引導案例

某集團公司，隨著業務的發展對信息化的依賴逐漸提高，信息化的高效率也為該集團的快速發展提供了有力的保障。企業的核心系統如OA、ERP、財務系統等均已實現網絡應用、異地互連的狀態，可以讓員工隨時隨地訪問，極大地提升了辦公效率。以前需要跑來跑去幾天才能完成的紙質文件辦公方式，現在1個小時就可以圓滿完成。

然而，該集團雖然很注重自身信息化平臺的建設，但卻忽略了網絡安全，集團核心網使用了各種高檔交換、路由設備，但沒有部署包括防火墻在內的任何網絡安全產品。因為接入了互聯網，企業的核心應用系統在2009年被黑客入侵，后來經過專業公司的調查，發現這個有心計的黑客其實早已入侵該集團網絡，一直處于潛伏竊取集團資料的狀態，在該集團的一次商業競標中，才發現競爭對手竟然已經非常了解自己的投標機密。

于是，該集團公司第一次意識到了問題的嚴重性，隨后集團聘請了專業的網絡安全技術公司，對該集團的網絡、信息資產、業務等內容進行了全面的風險評估，并提出了包括使用防火墻、VPN、入侵防御等技術手段來提高該集團的網絡安全級別。該集團于2009年年底，完成了一期的網絡安全建設，在集團總部及下屬數十家單位的互聯網出口，全面部署了防火墻系統，通過防火墻系統實現了對集團總部及其下屬單位與互聯網之間的訪問控制，極大地提升了抵御互聯網攻擊、入侵的能力，同時通過防火墻系統的部署，實現了對網絡應用辦公流量的控制，提升了集團互聯網辦公帶寬的利用效率。根據防火墻的日志記錄，自一期項目完成后，防火墻已經成功抵御過數次來自互聯網針對該集團應用系統的攻擊入侵行為。

……

2010年年初，某政府行業用戶，在某區域40余個區縣，完成了50余臺防火墻設備的部署，實現了對這50余個直屬單位網絡的安全訪問控制，提升了其網絡的整體安全性。使其日常辦公應用的安全性與穩定性得到了全面提升。

2009年年底，某國防單位，在全國范圍內實施了一次網絡邊界防護項目，在該單位專網上，為每個接入點接入邊界部署了一套防火墻系統，使每個接入點在訪問總部或被其他節點訪問時的網絡流量均能被部署的防火墻系統進行檢測和控制，極大地提升了整體網絡及節點網絡的安全性，其應用系統因違規網絡流量帶來的故障率由原來的5%直線降低到0.5%。

2009年年初，某大型企業，為提高企業網絡使用效率、降低網絡病毒感染率及遭受網絡攻擊的可能性，在企業互聯網邊界及內部服務器區域邊界，部署了多功能防火墻系統，系統部署后大大地降低了網管人員的日常工作強度，全面提升了互聯網帶寬的利用效率，在潛移默化中為企業帶來了無形的價值收入。

……

防火墻（Firewall）系統作為采用訪問控制過濾技術的代表產品已經被越來越多的用戶認可，其作為網絡安全最基本、經濟、有效的手段之一，通常部署在內、外兩個網絡（或多個網絡）或者兩個網絡安全域的邊界處，對經過防火墻系統的數據進行檢測、判斷是否符合制定的通信策略，決定是否進行數據轉發，有效地對內、外網絡實施隔離，嚴格保護內部網絡不受非授權信息的入侵和訪問。防火墻可以實現內、外網或不同信任域之間的網絡隔離與訪問控制。同時，它也是任何一個網絡安全建設必不可少的安全產品。據有關數據統計，防火墻的建設會使整個網絡的安全風險降低90%。

在最近10年的用戶信息安全項目調研中發現，不管是政府、企業還是金融、軍隊等，各個行業在自己的網絡安全建設中，均將防火墻的部署作為網絡安全建設的第一步，可見防火墻在實際應用中的意義之大。為能讓大家全面地了解防火墻技術、產品及其技術發展狀況，本章將對防火墻進行全面的介紹，配合實際操作讓大家加深印象，并達到可以獨立完成防火墻產品部署方案設計及產品實際部署配置的目的。