防火墙采购计划的四点建议

发表于:2007-06-23来源:作者:点击数: 标签:
防火墙作为 网络安全 体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。如何选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。用户在选购时,应主要从以下五个方面

   
  防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。如何选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。用户在选购时,应主要从以下五个方面仔细分析和比较。


  
  第一 投资保护
  
  考查开发商实力
  
  随着安全技术的快速发展,防火墙软硬件需要经常升级和维护,因此,厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性,在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史、该产品的销售纪录,并通过多种渠道了解产品的应用状况。
  
  考查产品认证
  
  通过了某种认证,意味着该产品通过了相应的检测。在选择产品时,要注意检查所购产品通过了哪些认证,而且在可能的情况下,要向厂商索取测试文档,以便确切了解产品的各项指标,作为产品选型的依据。目前主要的认证有四种:中国信息安全产品测评认证中心的认证(针对企业应用)、国家保密局测评认证中心的认证(针对政府涉密网应用)、公安部计算机信息安全产品质量监督检验中心(获得销售许可)以及中国人民解放军信息安全测评认证中心(针对军队使用)。
  
  考查厂商服务
  
  防火墙的合理配置和使用是防火墙能够发挥预定作用的关键所在,因此厂商的培训和服务支持,尤其是售后的培训和升级服务非常重要。在购买产品前,不仅要询问厂商是否具备技术支持电话和网上在线支持,是否能对产品的安装、配置及使用予以明确指导,更为重要的是考察厂商的快速响应能力:一旦使用中遇到用户解决不了的问题或故障时,厂商能否及时响应、快速解决问题。
  
  考查与其他产品的互融和开放性
  
  网络安全不是一两个厂商的一两个产品就能解决的问题,因此,如何保证网络中的多个安全产品能够很好地共融、联动、集成,就成为保护用户投资的非常重要的因素。在产品选型时,需要考察该产品能够与哪些厂商的哪些产品实现联动和集成,是否对其他厂商开放应用接口,是否加入开放性的安全联盟,如OPSEC、TOPSEC等。
  
  第二 产品功能
  
  确定所需类型
  
  按工作机制的不同,防火墙可分为包过滤型、服务代理型以及复合型防火墙。从适用对象来划分,可分为企业级防火墙与个人防火墙。同时,按平台的不同,防火墙产品可以分为软件防火墙和硬件防火墙。由于这两种类型的防火墙在不同的方面各有优势,用户在选购的时候还是需要根据自己的需求考虑,在这里只作简单的对比。
  
  包过滤
  
  用户在选购时,应该分析所选产品的规则框架,考察其访问控制的粒度是否足够细;对于同样一条规则,是否提供了不同时间段的控制手段;规则配置是否提供了友善的界面;是否可以很容易地体现网管的安全意志。
  
  
  软件防火墙和硬件防火墙比较
   防火墙采购计划的四点建议(图一)
  应用代理
  
  一般来说,针对HTTP协议、POP3/SMTP协议、FTP协议、TELNET协议的过滤和过滤粒度是选择该产品最为重要的指标,同时也是每一款代理型防火墙都必须具备的功能。好的防火墙应可支持基于时间的访问控制功能。另外,有些防火墙还可支持内容过滤,安全级别较高的防火墙还可根据主机IP地址或用户名控制访问信息的最大流量。
  
  
  
  安全管理
  
  用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,所以安全管理是选购时需要关注的重点环节。 安全审计功能
  
  安全审计是防火墙的一个十分重要的功能,它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。
  
  第三 产品性能
  
  作为影响网络性能的瓶颈,防火墙性能是用户在选购时必须重点考察的指标。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率,通常将它作为衡量防火墙性能的最重要的指标,我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。对性能的考察需要专业的测试,用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面,更为重要的还是权威测评机构出具的性能测试报告。
  第四 安全性
  
  防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,故其自身的安全性十分重要。防火墙自身的安全性主要体现在自身设计和管理两个方面。
  
  支撑平台
  
  因此,在选购时应考察防火墙的支撑平台,一般来说,防火墙至少应构建于安全操作系统之上,有些产品采用的专用操作系统甚至是专用的硬件平台,其安全性可以得到更好的保证。
  
  抗攻击性
  
  防火墙因为是网络中名副其实的众矢之的,所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击:拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击、抗扫描。
  
  防火墙自身的安全
  
  为了防止冒用,防火墙应该采取密码、电子钥匙等设置,并采用强用户认证机制。即管理员必须通过双因子认证,才能登录,对配置和访问权限进行修改。同时,管理主机与防火墙之间的通信一般采用加密传输。好的防火墙会具有双机备份功能,在实现上不应存在高中风险的安全漏洞。这一点,用户可以参照权威测试部门的测试报告。
  
  
  防火墙采购一览表
   防火墙采购计划的四点建议(图二)
点击查看大图

   防火墙采购计划的四点建议(图三)
点击查看大图

   防火墙采购计划的四点建议(图四)
点击查看大图

   防火墙采购计划的四点建议(图五)
点击查看大图

   防火墙采购计划的四点建议(图六)
点击查看大图

   防火墙采购计划的四点建议(图七)
点击查看大图

  防火墙采购计划的四点建议(图八)
点击查看大图

原文转自:http://www.ltesting.net