企业信息作为企业生存发展最重要的资源之一,其机密性和安全性都是企业用户最为关心的问题。如何在迅速发展的网络科技世界中不受各种各样病毒的侵略和防止黑客对企业网络的恶意攻击、泄露企业信息等阻碍企业发展的问题,是企业用户迫切需要解决的,这就对企业网络环境的安全性提出了高要求。
提高网络环境的最佳方案就是增添防火墙设备。首先来了解一下防火墙的定义:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。而对于企业网络环境的实际应用,更为常见的是硬件防火墙,这也是我们今天要介绍的,它拥有更全面、更高效、更完整的安全性能。
硬件防火墙选购因素
防火墙本身的安全性
由于防火墙本身会暴露在网路访问之下,所以其自身的安全性是一个应该优先被考虑的问题。产品本身所采用的系统架构是否健壮、是否存在安全漏洞、是否有被拒绝服务攻击击溃的历史等,功能和配置上是否可以处理IP欺骗、口令猜测等常见的攻击手段,这些都是衡量标准。另外还需注意的是考察防火墙所支持的认证方式,支持方式较为广泛、与网内认证措施协同较好的产品无疑具有更高的安全性。
数据处理性能
作为选购的最重要参考项目,硬件防火墙的数据处理性能的核心主要是防火墙处理数据包的能力。吞吐率、转发率、丢包率、缓冲能力和延迟等都是衡量硬件性能的标准。当然,防火墙在包处理时采用的算法等因素也会在很大程度上影响防火墙在实际使用中的性能表现,这也是选购应考虑的因素。
可管理性
一款防火墙的配置管理是否容易直接决定了安全管理员的工作量,也是防火墙产品能否很好应用的重要保障。非常复杂凌乱的配置很容易造成安全策略实现上的错误,埋下安全隐患,要是在这样复杂的信息环境下,管理成本和维护成本的增加会消耗掉企业很大的开支。
日志能力
任何安全系统都有被攻破的可能,对于攻击者来说,最大的安全威慑不是部署何种安全装备,而是在攻击行为发生后,被攻击方是否有足够的证据和信息提出法律诉讼,所以在关心了功能和性能方面的参数之后,一定不要忽略防火墙产品的日志处理能力,一款日志功能强大的防火墙,记录的项目应比较全面,可以有效的防范日志被窜改,并能利用多种途径将日志数据定期备份到指定机器;同时,要考察防火墙产品的日志查看能力,包括查看途径的多少、信息显示的合理性等。
产品兼容性
信息安全的保障需要依赖设计良好功能完整的体系,单单靠一种产品是无法解决所有问题的,所以在选购安全产品的时候应注意该产品与其它安全部件以及现有设备之间的兼容性,否则购买之后如果在整体环境中造成冲突,将极大浪费宝贵的安全投资。象防火墙这种通用的产品,在行业内通常都有很多开放式接口,用于产品开发者处理不同厂商和不同类型产品的互连问题。绝对不是一种产品就能全部解决问题的,很多厂商在开发不同的产品时根本就没有考虑系统互操作的问题。
防火墙基础原理
防火墙技术
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。透明,传输性能高的包过滤技术是一种简单、有效的安全控制技术。包过滤技术通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。由于采用了记录生成状态表的做法,检测时可直接通过散列算法检测后续数据包,使得性能得到了较大提高,加上状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
防火墙工作原理
包过滤防火墙
包过滤防火墙是用以简单的过滤用户定义的内容,如IP地址。包过滤防火墙系统只在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但作为系统对应用层信息无感知,无法识别通信的内容,可能被黑客所攻破,因此,包过滤防火墙的安全性有一定的缺陷。
应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙的可伸缩性差,他是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。还有,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,并在此基础上在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理,不仅仅考察进出网络的数据包。可以说,状态检测包过滤防火墙规范了网络层和传输层行为,大大提高了安全性。
复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
比较四类防火墙,包过滤防火墙和应用网关防火墙还属于初级防火墙,对应规模不大的中性企业使用,而状态检测防火墙和复合型防火墙则拥有更强的安全性,大规模的企业或其他部署使用。
硬件防火墙产品推荐
中怡数宽PROcon5 参考价:5000元
面对价格高高在上的专业级的硬件防火墙产品,PROcon5是中怡数宽专门推出的针对于普通中小企业应用的硬件防火墙产品。产品全线防火墙都采用了红色的设计,颜色非常夺目,金属的外壳使防火墙更好地散热。可分为SAFEcon和PROcon,区别在于SAFEcon多了VPN的功能。
PROcon5拥有一个WAN口和四个LAN口,RESET口用于还原设备出厂设置,设备着手感觉较重。产品定位于中小企业,具有专业、稳定、高速三大特点。带机数量最多为200台电脑,最高吞吐量高达100M,可对蠕虫等病毒的攻击进行有效防御;另外,其利用Stateful Packet Inspection (状态分组检查)技术对传输的数据进行监测,可有效提高数据的安全性。其内建的SPI、DoS防火墙,在阻止绝大多数黑客攻击的同时,也保证了自身的安全,并且拥有完善的日志功能。新版本还多了以下功能,专用的网络核心M3E,提升速度功效3倍多;深层检测防火墙技术,多正反双向网页过滤;分时段组别封闭QQ,商用控管MSN使用;MAC严格绑定验证,40组地址列表型管理。
NetScreen-5GT-008 参考价:4500元
NetScreen-5GT产品是特性丰富的企业级网络安全解决方案,集成了多种安全功能 — 状态和深层检测防火墙、IPSec VPN、拒绝服务防护、防病毒和Web过滤等。NetScreen-5GT产品支持拨号备份或双以太网端口,可提供冗余的互联网连接,以确保关键的网络正常运行时间。对于应用层保护,NetScreen-5GT产品支持嵌入式病毒扫描,帮助消除网络病毒威胁。此外,NetScreen-5GT还提供集成Web过滤功能,通过控制与业务无关的网上冲浪来优化生产率和带宽利用率。通过扩展(Extended)许可,NetScreen-5GT产品还能提供设备冗余和网络分段。 NetScreen-5GT ADSL产品提供与NetScreen-5GT相同的集成安全功能以及一个附加的ADSL接口。NetScreen-5GT ADSL消除了对外部ADSL调制解调器的需要,同时降低了服务供应商和大型分布式企业的前期硬件购置成本和后期运行成本。
NetScreen-5XT设备是企业级网络安全解决方案,集成了状态检测和深层检测防火墙、IPSec VPN和DoS缓解技术。它支持拨号备份或双以太网端口,用于冗余的互联网连接。NetScreen-5XT产品已经通过Common Criteria和FIPS认证。该设备设计用于广泛分布式企业的安全部署或服务供应商管理的安全业务。
NESCO(广磊科技) BV-603 参考价格:13000元
NESCO BV-603是一款面向中小型企业的硬件防火墙,它是一款嵌入式操作系统,不需要在计算机上安装专用软件,只需要浏览器就可直接管理防火墙的各种设置。这款防火墙的最大并发连接数达到了3万个,没有对计算机连接数提出限制。
这款防火墙的管理功能比较出色,它能设定群组,管理员可将公司的各个部门分成各个群,方便于管理。这款防火墙提供的工作排程功能可以通过管理员设置,达到上下班等各种不同情况的防火墙使用状态。在安全性方面,NESCO BV-603有不错的表现,它能通过状态封包检查技术过滤防火墙到内部网络的封包,让安全的包进入网络内部。使用一种状态封包检查(Stateful Inspection)的技术, 来过滤穿过防火墙到内部网络的封包,内定只允许由安全的内部网络使用者所主动建立的联机数据可由 Internet 进来,其它封包将会被阻挡。具备网络攻击DoS (Denial of Service) 的侦测与阻挡。NESCO BV-603也提供了追踪示警功能,NAT等功能,让整个网络安全性提高。当然了,像网页过滤功能这些是不会少的,这款防火墙可以通过限制关键字来实现网络内部无法登陆非法网站。
天融信网络卫士NGFW4000-S-VPN 参考价:93000元
北京天融信公司是中国网络安全行业的领先企业,是目前国内最大的专业从事网络安全技术研究、产品开发和安全服务的高科技企业。旗下产品网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。
网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙,更加安全更加稳定。它由防火墙和管理器组成,最大并发连接数达到了1200000个,没有对计算机连接数提出限制。网络卫士NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的,因此管理界面完全是中文化的,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。
总结:硬件防火墙的应用,需要用户建立切合实际的管理策略,以求能将硬件防火墙的安全特性发挥到极致。要提醒大家的是,在选购产品时,应该将关注的重点放在产品自身的安全性上,毕竟硬件防火墙自身的安全性将直接决定着整个网络的安全性,对于产品的功能和性能则应放在侧重点考虑,用户要把握好选购的重点,以免造成更大的损失。