网络防火墙选购指南

发表于:2007-06-23来源:作者:点击数: 标签:
防火墙作为 网络安全 体系的基础设备,其作用是切断受控网络的通信主干线,对通过受控干线的任何通信进行安全处理。目前防火墙主要有包过滤、应用代理和状态检测等几种类型。 技术趋势 现在大多数的防火墙产品都支持NAT功能,它可以让受防火墙保护的一方的IP

   
  防火墙作为网络安全体系的基础设备,其作用是切断受控网络的通信主干线,对通过受控干线的任何通信进行安全处理。目前防火墙主要有包过滤、应用代理和状态检测等几种类型。
  
  
  
     技术趋势
  

  
  
     现在大多数的防火墙产品都支持NAT功能,它可以让受防火墙保护的一方的IP地址不被暴露。但是启用NAT后对防火墙系统的性能有较大的影响。另外,防火墙系统中集成的VPN解决方案必须是真正的线速运行,否则将成为网络通信的瓶颈。在提高防火墙性能方面,状态检测型防火墙比包过滤型防火墙更具优势。可以肯定,基于状态检测的防火墙将具有更大的发展空间。
  
  
  
     对于一个成功的防火墙系统而言,它的规模和功能应该能够适应网络规模和安全策略的变化。未来的防火墙系统应该是一个可伸缩的模块化解决方案,包括从最基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建符合自己需要的防火墙体系。
  
  
  
     防火墙其实只是一个基础的网络安全设备,它需要与防病毒系统和入侵检测系统等安全产品协同配合,才能从根本上保证系统的安全。今后越来越多的防火墙产品将支持OPSEC,通过这个接口与入侵检测系统协同工作,通过CVP与防病毒系统协同工作。
  
  
  
     综上所述,未来的防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全和用户数据的安全。此外,网络的防火墙产品还将Web页面超高速缓存、VPN和带宽管理等前沿技术与防火墙自身功能结合起来。
  
  
  
     用户在选购防火墙时应注意考虑的因素
  
  
  
     安全性
  
  
  
     防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台。应用系统的安全性能是以操作系统的安全性能为基础的,同时,应用系统自身的安全实现也直接影响到整个系统的安全性。
  
  
  
     高效性
  
  
  
     性能指标体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的代价。如果防火墙对网络造成较大的延时,不但用户无法接受过高的代价,还会给用户造成较大的损失。
  
  
  
     功能灵活性
  
  
  
     质量好的防火墙能够有效地控制通信,能够为不同级别、不同需求的用户提供不同的控制策略。控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出防火墙控制策略的质量。
  
  
  
     配置方便性
  
  
  
     质量好的防火墙系统具有强大的功能,但是其配置安装的过程也较为复杂,要求较高的技术含量,需要网管员对原网络配置进行较大的改动,但是支持透明通信的防火墙在安装时就不需要对网络配置做任何改动。目前的市场上,有些防火墙只能在透明方式下或者网关方式下工作,而另外一些防火墙则可以在混合方式下工作,这样的防火墙在配置上就比较方便。配置方便性还表现为管理方便。用户在选择防火墙时也应该看其是否支持串口终端管理。如果防火墙没有终端管理方式,就不容易确定故障所在。一个好的防火墙产品必须符合用户的实际需要。
  
  
  
     管理方便性
  
  
  
     网络技术发展速度很快,危害网络安全的因素也越来月越多,这就要求网管员经常调整安全策略。防火墙的管理不仅涉及控制策略的调整,而且还涉及业务系统的访问控制调整,这就要求网管员能够在充分考虑安全需要的前提下,对防火墙进行方便灵活的管理。防火墙的管理涉及管理途径、管理工具和管理权限三方面。防火墙的管理最好要适合网管员的管理习惯,设有远程Te.net登录管理以及管理命令的在线帮助等。GUI类管理器作为防火墙的管理工具,为网管员提供了有效、直观的管理方式。严格的权限认证可能会降低管理的方便性,网管员要注意合理把握。
  
  
  
     可靠性
  
  
  
     对于防火墙来说,其可靠性直接影响到其保护的网络的可靠性,它在重要行业及关键业务系统中的重要作用是显而易见的。提高防火墙的可靠性通常是在设计中采取措施,具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。
  
  
  
     可扩展和可升级性
  
  
  
     用户的网络是随时在变化的。随着业务的发展,公司内部可能组建不同安全级别的子网,防火墙此时不仅要在公司内部网和外部网之间进行过滤,还要在公司内部子网之间进行过滤。目前的防火墙一般标配三个网络接口,分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。
  
  
  
     中小企业接入Internet的目的是方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时,要注意考虑防火墙能够保护内部数据的安全,安全性是放在第一位的,对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙,具有http、mail等代理功能即可。
  
  
  
     对于电子商务企业和网站等用户来说,每天都会有大量的信息通过防火墙,在内网和外网之间交换,如果这些用户需要在外部网络发布Web,同时需要保护数据库或应用服务器,这就要求所采用的防火墙具有传送SQL数据的功能,而且必须具有较快的传送速度。这样的用户应该采用高效的包过滤型防火墙,并将其配置为只允许外部Web服务器和内部传送SQL数据使用。
  
  
  
     用户在选择防火墙后,需要马上制定安全策略来对其进行合理有效的配置。防火墙在安装前,首先要在被保护网段内使用ICMP包或Telnet对外网段进行访问,并使用相同的方法从外网段对被保护网段进行访问,以确保网络间路由的正常;其次是使用浏览器从被保护网段对外部网段的服务器进行访问,来确保网段间域名解析的正常。对于软件防火墙,用户还需要在安全前除掉该防火墙系统上的不必要的协议(如NetBEUI)和服务,并关闭系统的IP Forwarding功能。
  
  
  
     在安装防火墙时,用户还需要确认所安装的防火墙的各个模块的版本是否是最新版本或者带有最新的补丁,并按照防火墙厂商提供的用户手册进行安装。在配置防火墙时,用户还要注意防火墙控制对象的正确定义以及被控制对象与外网通信时所使用的协议,以确保防火墙的配置不会防碍正常的通信。对于软件防火墙,用户还要在防火墙安装完毕后进行主机加固,以确保防火墙本身的安全。

原文转自:http://www.ltesting.net