浅析防火墙类产品的归类要点

果子

Internet的发展给政府机关、企事业单位带来了革命性的改革和开放。通过Internet，政府机关、企事业单位可以从异地取回重要数据，但同时它们也要面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机入网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理的无政府状态，逐渐使Internet自身的安全受到严重威胁。为了保证网络的安全，防止发生不可预测的、潜在破坏性的侵入，防火墙作为被保护网络和外部网络之间的屏障应运而生。

　　随着科学技术的不断发展，防火墙也产生了许多种不同的类型，这许多种不同的类型在性能、价格等方面有不同的特点。所以，在企业申报该类产品的过程中，经常出现商品在归类上的差错或造成海关对其商品价格在审核上的困难，从而给企业在通关过程中增添不必要的麻烦。去年，北京口岸进口各类防火墙金额高达近1亿元人民币，征收关税近500万元人民币。为此，根据总署《通关作业改革指导方案》的有关精神，为了给企业创造良好的通关环境，提高审单关员的审单能力，促进专业化审单队伍的建设，笔者试图从海关监管的角度，讨论这种商品：

　　一、 防火墙的定义

　　防火墙，英文名称为Firewall，是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

　　二、使用防火墙的益处

　　1、 保护脆弱的服务

　　通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。

　　2、 控制对系统的访问

　　防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。

　　3、集中的安全管理

　　防火墙对企业内部网实现集中的安全管理，在防火墙内定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

　　4、增强的保密性

　　使用防火墙可以阻止攻击者获取攻击网络系统的有用信息。

　　5、记录和统计网络利用数据以及非法使用数据

　　防火墙可以记录和统计通过其的网络通讯，提供关于网络使用的统计数据，并且，防火墙可以提供统计数据，来判断可能的攻击和探测。

　　6、策略执行

　　防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时，网络安全取决于每台主机的用户。

　　三、防火墙的种类和归类

　　（一）、软件防火墙

　　这类防火墙是指运行在通用操作系统上的能安全控制存取访问的软件，这类软件基于众所周知的通用操作系统（如Win NT,SUN Solaris,SCO UNIX等），对操作系统的安全依赖性很高，其作用依靠于计算机内的CPU,内存等。但由于操作系统平台的限制，软件防火墙极易造成网络带宽瓶颈，其实际所能达到的带宽通常只有理论值的20%--70%。因此，软件防火墙只能满足低带宽低流量环境下的安全需要，在高速环境下非常容易造成整个系统的崩溃。同时软件防火墙在管理上比较复杂，要求维护人员必须熟悉各种工作站及操作系统的安装及维护，所以此类防火墙一般都有严格的系统硬件与操作系统要求。由于产品为软件，所以应按其载体确定归类，如果载体为光盘应归入8524相应子目。

　　典型产品：Check Point、Net Eyes

　　　（二）、硬件防火墙

　　硬件防火墙使用专用的芯片处理数据包，CPU只作管理之用。这类防火墙使用专用的操作系统平台，避免了通用性操作系统的安全性漏洞。它具有高带宽，高吞吐量，是真正线速防火墙（即实际带宽与理论值可以达到一致，安全与速度同时兼顾）。这类防火墙管理简单，快捷，产品外观为硬件机箱形,一般不会对外公布其CPU或RAM等硬件水平,其核心为硬件芯片。由于产品为硬件，属网络设备，因此我认为应归入85175039。

　　典型产品：NetScreen系列防火墙、WatchGuard FireboxII防火墙(见附表）

　　（三）、机箱+CPU+防火墙软件集成于一体（PC BOX 结构） 市面上大部分声称"硬件"防火墙的产品都采用这种结构。这类防火墙采用专用或通用操作系统，其核心技术仍然为软件，因此容易形成网络带宽瓶颈。所以，这类防火墙只能满足中低带宽要求，吞吐量不高。通常带宽只能达到理论值的20%--70%。中低流量时可满足一定的安全要求，在高流量环境下会造成堵塞甚至系统崩溃。这类防火墙在管理比较方便，产品外观为硬件机箱形。同硬件防火墙不同，此类防火墙一般会对外强调其CPU与RAM等硬件水平。由于此类产品仍为硬件设备，所以我认为应归入85175039。

　　典型产品：Cisco PIX防火墙、清华紫光防火墙

美食家

才知道原来还有硬件防火墙的 一直以后防火墙都是软件形式的 只看得见摸不着