防火墻作為網(wǎng)絡(luò)安全最主要和最基本的基礎(chǔ)設(shè)施，已經(jīng)得到廣大用戶的認(rèn)同，是公認(rèn)的成熟的技術(shù)、成熟的產(chǎn)品和成熟的市場(chǎng)。隨著信息技術(shù)的發(fā)展，防火墻市場(chǎng)近幾年得到了突飛猛進(jìn)的發(fā)展，信息安全已經(jīng)得到了各個(gè)行業(yè)的高度重視，特別是防火墻產(chǎn)品的應(yīng)用已經(jīng)延伸到銀行、保險(xiǎn)、證券、郵電、軍隊(duì)、海關(guān)、稅務(wù)、政府等各個(gè)行業(yè)。因此，防火墻產(chǎn)品已成為國(guó)內(nèi)安全產(chǎn)品競(jìng)爭(zhēng)的焦點(diǎn)。 [對(duì)防火墻系統(tǒng)的更高要求] 防火墻的不斷發(fā)展使其形成為一個(gè)系統(tǒng)，對(duì)防火墻整體也提出了更高要求，這主要體現(xiàn)在：高性能、高穩(wěn)定可靠性和高應(yīng)用適應(yīng)能力。 1、高性能 自然，如此多的功能實(shí)現(xiàn)必然要求系統(tǒng)具有高效的處理能力。通常，性能提高主要集中在兩方面：硬件和軟件，這也與防火墻的類型有關(guān)。 軟件型防火墻在軟件設(shè)計(jì)上下工夫，并對(duì)系統(tǒng)平臺(tái)提出更高的要求。軟件方面的性能提高，主要體現(xiàn)在操作系統(tǒng)和應(yīng)用系統(tǒng)的結(jié)構(gòu)和實(shí)現(xiàn)上。國(guó)外廠商的產(chǎn)品大都自己設(shè)計(jì)專用系統(tǒng)，所以往往很精小，效率也很高。如某國(guó)外防火墻，盡管其使用的硬件平臺(tái)性能并不高（奔騰200、32M內(nèi)存），但同比性能卻很好。 硬件防火墻則同時(shí)在軟件和硬件兩方面作出努力，這方面，國(guó)外防火墻廠商的通常做法是軟件運(yùn)算硬件化，其所設(shè)計(jì)或選用的運(yùn)行平臺(tái)本身的性能可能并不高，但它將主要的運(yùn)算程序（查表運(yùn)算是防火墻的主要工作）做成芯片，以減少對(duì)主機(jī)器系統(tǒng)CPU的運(yùn)算壓力。這樣做的效果往往很好，這也是國(guó)外廠商的優(yōu)勢(shì)之一。國(guó)內(nèi)廠商的防火墻主要為硬件形態(tài)，硬件平臺(tái)往往采用通用IPC（工控機(jī)）系統(tǒng)（可以節(jié)省硬件開發(fā)成本），所以硬件性能的提高往往直接表現(xiàn)為提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量。在軟件性能方面，國(guó)內(nèi)廠商下大工夫的就不多了，幾乎所有廠家的軟件系統(tǒng)都是基于Linux。 2、高穩(wěn)定可靠性 防火墻系統(tǒng)為高效所做的努力往往也直接影響其穩(wěn)定可靠性指標(biāo)，一個(gè)紛繁復(fù)雜系統(tǒng)的可靠性是很難讓人信任的，而可靠性對(duì)用戶來說至關(guān)重要，甚至是致命的。頻繁故障的系統(tǒng)讓網(wǎng)絡(luò)管理員膽顫心驚，在重要系統(tǒng)中所造成的損失也是無法承受的，這在金融證券應(yīng)用中尤為突出。 防火墻的可靠性同樣也體現(xiàn)在兩方面：硬件和軟件。 IPC（工控機(jī)）在此方面做得較好，盡管其也使用IntelX86 PC結(jié)構(gòu)，但它做了如下處理：基本系統(tǒng)完全集成在一塊PCB上，主要體現(xiàn)在所使用的網(wǎng)絡(luò)接口Intel82559芯片直接集成在板上，這樣一來自然提高了產(chǎn)品的可靠性。存儲(chǔ)器使用電子存儲(chǔ)，而非機(jī)械式磁介質(zhì)存儲(chǔ)，其可靠性的提高是顯而易見，無論是抗震還是對(duì)溫度和濕度的適應(yīng)能力，以及長(zhǎng)時(shí)期的運(yùn)行，芯片要可靠得多，而硬盤總是有壽命的。 當(dāng)然，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。安全需求和網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，使防火墻一直處于不停的擴(kuò)充和修訂中，這為其可靠穩(wěn)定性帶來了很大的難度。一般地，一次小修訂都需要對(duì)防火墻進(jìn)行完整的測(cè)試和應(yīng)用檢測(cè)。 3、高應(yīng)用適應(yīng)能力 防火墻的應(yīng)用適應(yīng)能力是產(chǎn)品使用和推廣到一定階段必然面臨的問題，這主要體現(xiàn)在產(chǎn)品的使用靈活性上。其實(shí)，靈活性往往不是設(shè)計(jì)師所設(shè)計(jì)出來的，而是用戶使用出來的。滿足用戶的一次應(yīng)用要求，產(chǎn)品的使用靈活性就可能前進(jìn)一步，因此，一個(gè)產(chǎn)品的成熟是需要時(shí)間的。產(chǎn)品使用的靈活性是相對(duì)與一定的使用環(huán)境的，這也形成了國(guó)內(nèi)用戶對(duì)防火墻使用的特性要求。 [系統(tǒng)概述] 防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)設(shè)備，其作用是切斷受控網(wǎng)絡(luò)的通信主干線，對(duì)通過受控干線的任何通信進(jìn)行安全處理。目前防火墻主要有包過濾、應(yīng)用代理和狀態(tài)檢測(cè)等幾種類型。 [系統(tǒng)原理] 防火墻的安全性能取決于防火墻是否基于安全的操作系統(tǒng)和是否采用專用的硬件平臺(tái)。應(yīng)用系統(tǒng)的安全性能是以操作系統(tǒng)的安全性能為基礎(chǔ)的。同時(shí)，應(yīng)用系統(tǒng)自身的安全實(shí)現(xiàn)也直接影響到整個(gè)系統(tǒng)的安全性，提高防火墻的可靠性通常是在設(shè)計(jì)中采取措施，具體措施是提高部件的強(qiáng)健性、增大設(shè)計(jì)閥值和增加冗余部件。所以，高可靠性、帶冗余設(shè)計(jì)的工業(yè)計(jì)算機(jī)成為網(wǎng)絡(luò)安全行業(yè)和系統(tǒng)集成商的首選。 目前的防火墻一般標(biāo)配三個(gè)網(wǎng)絡(luò)接口，分別連接外部網(wǎng)、內(nèi)部網(wǎng)和SSN。硬件平臺(tái)具有可擴(kuò)展和可升級(jí)性，賽文迪科技有限公司專為網(wǎng)絡(luò)行業(yè)用戶研發(fā)生產(chǎn)了四網(wǎng)口的工業(yè)級(jí)主板，為所有的網(wǎng)絡(luò)客戶提供了完備的選擇。 [系統(tǒng)框圖] [系統(tǒng)配置] 防火墻： 機(jī)箱IPC－120／主板SWD-845GV4L／CPU P4 2.4／內(nèi)存 512M／電子硬盤 2G 路由器：機(jī)箱IPC－200／主板SWD－3650／自帶低功耗PIII 650 CPU／內(nèi)存128M／硬盤40G 服務(wù)器：機(jī)箱IPC－220／主板SWD-845GVL／CPU P4 2.0／內(nèi)存2G／硬盤200G 終端：機(jī)箱IPC－610H／主板SWD－815EL／PIII 866 CPU／內(nèi)存256M／硬盤80G [系統(tǒng)評(píng)價(jià)] 1、所有安全和服務(wù)由工業(yè)級(jí)的硬件設(shè)備完成： 安全軟件在運(yùn)行、存儲(chǔ)中是不能保障安全的，軟件運(yùn)行時(shí)很多重要信息都會(huì)在某個(gè)時(shí)間清晰地出現(xiàn)于計(jì)算機(jī)的存儲(chǔ)器中，因而"高水平"的不法分子竊取并利用這些重要信息十分容易，所以采用由工業(yè)計(jì)算機(jī)搭建的硬件平臺(tái),保障了整個(gè)系統(tǒng)的安全。 2．整個(gè)系統(tǒng)實(shí)用可靠： 工業(yè)計(jì)算機(jī)是基于PC總線的工業(yè)計(jì)算機(jī),能滿足綜合業(yè)務(wù)系統(tǒng)的實(shí)際需要，運(yùn)行可靠穩(wěn)定。 3．整體化的系統(tǒng)設(shè)計(jì)： 系統(tǒng)不僅依靠獨(dú)立的安全保密設(shè)備，而且從整個(gè)防火墻系統(tǒng)的安全角度進(jìn)行考慮，進(jìn)行了整體化的設(shè)計(jì)，保證了系統(tǒng)的安全性、保密性。 4．使用方便、操作簡(jiǎn)單、維護(hù)方便。