企业级防火墙的设计与实现,企业级防火墙的设计与实现,企业级防火墙技术现状,以华为SecPath 系列防火墙为例： 自适应代理技术是在商业应用防火墙中实现的一种创 新性的技术。组成这类防火墙的基本要素有两个：自适 应代理服务器与动态包过滤器。 优势：功能完善、管理方便,现在企业级防火墙产品的劣势,价格昂贵，一般中小企业部门，难以承担。 例子：H3C SecPath F1000-E 价格 ￥20万 造成的现状： 很多企业缺少网络防护工具-防火墙，信息安全存在严重隐患,Linux防火墙,netfilter/iptables是Linux系统提供的一个非常优秀的防火墙工具，它完全免费、功能强大、使用灵活、占用系统资源少，可以对经过的数据进行非常细致的控制。还可以进行网络地址转换（NAT）、数据包（package）记录、流量统计等。 iptables提供了强大的规则适配，被良好的应用于企业环境 它可以代替昂贵的商业防火墙解决方案,Linux防火墙存在缺陷,A.手工配置复杂、维护困难 若对高级的配置（如进行数据流路由、地址伪装或地址转换，或者使拥有很多接口，并且每个接口都需要复杂规则的服务器），就必须手工编写IPTable规则 例： 禁止客户机访问不健康网站playboy： iptables -I FORWARD -d -j DROP B.现有的Linux防火墙工具（firewall builder、starfilter等、）难以应对复杂的企业应用环境，没有充分利用netfilter的强大规则库。,我所要做的,1编制iptables规则 2采用web方式对规则管理，从而达到对防火墙的管理 3对防火墙的日志进行管理,可行性分析,1 iptables配置完毕，规则修改实验证明没有问题 2 采用LAMP（Linux、apache、Mysql、PHP）实现web管理，用php调用iptables相应的规分离再读有过linux取则命令，完成对规则的修改，同时将修改的规则写入Mysql数据库中。已经有过linux部署、开发经历，这个也应该没有问题 3 对iptable日志有过linux采用先分离再读取的方式，开发经历，这个也应该没有问题,现实意义,1 为中小企业提供防火墙解决方案 2 可以对Linux系统进行裁剪，改进netfilter，打造拥有自主知识产权、软硬结合的防火墙,