計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，使得全球信息化成為社會(huì)發(fā)展的趨勢(shì)，但是由于計(jì)算機(jī)網(wǎng)絡(luò)連接形式的多樣性、終端分布不均勻和網(wǎng)絡(luò)的復(fù)雜性等特點(diǎn)，導(dǎo)致某些網(wǎng)絡(luò)很容易受到黑客(Hacker)的攻擊，從而給社會(huì)秩序、國民經(jīng)濟(jì)等領(lǐng)域帶來很多麻煩。在涉及國家安全領(lǐng)域時(shí)，網(wǎng)絡(luò)安全問題尤其突出，如公共安全、國家財(cái)政等。對(duì)今天的社會(huì)來說，網(wǎng)絡(luò)信息安全已經(jīng)成為一個(gè)至關(guān)重要的問題。

北航電子信息工程學(xué)院開發(fā)的防火墻目前具有兩個(gè)系列：

1）基于X86架構(gòu)的路由模式防火墻；

2）基于NP架構(gòu)的透明模式防火墻。

兩款產(chǎn)品均為Internet網(wǎng)和內(nèi)部局域網(wǎng)之間設(shè)置的安全裝置，用于保證內(nèi)部網(wǎng)數(shù)據(jù)不被外網(wǎng)非法用戶盜竊和破壞，使內(nèi)部局域網(wǎng)與Internet網(wǎng)或者與其他外部網(wǎng)絡(luò)互相隔離，從而增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。

系統(tǒng)主要組成部分：

1) 防火墻操作系統(tǒng)為裁減的Linux操作系統(tǒng)，上面運(yùn)行必要的網(wǎng)絡(luò)服務(wù)和系統(tǒng)服務(wù)、防火墻服務(wù)、雙機(jī)熱備服務(wù)等。

2) 基于遠(yuǎn)程GUI/CGI的防火墻管理系統(tǒng)：防火墻管理系統(tǒng)包括兩部分，防火墻端服務(wù)進(jìn)程和管理控制臺(tái)。

3) 日志管理系統(tǒng)：防火墻機(jī)上運(yùn)行日志發(fā)送守護(hù)進(jìn)程，它將所有的系統(tǒng)日志進(jìn)行加密打包后發(fā)送到日志服務(wù)器上的日志接收軟件。提供給用戶的日志管理審計(jì)平臺(tái)可以讓用戶通過日志管理軟件可以對(duì)系統(tǒng)安全日志和管理日志進(jìn)行查詢和審計(jì)，并且管理日志接收和相關(guān)配置。

3.1 基于X86架構(gòu)的路由模式防火墻

基于X86架構(gòu)的防火墻，實(shí)現(xiàn)基于狀態(tài)的包過濾功能；使用GUI的管理配置方式，用戶安裝管理配置軟件，圖形界面配置非常簡單；具有路由模式的網(wǎng)關(guān)代理功能；記錄日志并可查詢審計(jì)。

性能參數(shù)如下：

過濾帶寬： 100 MB

用戶數(shù)： 不限制

并發(fā)連接數(shù)： 100,000 連接

VPN：支持

控制方式：GUI/超級(jí)終端

H323：支持

雙機(jī)熱備：支持

MAC/IP綁定

支持地址和端口映射

系統(tǒng)快速啟動(dòng)

LCD狀態(tài)顯示

圖1 防火墻系統(tǒng)軟件結(jié)構(gòu)圖

圖2 防火墻典型應(yīng)用圖

3.2 基于NP架構(gòu)的透明模式防火墻

基于NP架構(gòu)的透明模式防火墻，實(shí)現(xiàn)基于狀態(tài)的包過濾功能，使用BS模式的網(wǎng)絡(luò)瀏覽器管理配置功能，用戶無需安裝任何軟件。具有透明模式的網(wǎng)橋功能，安裝無需更高網(wǎng)絡(luò)配置。記錄日志并可查詢審計(jì)。

性能參數(shù)如下：

過濾帶寬： 100 MB

用戶數(shù)： 不限制

并發(fā)連接數(shù)： 100,000 連接

VPN：支持

控制方式：CGI/超級(jí)終端

H323：支持

雙機(jī)熱備：支持

MAC/IP綁定

支持地址和端口映射

系統(tǒng)快速啟動(dòng)

4、應(yīng)用與市場(chǎng)前景

近年來，國家有關(guān)部門逐步重視網(wǎng)絡(luò)信息安全問題，建立了相應(yīng)的機(jī)構(gòu)，發(fā)布了有關(guān)的法規(guī)，以加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全的管理。2000年1月，國家保密局發(fā)布的《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》已開始實(shí)施；2000年3月，中國國家信息安全測(cè)評(píng)認(rèn)證中心計(jì)算機(jī)測(cè)評(píng)中心宣告成立；2000年4月，公安部發(fā)布了《計(jì)算機(jī)病毒防治管理辦法》；2000年7月，我國第一個(gè)國家信息安全產(chǎn)業(yè)基地在四川省成都高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)奠基；2000年10月，信息產(chǎn)業(yè)部成立了網(wǎng)絡(luò)安全應(yīng)急協(xié)調(diào)小組，國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理工作辦公室主辦了“計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急工作企業(yè)級(jí)研討會(huì)”，這一切都反映出我國對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全的高度重視，以及努力推動(dòng)我國信息安全產(chǎn)業(yè)發(fā)展、提高我國信息安全技術(shù)水平的決心。

近兩年安全軟件的市場(chǎng)一直保持著較大幅度的增長率。根據(jù)統(tǒng)計(jì)，2000年，我國網(wǎng)絡(luò)安全軟件市場(chǎng)保持了良好的增長態(tài)勢(shì)，銷售總額達(dá)7.1億元。從產(chǎn)品結(jié)構(gòu)看，殺病毒軟件和防火墻是網(wǎng)絡(luò)安全軟件市場(chǎng)中主要的安全產(chǎn)品，二者占據(jù)了網(wǎng)絡(luò)安全軟件市場(chǎng)份額的70.4%，而安全認(rèn)證、信息加密等產(chǎn)品的市場(chǎng)份額相對(duì)較小，但隨著今后國家各行業(yè)信息化建設(shè)對(duì)于網(wǎng)絡(luò)安全整體解決方案需求的增加，將會(huì)有較大的增長。并且北京市將信息安全作為重點(diǎn)扶持的行業(yè)。

5、結(jié)束語

隨著時(shí)間的推進(jìn)，防火墻產(chǎn)品的演進(jìn)并不會(huì)放慢速度，反而產(chǎn)品的豐富程度和推出速度會(huì)不斷的加快，這也反映了安全需求不斷上升的一種趨勢(shì)，北航電子信息工程學(xué)院將會(huì)緊跟安全需求不斷研發(fā)出高性能的產(chǎn)品，并且不斷擴(kuò)展產(chǎn)品種類，適應(yīng)高速發(fā)展的信息安全的需要。

圖3 防火墻GUI遠(yuǎn)程管理界面圖

圖4 基于NP架構(gòu)的防火墻硬件圖