经典防火墙的操作指导书

2 Eudemon200防火墙的特点

Eudemon200防火墙，是我司推出的网络安全产品的重要组成部分，开发的时候就比对着Netscreen/PIX等在市场上领先的网络安全产品，提供了比较丰富的功能。作为一个新形态的产品，在防火墙上我们提出了一些新的概念，这是不同于以前的路由器产品的，在下面的部分中，首先对防火墙独有的概念及其相对于路由器的一些优点做一个描述。

2.1 基于状态的防火墙

Eudemon200防火墙是我司推出的状态防火墙。所谓状态防火墙是指防火墙可以根据通过防火墙的连接的状态动态的作出决定是否允许报文通过。像TCP连接的三次握手这种状态属于网络协议的第四层，而FTP控制命令中有没有传递PASS命令这种状态属于网络的第七层，需要应用层网关的支持才能处理。Eudemon200防火墙就是一款支持应用层网关的状态防火墙。举个最简单的例子来说明报文通过防火墙的过程：

首先报文到达防火墙，防火墙首先检查是否针对这个报文已经有会话表存在

如果有，根据会话表中的信息，在进行必要的处理之后，防火墙将转发这个报文

如果没有找到表项，防火墙会对这个报文进行一系列检查，在诸多检查都通过之后，防火墙会根据这个报文的特征信息，在防火墙上建立一对会话表项，以便这个会话的后续报文可以直接通过防火墙。建立一对表项的目的是为了针对这个会话的反方向的回应报文也可以顺利的通过防火墙，这样用户就不需要既考虑报文的发送也考虑报文的回应消息，可以专心设计安全策略。

对于FTP/H323等需要协商数据通道的应用协议，用户只需要配置允许该协议最基本的控制通道的连通，在这个控制通道上协商出来的所有数据通道，防火墙都会预先为其建立好通过防火墙的表项。而以前的包过滤防火墙，必须用繁杂的ACL来保证这些协议数据通道的连通，还不可避免的会留下安全漏洞。

2.2 安全域概念介绍

2.2.1 防火墙的域

对于路由器设备，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查，以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适，防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害，有着明确的内外之分。当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，可能会造成用户在配置上的混乱。