防火墙采购计划的四点建议（1）

　　 
　　防火墙采购计划的四点建议
    防火墙作为网络安全体系的基础和核心控制设备，贯穿于受控网络通信主干线，它对通过受控干线的任何通信行为进行安全处理，同时也承担着繁重的通信任务。如何选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。

用户在选购时，应主要从以下五个方面仔细分析和比较。

第一 投资保护

考查开发商实力

随着安全技术的快速发展，防火墙软硬件需要经常升级和维护，因此，厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性，在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史、该产品的销售纪录，并通过多种渠道了解产品的应用状况。

考查产品认证

通过了某种认证，意味着该产品通过了相应的检测。在选择产品时，要注意检查所购产品通过了哪些认证，而且在可能的情况下，要向厂商索取测试文档，以便确切了解产品的各项指标，作为产品选型的依据。目前主要的认证有四种：中国信息安全产品测评认证中心的认证（针对企业应用）、国家保密局测评认证中心的认证（针对政府涉密网应用）、公安部计算机信息安全产品质量监督检验中心（获得销售许可）以及中国人民解放军信息安全测评认证中心（针对军队使用）。

考查厂商服务

防火墙的合理配置和使用是防火墙能够发挥预定作用的关键所在，因此厂商的培训和服务支持，尤其是售后的培训和升级服务非常重要。在购买产品前，不仅要询问厂商是否具备技术支持电话和网上在线支持，是否能对产品的安装、配置及使用予以明确指导，更为重要的是考察厂商的快速响应能力：一旦使用中遇到用户解决不了的问题或故障时，厂商能否及时响应、快速解决问题。

考查与其他产品的互融和开放性

网络安全不是一两个厂商的一两个产品就能解决的问题，因此，如何保证网络中的多个安全产品能够很好地共融、联动、集成，就成为保护用户投资的非常重要的因素。在产品选型时，需要考察该产品能够与哪些厂商的哪些产品实现联动和集成，是否对其他厂商开放应用接口，是否加入开放性的安全联盟，如OPSEC、TOPSEC等。

第二 产品功能

确定所需类型

按工作机制的不同，防火墙可分为包过滤型、服务代理型以及复合型防火墙。从适用对象来划分，可分为企业级防火墙与个人防火墙。同时，按平台的不同，防火墙产品可以分为软件防火墙和硬件防火墙。由于这两种类型的防火墙在不同的方面各有优势，用户在选购的时候还是需要根据自己的需求考虑，在这里只作简单的对比。

包过滤

用户在选购时，应该分析所选产品的规则框架，考察其访问控制的粒度是否足够细；对于同样一条规则，是否提供了不同时间段的控制手段；规则配置是否提供了友善的界面；是否可以很容易地体现网管的安全意志。

软件防火墙和硬件防火墙比较

衡量指标	软件防火墙	硬件防火墙
安装	较复杂	简单
安全性	高	较高
性能	依赖硬件平台	高
管理	简单	较复杂
维护费用	低	高
扩展性	高	低
配置灵活性	高	低
价格	低	高

应用代理

一般来说，针对HTTP协议、POP3/SMTP协议、FTP协议、TELNET协议的过滤和过滤粒度是选择该产品最为重要的指标，同时也是每一款代理型防火墙都必须具备的功能。好的防火墙应可支持基于时间的访问控制功能。另外，有些防火墙还可支持内容过滤，安全级别较高的防火墙还可根据主机IP地址或用户名控制访问信息的最大流量。



安全管理

用户要使用一个安全的防火墙系统，就需要实行一套安全的防火墙策略，所以安全管理是选购时需要关注的重点环节。　 安全审计功能

安全审计是防火墙的一个十分重要的功能，它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。

第三 产品性能

作为影响网络性能的瓶颈，防火墙性能是用户在选购时必须重点考察的指标。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率，通常将它作为衡量防火墙性能的最重要的指标，我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。对性能的考察需要专业的测试，用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面，更为重要的还是权威测评机构出具的性能测试报告。

原文转自：http://www.ltesting.net