这是防火墙非常重要的功能。目前,防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。 各种管理方式中,基于命令行的CLI方式最不适合防火墙。 WUI和GUI的管理方式各有优缺点。 WUI的管理方式简单,不用专门的管理软件,只要配备浏览器就行;同时,WUI的管理界面非常适合远程管理,只要防火墙配置一个可达的IP,可实现在美国管理位于中国分公司的防火墙。 WUI形式的防火墙也有缺点:首先,WEB界面非常不适合进行复杂、动态的页面显示,一般的WUI界面很难显示丰富的统计图表,所以对于审计、统计功能要求比较苛刻的用户,尽量不要选择WUI方式;另外,它将导致防火墙管理安全威胁增大,如果用户在家里通过浏览器管理位于公司的防火墙,信任关系仅仅依赖于一个简单的用户名和口令,黑客很容易猜测到口令,这增加了安全威胁。 GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业,可以提供丰富的管理功能,便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件,同时在远程和集中管理方面没有WUI管理方式灵活。 四、审计和日志以及存储方式 目前绝大多数防火墙都提供了审计和日志功能,区别是审计的粒度粗细不同、日志的存储方式和存储量不同。 很多防火墙的审计和日志功能很弱,这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显,有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能,就需要考察防火墙的存储方式,如果是DOM、DOC等Flash电子盘的存储方式,将可能限制审计和日志的功能效果。 目前绝大多数防火墙审计日志采用硬盘存储的方式,这种方式的优点是可以存储大量的日志(几个G到几十个G),但是在某些极端的情况下,如异常掉电,硬盘受到的损坏往往要比电子盘的损坏严重。 好的防火墙应该提供多种存储方式,便于用户灵活选择和使用。 五、如何区分包过滤和状态监测 一些小公司为了推销自己的防火墙产品,往往宣称采用的是状态监测技术; 从表面上看,我们往往容易被迷惑。这里给出区分这两种技术的小技巧。 1. 是否提供实时连接状态查看? 状态监测防火墙可以提供查看当前连接状态的功能和界面,并且可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双方的IP、端口、连接状态、连接时间等等,而简单包过滤却不具备这项功能。 2. 是否具备动态规则库? 某些应用协议不仅仅使用一个连接和一个端口,往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议,用户命令是通过对21端口的连接传输,而数据则通过另一个临时建立的连接(缺省的源端口是20,在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为20的访问。 状态监测防火墙则可以支持动态规则,通过跟踪应用层会话的过程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求。对于FTP来说,只需防火墙中设定一条对21端口的访问规则,就可以保证FTP传输的正常,包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单,同时消除了必须开放所有20端口的危险。(完)
如何鉴别防火墙的实际功能差异
三、管理和认证