传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,有的工作在传输层,还有的工作在应用层。
当然,网络安全始终还是人们最终为担心的一个方面。病毒和黑客攻击作为网络安全的主要隐患,随着互联网应用的普及和飞速发展。时时刻刻在威胁着进行互联网应用的计算机系统的平安。网络防火墙作为防止黑客入侵的主要手段,也已经成为网络安全建设的必选设备,不只对于企事粘单位网络需要,就连个人用户时下防火墙也已成为必备的平安手段,虽然个人用户绝大多数还是采用软件式的个人防火墙产品。现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术,如NAT和VPN、病毒防护等。还在设备内部配置上网行为流量管理模块,通过专业的状态检测模块,灵活的安全规则以及多种防护机器保护了网络免受攻击,提升整个网络的安全性。本文要为企、事业单位介绍防火墙设备选购时要注意的事项。
1 .品牌是关键
生产这样的设备不只需要强大的资金作后盾,因为防火墙产品属高科技产品。而且在技术实力需要有强大的保证。选择了好的品牌在一定水平上也就选择了好的技术和服务,对将来的使用更加有保障。所以在选购防火墙产品时千万别随便贪图一时便宜,选购一些杂牌产品。目前国外在防火墙产品的开发、生产中比较著名的品牌有: 3COM Cisco Nokia NetScreen Check Point 等,这些品牌技术实力比较强,而且都能提供高档产品,当然价格也相比下面要介绍的国产品牌要贵许多(通常在 5000~1 万元之间)甚至贵一倍以上。这些品牌对于大、中型有资金实力的企业来说比较理想,因为购买了这类品牌产品,相对来说在技术方面更有保障,能满足公司各方面的特殊需求,而且可扩展性比较强,适宜公司的发展需要。
而又以联想的 Dlink 天网和实达品牌性能更好。这些品牌相对国外著名品牌来说都处于中、低档次。当然价格要便宜许多(通常在 5000 元以下)而且还能提供全中文的使用说明书,国内开发、生产防火墙的品牌主要有:联想 -Dlink 天网、实达、东软、天融信、安氏等。方便装置、调试和维护。对于中小企业来说国产品牌是理想的选择。
2 .安全最重要
当然其自身的平安性也就显得更加重要了防火墙的平安性能取决于防火墙是否采用了平安的操作系统和是否采用专用的硬件平台。因为现在第二代防火墙产品通常不再依靠用户的操作系统,防火墙本身就是一个用于安全防护的设备。而是采用自已单独开发的操作系统。这个操作系统自身要求没有平安隐患,当然作为普通用户这只能通过品牌来保证。应用系统的平安性能是以防火墙自身操作系统的平安性能为基础的同时,应用系统自身的平安实现也直接影响到整个系统的平安性。
防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的编程对用户是友好的还应具备若干可能的过滤属性,另外在平安战略上。如源和目的 IP 地址、协议类型、源和目的 TCP/UDP 端口及入出接口等。只有这样用户才干根据实际需求采取灵活的平安战略维护自己企业网络的平安。
防火墙除应包含先进的鉴别措施,另外。还应采用尽量多的先进技术,如包过滤技术、加密技术、可信的信息技术等。如身份识别及验证、信息的失密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术,这些都是防火墙安全系统所必需考虑的
3 .高效的性能
要求防火墙能以最快的速度及时对所有数据包进行检测,因为防火墙是通过对进入的数据进行过滤来识别是否符合安全策略的所以在流量比较高时。否则就可能造成比较的延时,甚至死机。这个指标非常重要,体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的代价(延时)用户无法接受过高的代价。如果防火墙对网络造成较大的延时,还会给用户造成较大的损失。这一点我使用个人防火墙时可能深有感触,有时我打开防火墙时上网反应非常慢,而一旦去掉速度就上来了原因就为因为防火墙过滤速度不够快。
无疑就是对原有投资的巨大浪费。 如果防火墙对原有网络带宽影响过大。
算法上也有了很大的优化,目前来说防火墙在类型上基本上都实现了从软件到硬件的转换。一部分防火墙的性能完全可以做到对原有网络的性能影响很小了具体到用户来说,区分一款防火墙的性能的优劣,主要可以看看权威评测机构或媒体的性能测试结果,这些结果都是以国际标准 RFC2544 规范来衡量的主要包括:网络吞吐量、丢包率、延迟、连接数等,其中吞吐量又是重中之重。
对于不同规模的企业有不同的要求,当然在性能方面。不一定速度越高越好,像有的小型的局域网入口速率不到 1M/ 选用 100M/ 防火墙就是多余的
4 .高可靠性
如果门坏了显然进出互联网也就成问题了这样很可能会用户造成巨大的损失,因为防火墙就象单位用户出入互联网的一道门。这就要求防火墙产品自身具有高的可靠性。提高防火墙的可靠性通常是设计中采取措施,具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。
5 .灵活的可扩展和可升级性
随着业务的发展,用户的网络不可能永远一成不变。公司内部可能组建不同平安级别的子网,这样防火墙不仅要在公司内部网和外部网之间进行过滤,还要在公司内部子网之间进行过滤(现在分布式防火墙不仅可以做到这一点,而且还可在内部网各用户之间过滤)目前的防火墙一般标配三个网络接口,分别连接外部网、内部网和 SSN 用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。用户购买或配置防火墙,首先要对自身的平安需求、网络特性和成本预算做出分析,然后对防火墙产品进行评估和审核,选出 2 4 家主要品牌产品进行洽谈,最后再确定优选方案。
主要要注意考虑保护内部(敏感)数据的平安,通常小型企业接入互联网的目的一般是为了方便内部用户浏览 Web 收发 E-mail 以及发布主页。这类用户在选购防火墙时。特别要注重安全性,对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙,具有 http mail 等代理功能即可。
这些企业每天都会有大量的商务信息通过防火墙。如果这些用户需要在外部网络发布 Web 将 Web 服务器置于外部的情况)同时需要维护数据库或应用服务器(置于防火墙内)这就要求所采用的防火墙具有传送 SQL 数据的功能,而对于有电子商务应用的企业和网站等用户来说。而且必需具有较快的传送速度。建议这些用户采用高效的包过滤型防火墙,并将其配置为只允许外部 Web 服务器和内部传送 SQL 数据使用。
包括从最基本的包过滤器到带加密功能的 VPN 型包过滤器,未来的防火墙系统应该是一个可随意伸缩的模块化解决方案。直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。
6 . 管理的方便性
各种平安事件不时涌现,网络技术发展很快。这就要求网管员需要经常调整安全策略。防火墙的管理不只涉及控制战略的调整,而且还涉及业务系统的访问控制调整。防火墙的管理涉及管理途径、管理工具和管理权限三方面。防火墙的管理最好要适合网管员的管理习惯,设有远程 Telnet 登录管理以及管理命令的线帮助等。用户在选择防火墙时也应该看其是否支持串口终端管理。如果防火墙没有终端管理方式,就不容易确定故障所在一个好的防火墙产品必须符合用户的实际需要。对于国内用户来说,防火墙最好是具有中文界面,既能支持命令行方式管理,又能支持 GUI 图形用户界面,如 Window 界面)和集中式管理。
防火墙日志对网络管理员来说是至关重要的防火墙日志应具有可读性,可管理性方面。防火墙应具有精简日志的能力,协助管理员从日志中快速检索到有用的信息。
7. 配置的方便性
一般技术人员是不太可能对其详细配置原理全部掌握,因为防火墙作为一个高科技产品。所以这就要求防火墙产品在配置上尽可能简单,方便。但通常质量好的防火墙系统在具有强大功能的同时,其配置安装也较为复杂,需要网管员对原网络配置进行较大的改动。目前有一种支持透明通信的防火墙在装置时不需要对网络配置做任何改动,非常适合小型企业选用。但要注意,市场上并不是所有的防火墙都采用这种通信方式,有些防火墙只能在透明方式下或者网关方式下工作,而另外一些防火墙则可以在混合方式下工作。能工作于混合方式的防火墙显然更具方便性。
8 功能的多样性
但对于大、中型企业说就应当高度重视。否则很可能选购回来的防火墙产品根本不能满足当前或者短时间内的未来需求。 这一点对于小型企业来说不是很重要。
能够为不同级别、不同需求的用户提供不同的控制战略。控制战略的有效性、多样性、级别目标清晰性以及制定难易水平都直反映出防火墙控制策略的质量。现在大多数的防火墙产品都支持 NAT 功能,质量好的防火墙能够有效地控制通信。可以让受防火墙保护的一方的 IP 地址不被暴露。但注意启用 NAT 后势必会对防火墙系统的性能有所影响。目前防火墙技术进步很快,功能上也做的五花八门,用户选择上也比较困难。包过滤方式上,目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他一些附加的功能可以视实际的需要而定,例如,对于没有固定主机的单位,可能需要身份认证的功能;对网络资源比较紧张的单位,可能需要带宽管理的功能以合理控制资源分配;对于有总部和分支机构的企业,就可能需要选择能支持 VPN 通讯功能的防火墙产品等等。
最好能提供支持 VPN 通信或者身份验证功能,对于经常有公司内部用户移动办公的企业。这样做有两个好处:一是可以大节省通信费用(因为 VPN 只需要用户与本地 ISP 连接即可)另一方面用户出差时可以登录回公司内部自己的服务器,没有其它加密手段或者加密利息比较高时,这样身份验证方式是比较实用的
9 .强大的抗拒绝服务攻击能力
拒绝服务攻击是使用频率最高的手段。拒绝服务攻击可以分为两类 一类是由于操作系统或应用软件在设计或编程上存在缺陷而造成的这种类型只能通过打补丁的方法来解决,网络攻击中。如我罕见的各种 Window 系统平安补丁 另一类是由于协议自身存在缺陷而造成的这种类型的攻击虽然较少,但是造成的危害却非常大。对于第一类问题,防火墙显得有些力不从心,因为系统缺陷与病毒感染不同,没有病毒码作为依据,防火墙常常会作出错误的判断。防火墙有能力对付第二类攻击。
10 .良好的协同工作能力
不代表网络安全防护体系的全部,因为防火墙只是一个基础的网络平安设备。通常它需要与防病毒系统和入侵检测系统等安全产品协同配合,才干从根本上保证整个系统的平安,所以在选购防火墙时就要考虑它否能够与其他平安产品协同工作。如何检验它否具有这个能力,通常是看它否支持 OPSEC 开放平安结构)规范,通过这个接口与入侵检测系统协同工作,通过 CVP 内容引导协议)与防病毒系统协同工作。
事实上很难找到完全符合以上各项要求的防火墙产品。事实上如何评估防火墙是一个十分复杂的问题。一般说来,以上介绍了选购防火墙时所要注意的 10 个方面。防火墙的平安和性能(速度等)最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。用户时常会面对安全和性能之间的矛盾。代理型防火墙通常更具安全性,但是性能要差于包过滤型防火墙。如果用作 Internet 防火墙,即使以 T1 1.544Mbp 或 E1 2.048Mbp 数字线路接入,防火墙也不会成为瓶颈。但是企业网之间如果以 100M 甚至 G 位网络相连时,就会对防火墙的端口带宽性能提出很高的要求。
也就是性能价格比高的产品,依照购买或实现防火墙需要的经费来量化所有提出的解决方法是十分重要的有的防火墙产品可以不花钱或花很少的钱(如个人防火墙)有的则要花上万元或更多的钱。具体而言,所有用户都希望自己买到物美价廉的产品。除考虑防火墙的销售价格外,还要考虑它管理费用、维护费用及消耗材料费用等。对于经济实力雄厚的公司或大的企业组织,一般把满足需要放在第一位,把经济开销放在第二位,而且还把产品的更新换代需要的开销考虑进去。而对一般的机关学校来,由于经济条件一般,把产品价格放在重要位置考虑,只愿开销满足当前急需所购产品的经费,对未来网络系统的发展扩充换代考虑甚少。只要在满足实用性、平安性的基础上,适当考虑经济性就可以找到自己理想的产品。