引导案例

某集团公司，随着业务的发展对信息化的依赖逐渐提高，信息化的高效率也为该集团的快速发展提供了有力的保障。企业的核心系统如OA、ERP、财务系统等均已实现网络应用、异地互连的状态，可以让员工随时随地访问，极大地提升了办公效率。以前需要跑来跑去几天才能完成的纸质文件办公方式，现在1个小时就可以圆满完成。

然而，该集团虽然很注重自身信息化平台的建设，但却忽略了网络安全，集团核心网使用了各种高档交换、路由设备，但没有部署包括防火墙在内的任何网络安全产品。因为接入了互联网，企业的核心应用系统在2009年被黑客入侵，后来经过专业公司的调查，发现这个有心计的黑客其实早已入侵该集团网络，一直处于潜伏窃取集团资料的状态，在该集团的一次商业竞标中，才发现竞争对手竟然已经非常了解自己的投标机密。

于是，该集团公司第一次意识到了问题的严重性，随后集团聘请了专业的网络安全技术公司，对该集团的网络、信息资产、业务等内容进行了全面的风险评估，并提出了包括使用防火墙、VPN、入侵防御等技术手段来提高该集团的网络安全级别。该集团于2009年年底，完成了一期的网络安全建设，在集团总部及下属数十家单位的互联网出口，全面部署了防火墙系统，通过防火墙系统实现了对集团总部及其下属单位与互联网之间的访问控制，极大地提升了抵御互联网攻击、入侵的能力，同时通过防火墙系统的部署，实现了对网络应用办公流量的控制，提升了集团互联网办公带宽的利用效率。根据防火墙的日志记录，自一期项目完成后，防火墙已经成功抵御过数次来自互联网针对该集团应用系统的攻击入侵行为。

……

2010年年初，某政府行业用户，在某区域40余个区县，完成了50余台防火墙设备的部署，实现了对这50余个直属单位网络的安全访问控制，提升了其网络的整体安全性。使其日常办公应用的安全性与稳定性得到了全面提升。

2009年年底，某国防单位，在全国范围内实施了一次网络边界防护项目，在该单位专网上，为每个接入点接入边界部署了一套防火墙系统，使每个接入点在访问总部或被其他节点访问时的网络流量均能被部署的防火墙系统进行检测和控制，极大地提升了整体网络及节点网络的安全性，其应用系统因违规网络流量带来的故障率由原来的5%直线降低到0.5%。

2009年年初，某大型企业，为提高企业网络使用效率、降低网络病毒感染率及遭受网络攻击的可能性，在企业互联网边界及内部服务器区域边界，部署了多功能防火墙系统，系统部署后大大地降低了网管人员的日常工作强度，全面提升了互联网带宽的利用效率，在潜移默化中为企业带来了无形的价值收入。

……

防火墙（Firewall）系统作为采用访问控制过滤技术的代表产品已经被越来越多的用户认可，其作为网络安全最基本、经济、有效的手段之一，通常部署在内、外两个网络（或多个网络）或者两个网络安全域的边界处，对经过防火墙系统的数据进行检测、判断是否符合制定的通信策略，决定是否进行数据转发，有效地对内、外网络实施隔离，严格保护内部网络不受非授权信息的入侵和访问。防火墙可以实现内、外网或不同信任域之间的网络隔离与访问控制。同时，它也是任何一个网络安全建设必不可少的安全产品。据有关数据统计，防火墙的建设会使整个网络的安全风险降低90%。

在最近10年的用户信息安全项目调研中发现，不管是政府、企业还是金融、军队等，各个行业在自己的网络安全建设中，均将防火墙的部署作为网络安全建设的第一步，可见防火墙在实际应用中的意义之大。为能让大家全面地了解防火墙技术、产品及其技术发展状况，本章将对防火墙进行全面的介绍，配合实际操作让大家加深印象，并达到可以独立完成防火墙产品部署方案设计及产品实际部署配置的目的。