一、主要特性简介

目前的防火墙暂时定型号为Bricks-FW-2001型号，简称BF2001。
产品的销售策略是采用OEM为主，开发单位不经营自己的品牌，由专业的网络安全公司或网络设备供应商负责市场运作。

防火墙产品的实质是一种管理能力强大的路由器。BF2001的特点是具有一般的标准的NAT（地址伪装）和包过滤功能的防火墙的功能，此外具有3个特点：
1、远程安全管理，通过WEB进行的远程安全管理支持128位的SSL加密，每个防火墙有单独的数字证书，特别方便非用户把网络安全业务安全地委托给技术支持能力强大全面的专业网络安全服务商。
2、多个网络接口，能使多个安全级别各不相同的网络采用各不相同的安全策略进行连接和路由管理。基本型有4个以太网络接口，能在网络最底层划分4个网络区域，建立连接4个网络区域的路由表。扩展型有将支持8个甚至16个接口。
3、可扩展的硬件加密的VPN支持。用户可以在需要的时候在标准型平台上直接升级高效率和高安全性的硬件VPN通道。拥有硬件端口和VPN的升级能力使用户在网络安全上的投资能得到有效的保护和升值。

BF2001拥有与高档防火墙相当的全面管理能力，而其硬件平台是建立在标准PC平台上，因此带宽性能虽然不能与售价数十万元的高档防火墙相比，但是拥有4个基本的100M以太网接口的BF2001完全能满足10M以下Internet接入的用户的要求，内部不同网段之间的交换速度也能满足国内的绝大部分的端网接入的用户的网络安全业务的需要，是一款用途非常广泛的路由和防火墙产品。

返回目录

二、BF2001的功能

1、控制及配置： 支持WEB配置（128位加密验证）,另外支持串口超级终端配置
2、独立的多个可以任意定义的WAN端口、LAN端口、DMZ端口，灵活的分配真实IP和私有IP。
3、静态路由：支持针对WAN口、DMZ口、各种安全级别的LAN口三种端口的静态路由功能。
4、安全策略：安全策略分为"一般策略"和"高级策略"。在"一般策略"中可以针对协议端口号禁止或允许内外网的通信；在"高级策略"中，可以针对IP、协议、端口号、数据流向实现更严格细致的数据包过滤规则。高级策略作用于一般策略之上。安全策略的基础是BF2001达到了能控制和管理经过其路由的每一个数据包。
5、DMZ Service：存在于DMZ区的服务器，可以按协议和端口号开启服务，未开启的服务不能被外网访问。
6、系统日志：通过在局域网内PC上运行日志监控软件，可以获得详细的系统日志，并可以进行多项流量统计及分析。
7、备份及恢复：根据需要可以多次将系统配置进行备份，并在需要时进行恢复。
8、拨号功能：1500支持MODEM和ISDN拨号上网，可以在必要时作为主链路的冗余链路。
9、DHCP 服务：1500可以作为局域网的DHCP SERVER，对网络内工作站动态分配IP。
10、URL BLOCKING：实现对特殊站点的封锁。
11、防DOS攻击。
12、直观的状态监测及便捷的升级管理。
13、支持SNMP和RIP。

返回目录

三、典型应用举例

小王是一家贸易公司的信息主管，随着业务的发展和网络技术的应用，公司的业务越来越离不开上网，而原来分散布置的拨号上网既缺乏效率又非常危险，公司不可能把每个人都培养成网络安全高手。小王本人就主要负责数据库系统的维护和管理。在这种情况下，为了保护公司的信息资产，决定请网络安全服务的公司来帮助建立信息安全的基本体系。于是开始了安全系统的建设过程。下面就围绕BF2001的典型应用介绍如何利用防火墙带来的安全上的好处。

返回目录

第一阶段：构建基本的系统

小王有一个朋友小高正好是在这样的能提供安全服务的公司工作，于是他聘请小高做安全顾问，帮助解决网络安全的问题。
小高发现小王他们目前有十几台PC上网，有些通过Windows下的代理，有些自己拨号，于是与小王商量，提供了第一次的安全业务咨询：

王：目前我们有什么急需采取的措施？
高：首先禁止所有分散的拨号上网，统一使用代理。所有用户和服务器的共享目录都设置密码。

王：下一步我们采用什么进一步的措施？
高：购买一个专用的防火墙，把内部网络和外部网络隔开，进行安全控制。

王：统一使用代理不就已经起到隔离外部网络对内部网络的访问？
高：确实如此。但是这种隔离有下面的缺点：
1、 隔离用的是标准Windows平台，本身的安全性和稳定性就有问题；
2、 代理软件的控制功能有限，可能导致一些网络软件不能使用，提供的安全管理功能也极有限。

王：市场上销售的支持ISDN和ADSL的小的接入设备，售价只有数千元，也有简单的路由和防火墙功能，而且是专用的平台，是否能满足我们的要求？
高：它能满足你目前很有限的要求。这些设备的问题是：
1、 带宽不能充分发挥，由于小设备的处理能力有限，因此在处理比较多的用户请求时，会造成丢包率大幅上升，甚至导致网络连接恶化和崩溃，因此只能适应十几个用户的要求，一旦网络扩展就很快丧失使用价值；
2、 管理功能有限，只支持最简单的路由和防火墙功能；
3、 不支持远程安全管理和带加密的VPN功能。
4、 一般最多只有两个以太网接口，很多产品只有一个以太网接口和一个窄带接口。
总之，这样的设备一般只适合家庭用户。

王：我们是否需要购买最高级的防火墙产品？
高：首先应该不需要用于骨干网络的高端防火墙设备，数十万的设备虽然支持千兆的连接，但是相信你们公司规模即使扩大10倍也不用不着。
王：那么什么样的防火墙产品适合我们这样的商用用户？
高：应该是一款投资成本适当，性能能满足相当一段时间的要求，有足够的升级和扩充能力，管理方便安全的产品。这类产品的售价一般在3~6万元之间。

小王对网络安全投资的第一阶段计划得到了批准，购买了BF2001的基本型，上网的线路也升级到了1M的ADSL。BF2001的4个100M接口胜任有余。在小高的指导下建立了下面的使用防火墙做基本安全措施的网络：

防火墙隔离了内部和外部网络，内部网络通过地址伪装访问外部网络，内外的所有地址、服务都可以控制和统计。为了安全需要，一般来自外部的网络请求无法达到内部。

返回目录

第二阶段：远程安全管理

小王负责公司日常业务的维护和管理已经非常忙了，短时间内不可能完全掌握和了解防火墙管理的大量专业知识，而防火墙系统一旦建立完全可以稳定运行相当长的时间，大部分公司为此专门设置一个职位是不可能的。

王：我们需要把防火墙的管理委托给网络安全顾问，你能经常管理和检查防火墙吗？
高：没有问题，我可以通过远程管理的功能管理和维护你们的防火墙，这样你们只需要付很少的服务费而不需要聘用一个网络安全专家。

王：听说任何通过公共网络的信息都有可能被黑客截获，远程管理安全吗？
高：看看这张图，远程管理如果是明文传送确实存在这个问题：

但是当我们使用加密手段传送管理信息时就可以保证远程管理的安全。从内部网络对防火墙进行管理也需要加密支持，否则同样存在被内部其他计算机截获管理口令和信息的可能。
　　　　

返回目录

第三阶段：建立中立区

小王的公司业务发展得很快，需要给用户提供越来越多的数据服务，而这些服务需要与一个用户数据库连接，通过WEB来进行。因此决定在公司架设对外提供服务的服务器。

王：我们需要对外提供服务，而又不能开放内部网络。
高：没有问题，你们可以通过BF2001的任意一个空闲的端口建立一个新的子网段，向外部提供指定的服务，而内部网络能通过防火墙对这个区域的各种服务器进行维护。显然中立区的安全性高于外部网络，而内部网络的安全性最高。

　　　　

但是当我们使用加密手段传送管理信息时就可以保证远程管理的安全。从内部网络对防火墙进行管理也需要加密支持，否则同样存在被内部其他计算机截获管理口令和信息的可能。
　　　　



第三阶段：建立中立区

小王的公司业务发展得很快，需要给用户提供越来越多的数据服务，而这些服务需要与一个用户数据库连接，通过WEB来进行。因此决定在公司架设对外提供服务的服务器。

王：我们需要对外提供服务，而又不能开放内部网络。
高：没有问题，你们可以通过BF2001的任意一个空闲的端口建立一个新的子网段，向外部提供指定的服务，而内部网络能通过防火墙对这个区域的各种服务器进行维护。显然中立区的安全性高于外部网络，而内部网络的安全性最高。



返回目录

第四阶段：进一步建立不同的安全级别的内部区域

王：公司的电脑数量越来越多，我们的管理和运行越来越离不开办公网络环境。前几天发生了财务数据被其他部门的员工下载的事件。防火墙能对来自外部的安全进行隔离，但是内部好象就无能为力。
高：一般的防火墙对内部网络的安全是没有什么贡献的。对于大部分的公司来说，不幸的是最大的安全问题多半来自内部。

王：能否有一个简便易行的方法，让我们公司那些最需要保护的财务和领导的机器不受内部其他计算机的威胁？要知道领导和财务人员只会操作计算机上的简单的财务、文字处理以及邮件软件，肯定不能成为计算机高手。
高：可以利用BF2001的扩展的网络接口，建立不同级别的安全子网，把领导和财务的计算机隔离在一个单独的安全级别最高的区域内，允许他们访问公司的办公局域网以及中立区和Internet，但是不允许其他所有的网络向这个区域发出访问请求。
　　　　


王：太好了。这下我们的防火墙的各个接口都得到了充分的利用。对了，要是将来还需要扩展怎么办？
高：很快就可以买到BF2001的扩展模块，可以在4个100M接口的基础上增加4~8个10M的接口。明年就将有4~8个的100M接口模块可以提供。我还发现有的用户特别是向外提供办公室出租的用户为了方便不同客户上网而又分别隔离，利用BF2001建立几个互相独立但公用一个宽带网络出口的的网络结构。

　　　　

王：看来这款防火墙可以适应很灵活的需要。
高：是的。我们发现有安全需要的用户往往是利益和权利一致的一小组人，因此BF2001的设计并不追求高成本的集中的大吞吐量，而是着重一种“安全需要细分”的设计思想，让用户能建立灵活的各种安全区域，达到既隔离外部也限制内部的要求。

返回目录

第五阶段：VPN的应用

王：我们公司的业务发展很快，现在已经有比较有规模的分公司了，分公司上网也用上了BF2001。分公司在别的城市，我们发现仅仅使用电子邮件的联系既不方便又不安全。能否让分公司的内部网络的计算机安全地访问位于总公司内部网络的数据库和WEB服务器？当然不要太麻烦，最好象本地操作一样。
高：当然能。通过VPN技术可以实现透明的访问，访问远程的防火墙后面的服务就象在本地一样。BF2001支持软件和硬件VPN。

王：软件和硬件VPN有什么区别？
高：最大的区别在效率上，其次是成本。显然软件的成本低，但是软件在处理VPN需要的大流量的数据加密十依赖防火墙系统的负责管理的通用CPU，运算的效率很低，一般只能保证几K到十几K的很低的速率。硬件VPN的特点是可以使用专用的加密运算处理器，大大提高VPN的加密通道的效率，可以很容易满足10M甚至更高的要求。BF2001可以扩展硬件VPN模块。

王：能否建立不需要加密的VPN通道？
高：当然可以，但是那样以来内部数据必然要以明文的方式在不受自己控制和信任的公共网络上传输，这样的VPN系统是没有实用价值的。
　　　　


返回目录

第六阶段：捆绑更多的网络安全服务

王：公司的下一步计划搞更多的电子商务的具体应用，提高整体效率。围绕BF2001还能提供那些安全服务？
高：防火墙平台本身需要坚固、高效，因此不宜在防火墙系统平台本身上架设过多的具体服务。但是由于BF2001提供丰富的接口，我们将逐步推出支持多种“外挂服务”，比如：
1、支持第三方的电子邮件病毒过滤；
2、支持对内部向外发送的电子邮件的备份和监控,减少由于不当的邮件信息造成商业机密的泄露；
3、提供对网络运行的整体状况的分析工具，帮助用户了解网络的整体使用状况的全局和每一个细节，对各种流量和服务数据进行统计和分析；
4、建立入侵扫描报警系统。

返回目录