企业防火墙选购策略谈(1)

发表于:2007-06-23来源:作者:点击数: 标签:
企业防火墙选购策略谈 安氏互联网安全系统(中国)有限公司徐 洪涛 随着以Internet为代表的全球性信息化浪潮迅猛发展, 网络安全 也成为影响网络效能的重要问题。网络防火墙作为防止黑客入侵的主要手段,也已经成为网络安全建设的必选设备。目前来说市面上的网

   
  企业防火墙选购策略谈
    安氏互联网安全系统(中国)有限公司徐 洪涛

随着以Internet为代表的全球性信息化浪潮迅猛发展,网络安全也成为影响网络效能的重要问题。网络防火墙作为防止黑客入侵的主要手段,也已经成为网络安全建设的必选设备。目前来说市面上的网络防火墙产品很多,那么如何选择能够适应自己企业的需要,达到最大的安全效果的产品呢?这里笔者认为,主要应该从以下几个方面进行考虑。

首先,作为安全设备,防火墙具有其本身的敏感性。就是说我们所选择的防火墙产品,必须经过国家相关权威部门的认证和销售许可,这些认证包括公安部和信息产业部的销售许可,国家测评中心的认证等。

其次,防火墙作为一种网络设备,性能是必须首先考虑的问题。如果防火墙对原有网络带宽影响过大,无疑就是对原有投资的巨大浪费。目前来说防火墙在类型上基本上都实现了从软件到硬件的转换,算法上也有了很大的优化,一部分防火墙的性能完全可以做到对原有网络的性能影响很小了。具体到用户来说,辨别一款防火墙的性能的优劣,主要可以看看权威评测机构或媒体的性能测试结果,这些结果都是以国际标准RFC2544标准来衡量的,主要包括:网络吞吐量、丢包率、延迟、连接数等,其中吞吐量又是重中之重。另外防火墙的加入应该以不影响单位已有的业务为前提,如果您原来的业务有一些特殊的服务,比如视频会议,IP电话等等。那可能就要当心了,一定要选择支持这些协议的防火墙。

防火墙的功能是现在的用户最为看重的部分。现在的防火墙的技术进步很快,功能上也做的五花八门,用户选择上也比较困难。个人认为,防火墙作为安全设备,安全性尤其是防攻击和抗攻击能力还是应该放在第一位上。访问控制的粒度和强度也很重要,目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他的一些附加的功能可以视实际的需要而定,例如,对于大家都没有固定主机的单位,可能需要身份认证的功能,对网络资源的合理控制,可能需要带宽管理的功能,分为总部和分部的情况,可能需要VPN通讯的功能;内部IP地址不足的可能需要地址转换的功能等等。

就防火墙自身来说,它只是一个单独的产品,要想靠一个防火墙来实现网络的安全是不现实的。实现网络的安全,最主要的还是一个安全策略的问题,一个安全的防火墙配置一套不安全的策略也是没有效果的,安全的策略包括网络中的其他安全设备,甚至包括这些安全设备是怎样同防火墙协同工作的等等。所以说,购买了防火墙,不应该简单的理解为购买了一个产品,应该是购买了一套安全的服务,因此厂家的技术实力和专业实力也是不容忽视的问题。

以上是笔者认为在购买防火墙产品时应该主要注意的问题,希望这些建议可以帮助用户在不影响网络工作的同时,更好地保护网络的安全。

特约撰稿人 诺亚

市场上,防火墙的售价极为悬殊。因为各企业用户使用的安全程度不尽相同,所以厂商推出的产品也有所区别。但一般来说,一个防火墙应该能做到以下的事情:

1、支持“除非明确允许,否则就禁止”的设计策略。

2、本身支持安全策略,而不是添加上去的。

3、支持新的服务的加入。

4、可以安装新的先进的认证方法。

5、如需要,运用过滤技术来允许和禁止服务。

6、可以使用各种服务代理,以便新的认证方法可以安装并运行在防火墙上。

7、拥有界面友好,易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质包括源和目的地址、协议类型、源和目的端口、TCP包的ACK位、出站和入站网络接口等。

在选购防火墙时,不要把防火墙的等级看得过重。因为在等级评选中,防火墙的速度占有很大的比重,但是对于中小型企业而言,站点连接到Internet上的速度不会很快,因此大多数的防火墙都能完全满足站点需要的。那么,在选购防火墙时,更多的是关注下面的一些因素:

1、防火墙自身的安全性

2、防火墙的稳定性

最好的办法是通过专业人士或测评机构了解防火墙是否如宣传所说的那样稳定。

3、防火墙的性能

防火墙不仅能更好的保护防火墙后面的内部网络的安全,而且应该具有更优良的整体性能。不一定速度越高越好,像有的小型的局域网出口速率不到1M/s,选用100M/s的防火墙就是多余的。

4、配置的方便性

一个好的防火墙应该是具有强大的功能,但配置起来却非常方便。选购防火墙时,一定要看它的配置是否容易掌握,否则,复杂的配置对于网络管理员将是一场噩梦。

5、是否可针对用户身份进行过滤

这样做有两个好处:一是用户可以随便找一台机器,向防火墙登录,防火墙就可以根据它的权限进行合适的过滤;二是用户出差时可以登录回公司内部自己的服务器,在没有加密手段或者加密成本比较高时,这样做是比较实用的。

6、可扩展性和可升级性

7、有用的日志

防火墙日志对网络管理员来说是至关重要的。防火墙日志应具有可读性,防火墙应具有精简日志的能力,帮助管理员从日志中快速检索到有用的信息。

8、扫毒功能

大部分的防火墙都可以与防毒软件搭配实现扫毒的功能。

原文转自:http://www.ltesting.net