东方龙马信息产业有限公司 杨庆华 购买防火墙前,首先要知道防火墙的最基本性能。一般应具备如下性能: 1、防火墙应该忠实地支持自己的安全性策略,并能灵活地容纳新的服务和机构,改变所需的安全策略。 2、防火墙除包含先进的鉴别措施,还应采用尽量多的先进技术,如包过滤技术、加密技术、可信的信息技术等。如身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术。 3、防火墙过滤语言应该是灵活的,编程对用户是友好的,还应具备若干可能的过滤属性,如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。 4、防火墙应包含集中化的SMTP访问能力,以简化本地与远程系统的SMTP连接,实现本地E-mail集中处理,还应具备集中处理和过滤拨号访问的能力。 5、若防火墙需Unix之类的操作系统,该系统的安全版本应该作为防火墙的一部分,当用其他安全工具时,要保证防火墙主机的完整性,而且该系统应能整体安装。防火墙及操作系统应该可更新,并能用简易的方法解决系统故障等。 上面提及的仅是防火墙部分基本通用属性,也不可能集中在某一个或几个防火墙产品身上。因此,需要根据自己的需求来选择防火墙产品。 选购防火墙前,还应认真制定安全政策,也就是要制定一个周密计划。 安全政策是规定什么人或什么事允许连接到哪些人或哪些事,如一项计划规定只有董事、高级主管和科研开发小组成员可以接到科研开发局域网。也就是说,网络管理与网络专家的决策者,要事先考虑把防火墙放在网络系统的哪一个位置上,才能满足自己公司或组织的需求,才能确定欲购的防火墙所能接受的风险水平。 总之,选购防火墙的策略必须是切合实际的,考虑它能满足整个网络系统安全保密的水平。网络安全措施必须考虑,也必须要满足,但理想的100%的安全技术是不存在的,很难实现的。所以,目标应当是尽量减少要付出的代价,把可能遭受的风险水平降到可以接受的程度。 在满足实用性、安全性的基础上,还要考虑经济性,这是选购一切设备都要碰到的实际问题。 所有用户都希望自己买到物美价廉的产品,也就是性能价格比高的产品。按照购买或实现防火墙需要的经费来量化所有提出的解决办法是十分重要的。有的防火墙产品可以不花钱或花很少的钱,有的则要花上万元或更多的钱。具体而言,除考虑防火墙的销售价格外,还要考虑它的管理费用、维护费用及消耗材料费用等。对于经济实力雄厚的公司或大的企业组织,一般把满足需要放在第一位,把经济开销放在第二位,而且还把产品的更新换代需要的开销考虑进去。而对一般的机关学校来,由于经济条件一般,把产品价格放在重要位置考虑,只愿开销满足当前急需所购产品的经费,对未来网络系统的发展扩充换代考虑甚少。 了解主要防火墙厂商及其产品,这对欲购防火墙产品的用户来说,是应该进行调查研究的。 一般大公司大厂商生产的防火墙产品对用户具有一定的吸引力,因为它们具有雄厚的技术实力、经济实力,而且技术支持及售后服务都是可信赖的。所谓购买名牌产品就是这个意思,对于假冒伪劣产品,再低的价格也别问津,否则会上当受骗。(完)
企业防火墙选购策略谈
另外,这里也不能不说一下防火墙的测试问题。并不是只有在防火墙的购买之初才有测试的必要的。
总的说来,有三种情况应该对防火墙进行测试:在安装之后,测试工作是否正常;在网络发生大的变更后,测试其性能;周期性的对防火墙进行测试,以确保其继续正常工作。在一些中小企业中,由于一般网络环境变化不大,情况相对比较稳定,往往会忽略对防火墙的周期性的测试。但这其实是很危险的。例如,有时可能会对防火墙进行适当地改变以获得一个暂时的访问权,但可能会忽视此改变对整个安全体系的影响。虽然,测试不能保证防火墙没有弱点,但测试的目的是希望至少城墙不会倒,城门已经关好,同时护城河中已经灌满了水。