安全分析:企业如何选购企业级防火墙?

当一个企业决定用防火墙来实施组织的安全策略后,下一步要做的就是选择一个安全、实惠、合适的防火墙。选择防火墙时,要考虑以下几方面问题。

一、选择防火墙的要求

1、防火墙应具备的基本功能

支持“除非明确允许,否则就禁止”的设计策略,即使这种策略不是最初使用的策略;本身支持安全策略,而不是添加上去的;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理,以便先进的认证手段就可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;

如果用户需要NNTP(网络消息传输协议),X window,HTTP和Gopher等服务,防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能,以减少SMTP服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问。防火墙应把信息服务器和其他内部服务器分开。

2、其他功能

防火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。此外,为了使日志具有可读性,防火墙应具有精简日志的能力。如果防火墙使用UNIX操作系统,则应提供一个完全的UNIX操作系统和其他一些保证数据完整的工具,应该安装所有的操作系统的补丁程序。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。

防火墙的强度和正确性应该可被验证。防火墙的设计应该简单,以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

正像前面提到的那样,因特网每时每刻都在发生着变化,新的易攻击点随时可能会产生。当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的适应性是很重要的。

二、购买还是自己构筑

一些企业具有自己组装防火墙的能力,他们使用可用的软件组件和设备或自己编写一个防火墙程序。另外一些企业利用经销商提供的防火墙技术服务,例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。

企业自己构筑防火墙的优势是内部人员了解防火墙设计的细节从而能够方便应用。但自制防火墙需要长时间的修建、记录文档和维护,费用较高。相比之下,从销售商那里购买防火墙是较为经济的。