模板
教程
环境
性能
功能
管理
防火墙指南之产品选购篇
用户在选购防火墙产品时,除了从功能特点考虑之外,还应该注意好的防火墙应该是企业整体网络的保护者,并能弥补其它操作系统的不足,使操作系统的安全性不会对企业网络的整体安全造成影响。
防火墙应该能够支持多种平台,因为使用者才是完全的控制者,而使用者的平台往往是多种多样的,应选择一套符合现有环境需求的防火墙产品。
好的防火墙还应该向使用者提供完整的安全检查功能,但是一个安全的网络仍必须依靠使用者的观察及改进,因为防火墙并不能有效地杜绝所有的恶意封包,企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以只让合法的使用者进行连接,但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。
防火墙与代理服务器最大的不同在于防火墙是专门为了保护网络安全而设计的,而一个好的防火墙不但应该具备包括检查、认证、警告、记录的功能,并且能够为使用者可能遇到的困境事先提出解决方案,如IP不足形成的IP转换的问题、信息加密/解密的问题、大企业要求能够透过Internet集中管理的问题等,这也是选择防火墙时必须考虑的问题。
没有一个防火墙的设计能够适用于所有的环境,所以建议选择防火墙时,还应根据站点的特点来选择合适的防火墙。另外,不要把防火墙的等级看得过重。在各种报纸杂志中的等级评选中,防火墙的速度占有很大的比重。如果站点通过T1线路或更快的线路连接到Internet上,大多数防火墙的速度完全能满足站点的需要。
此外,选择防火墙还有不容忽视的两个要素:
1.防火墙管理的难易度 防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因,除了先前提到的包过滤并不能达到完全的控制之外,设定工作困难、须具备完整的知识以及不易除错等管理问题,更是一般企业不愿意使用的主要原因。
2.防火墙自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略了一点:防火墙也是网络上的主机之一,也可能存在安全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也不能完全保护内部网络。
大部分防火墙都安装在一般的操作系统上,如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁。此时,任何的防火墙控制机制都可能失效,因为当一个黑客取得了防火墙上的控制权以后,黑客几乎可为所欲为地修改防火墙上的访问规则,进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。
由于新产品的出现,就会有人研究新的破解方法,所以好的防火墙产品应拥有完善及时的售后服务体系。
最后,需要强调的是,虽然防火墙在当今Internet上的存在是有生命力的,但它不能替代其它安全措施,因此,它不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分,这是用户在决定购买防火墙产品之前就应该明确的问题。
防火墙产品
3Com OfficeConnect Firewall
3Com OfficeConnect Internet防火墙为小企业提供确保网络安全的廉价和高效的方法。经过ISCA认证的这种防火墙能拒黑客于墙外,还可以用来控制局域网对Internet的使用。用户可以禁止访问不恰当的资料,记录哪些站点最常被访问,以及Internet连接使用着多大的带宽。
产品特性:
* 3Com公司的OfficeConnect防火墙安全性产品系列新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。
* OfficeConnect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击。它还可以限制局域网用户对Internet的不恰当使用。
* OfficeConnect Internet Firewall DMZ可支持多达100个局域网用户。这使局域网上的公共服务器可以被Internet访问,又不会使局域网遭受攻击。
* 3Com所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。它们使整个办公室可以共享ISP提供的一个IP地址,因而节省了金钱。
清华紫光UNISECURE UF3500
UF3500防火墙具有防火墙和流量控制等功能,结合了网络级包过滤(Network-level Packet Filter)和应用级代理服务器(Application-level Proxy Server)的功能。UF3500使用户可以轻松地设置安全策略、带宽优先级和访问记录。
产品特性:
* 网络地址转换(NAT):隐蔽内部IP地址,增强了安全性,节约了从ISP得到的外部IP地址。
* 中立区(DMZ)策略:额外的安全层将内外部网络与诸如HTTP、FTP、DNS、MAIL等服务器相隔离。
* 多级过滤、动态过滤和代理:通过数据包检测,保护内部网络不被破坏,并且保护网络服务和重要的私人数据。
* URL过滤:按URL地址进行过滤,可分别允许或禁止同一IP上的多个虚拟主机。
* 基于SSL的浏览器管理界面,允许通过流行的Web浏览器使用https协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持浏览器超时退出的功能,保证了管理员离开管理计算机后的安全。
* 访问记录:用户可配置的带宽使用、网络传输和防火墙系统记录,并可输出,易于用户集成到自己的管理软件中。
* 传输定制:不仅支持最大流量的控制,还以多优先级方式保护重要任务的应用。
Cisco PIX防火墙
Cisco防火墙与众不同的特点是基于硬件,而硬件产品的最大好处就是速度快。众所周知,防火墙的安全性和速度是一对矛盾,而采用大型专用集成芯片便可化解这对矛盾,从而解决防火墙的速度瓶颈问题,这对于网络中心和银行用户而言极为重要。Cisco PIX Firewall便是这类产品,它的包转换速度高达170Mbps,同时可处理6万多个连接。
将防火墙技术集成到路由器中是Cisco网络安全产品的另一大特色。Cisco在路由器市场的占有率达到80%,在路由器的IOS中集成防火墙技术是其他厂家无可比拟的,这样做的好处是用户无须另外购置防火墙,可降低网络建设的总成本。而且它还可以通过网络远程下载,提供一种动态的网络安全保护。
产品特性:
* 实时嵌入式操作系统。
* 保护方案基于自适应安全算法(ASA),可以确保最高的安全性。
* 用于验证和授权的“直通代理”技术。
* 最多支持250,000个同时连接。
* URL过滤。
* HP OpenView集成。
* 通过电子邮件和寻呼机提供报警和告警通知。
* 通过专用链路加密卡提供 VPN 支持。
* 符合委托技术评估计划(TTAP),经过了美国安全事务处(NSA)的认证,同时通过中国公安部安全检测中心的认证(PIX520 除外)。
东大阿尔派NetEye
NetEye是通过对国外防火墙产品的综合分析,针对我国的具体应用环境,结合国内外防火墙领域里的最新发展提出的一种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。目前最新版本为NetEye2.0。
产品特性:
* 强大的包过滤功能,提供了包过滤规则的时间属性,以限制网络访问的时间。
* 面向对象的可视化的规则编辑和管理工具,全新的可视化的管理和配置概念。
* 双机热备份,即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态,另一个处于备份状态。当工作状态的系统出现故障时,备份状态的防火墙自动切换到工作状态,并保证网络的正常使用。
* 双向NAT功能,支持在内部网和DMZ区使用保留的IP地址,通过动态的地址转换功能实现对外部网的访问。
* 提供三个网络界面,即内网、外网和DMZ区。能够通过管理程序实现对三个区域间的通讯进行访问控制、通讯情况及内容监控、日志审计等功能。
* 实时入侵检测,可以有效地防范外部黑客对内部网络的攻击,提高了被保护网络的安全性。
* 对防火墙用户的一次性口令验证,除了可以根据用户的IP地址进行限制外,还可以根据用户的身份进行限制,并提供丰富的身份验证手段。
东方龙马防火墙
东方龙马防火墙将信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用,它根据系统管理者设定的安全规则保护内部网络,同时提供访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能。提供完善的安全性设置,通过高性能的网络核心进行访问控制。
产品特性:
* 动态设置过滤规则的功能。根据实际应用的需要,在建立应用服务的时候动态地增加一组规则,在服务结束的时候,自动地把规则删除。
* 双向的网络地址转换功能,同时支持一对一的静态地址映射和多对一的动态地址映射两种方式的地址转换。
* 抗攻击和自我保护能力。通过严密的体系结构,可以防范一系列外部黑客的攻击,如抗IP假冒攻击、抗特洛伊木马攻击等。
* 提供操作简单的图形化用户界面对防火墙进行配置。
* 采用负载均衡技术,可以智能地将用户的服务请求分布到多台服务器上面,同时,提供容错功能,可以自动隔离出问题的服务器。
* 通过双机热备份,提供可靠的容错/热待机功能。
* 提供创新的URL级统计、屏蔽功能,管理员可以根据上述内容控制的统计结果,手动或计算机自动屏蔽某些URL。
Hisec2000
Hisec2000防火墙系统是北京高阳信息安全公司开发生产的符合国家
