这个问题，X86的平台的方案有两种解决方法：

方法一：支持多颗CPU。部分高端设备都配备了2颗以上CPU，更高端的设备甚至配备4颗CPU，这样CPU的处理能力也就不会成为瓶颈。

方法二：使用加速卡。比如把邮件过滤做成一个加速卡安全在系统中，在主CPU发现某个数据包为邮件数据时，把该数据包交给加速卡来完成，不占用主CPU资源。

综上所述可以得出一个结论，X86架构是UTM网关理想的硬件平台，目前来看，没有其它平台可以代替。

注解：

NP：网络处理器（Network Processor）

ASIC：专用集成电路（Application Specific Integrated Circuit）

百兆设备：指数据传输能力在 100Mbits/S 以上的网络传输设备，即：10Mbytes/S。

千兆设备：指数据传输能力在 1000Mbits/S以上的网络传输设备，即：100Mbytes/S

篇9：硬件故障的几种简单检查方法

一、首先确定你的电源已经打开、所有的连线全部连接到位，

二、把你的板卡全部检查一遍，以防因接触不良或板卡未完全插入插槽中而造成的系统无法启动，这种现象多见于机箱清洁，搬动后。如果你的板卡金手指有氧化现象也可能造成接触不良，遇到这种情况中需用橡皮插试金手指后再插入槽内即可。有时在出现问题后把你的设备换一个插槽再使用也许会有意想不到的收获。

三、跳线设置不正确，超频过度也是引起故障的一个重要原因，过度的超频可能会造成其它部件的损坏，出现这种情况只要把你的CPU降回原频率即可，如果故障依旧的话可以继续用下面的方法检查。

四、替换法是电脑故障检查的一种最常用的方法，简单的说也就是把你怀疑故障原因最大的部件换下来，插到其它的机器上开机测试。如果故障依旧，就说明故障原因就在你换下的那个部件上。你也可以把你的系统中只留下CPU、主板、显卡、内存组成一个最小系统，然后开机，如果可以出现启动画面的话就可以认为是声卡、硬盘、光驱等发生故障，可替换后开机再试。如仍末见启动画面的话，就应把重点放在CPU、内存、主板、显卡上面，可把这些部件再拿到好机器上试验，一般用这种方法查过的机器可以找到问题的所在。

五、如果你的系统在开机时出现的为非致命错误时，有时电脑的带电自检程序会通过PC喇叭发出不同的警示音，以帮助你找到问题所在的部位，但这里要注意的是在很多时候故障很可能是由相关部件引起的，所以也要多注意一下相关部件的检查。不同的BIOS有不同的警示音，下面就主流的AWARD BIOS、AME BIOS简单介绍一下。

AWARD BIOS

1短系统正常启动

2短为常规错误，可以进入CMOS更改不正确的设置即可

1长2短 RAM或主板出错，可把检查的重点放在内存或主板上1长2短显示器或显卡错误

1长3短键盘控制错误、检查主板

1长9短主板上的FLASH RAM或EPROM错误，BIOS损坏，更换FLASH RMA

长声不断内存条末插或损坏，可重插或更换内存条

不停的响电源、显示器没有和显卡连接好，检查一下各连接插头重复短响电源故障

AMI BIOS

1短内存刷新失败，主板内存刷新电路故障，可以尝试更换内存条

2短奇偶校验错误，第一个64K内存芯片出现奇偶校验故障，可在CMOS设置中将内存的ECC校验设为关闭

3短基本64K内存失败，内存芯片检查失败，可以尝试更换内存条

4短时钟出错，主板上的TIMERI定时器不工作

5短 CPU故障，检查你的CPU

6短 A20门故障，键盘控制器包含A20门开关故障

7短 CPU例外中断错误，主板上的CPU产生一个例外中断，不能切换列保护模式

8短显示内存错误，显卡上无显示内存或显示内存错误、更换显卡或显存

9短 ROM检查失败，ROM校验和值与BIOS中记录值不一样

10短 CMOS寄存器读、写错误，CMOS RAM中的SHUTDOWM寄存器故障

11短 CACHE错误、外部CACAHE损坏，外部CACHE故障

1长3 短内存错误，内存损坏，更换即可

1长8 短显示测试错误，显示器数据线没有插好或显卡没插好

六、如果你的电脑经常莫明其妙的重启，或是无缘无故的无法启动，而你所在地区的电压又经常不稳的话，不妨为你的机器加一台UPS，也许可以收到一个意外的惊喜，

篇10：防火墙、utm产品硬件平台架构分析防火墙技术

现在市场上的防火墙、utm产品从其架构上来说，大概分为三大类，

第一类是基于x86平台的，这种平台通常使用一颗或多颗主cpu来处理业务数据，网卡芯片和cpu通过pci总线来传输数据。

由于传统的32位pci总线频率为33mhz，所以，理论通讯速率为：132 mb bytes/s即：1056 mbits/s。单从pci通讯的速率上来说是可以满足千兆防火墙的需要，但实际上pci总线在x86系统中是共享的，也就是说，如果有两个网卡同时传输数据，那么每个网卡所能获得的速率就只有 66 mb bytes/s，即：528 mbits/s ，如果有四个网口同时传输数据，则每个网卡所能获得的速度只有16 mb bytes/s，即128mbit/s。

从总线速度来看基于32位pci总线的x86平台，做为百兆防火墙的方案是没有任何问题的。但x86平台的防火墙方案，数据从网卡到cpu之间的传输机制是靠“中断”来实现的，中断机制导致在有大量数据包的需要处理的情况下(如：64 bytes的小包，以下简称小包)，x86平台的防火墙吞吐速率不高，大概在30%左右，并且cpu占用会很高。这是所有基于x86平台的防火墙所共同存在的问题。

因此，基于32位pci总线的x86平台是不能做为千兆防火墙使用的，因为32位pci总线的通讯速率不能达到千兆防火墙的要求。针对这个问题，intel提出了解决方案，可以把32位的pci总线升级到了pci-e ，即：pci-express，这样，pci-e 4x的总线的速度就可以达到 2000mb bytes/s，即：16gbits/s，并且pci-e各个pci设备之间互相独立不共享总线带宽，每个基于pci-e的网口可以使用的带宽为：2000mb bytes/s，即：16gbits/s，所以基于pci-e 4x的x86从系统带宽上来说，做为千兆防火墙是没有任何问题的。但是，基于pci-e的防火墙数据从网卡到cpu之间传输同样使用“中断”机制来传输数据，所以小包（64 bytes）的通过率仍然为：30-40%。

第二类，基于asic架构的防火墙、utm产品。

从上面对x86架构防火墙的分析中，我们了解到x86平台的防火墙其最大的缺点就是小包通速率低，只有30%－40%，造成这个问题的主要原因是因为x86平台的中断机制以及x86平台的防火墙所有数据都要经过主cpu处理。基于asci架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，不经过主cpu处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能，如：路由、nat、防火墙规则匹配等。这样数据不经过主cpu处理，不使用中断机制，理所当然，asic是做为功能简单的防火墙的最佳选择。

但随之而来的问题是，asic架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。尤其是作为多功能集成的utm网关来说，无法在芯片一级完成杀毒、垃圾邮件过滤、网络监控等比较复杂的功能，所以说，asic架构用来做功能简单的防火墙，是完全适用的，64 bytes的小包都可以达到线速。但asic架构做为utm就不是理想的选择，因为asic架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。

第三类，基于np架构的防火墙。

np架构实现的原理和asic类似，但升级、维护远远好于asic 架构。np架构在的每一个网口上都有一个网络处理器，即：npe，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比asic短，但比x86长。做为utm，由于np架构每个网口上的网络处理器性能不高，所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。

可能有人会问？asic 和 np为什么不可以把网关杀毒、和垃圾邮件过滤、访问监控等这些功能放在主cpu上来实现？这样不就可以做为utm方案使用了吗？这个问题问得很好，目前有很多基于np和asic的utm都是这样做的，但问题是asic和np架构的防火墙，其主cpu性能很低，如：intel基于ixp2400的千高端np方案，主cpu只有1.0g，处理能力还比不上celeron 1.0g，大家可以对照一下与其主频相当的x86平台的处理能力，

所以如果以asic和np架构来实现一个utm网关，只能是做为低端的方案来使用，如桌面型的utm，而并不能做为中、高端的utm来使用。

关键字：防火墙

★浅谈服务器硬件防火墙

★防火墙、UTM产品硬件平台架构分析服务器教程