從防火墻產(chǎn)品和技術(shù)發(fā)展來看,分為三種類型:基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。
LAN接口
列出支持的LAN接口類型:防火墻所能保護的網(wǎng)絡(luò)類型,如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。
支持的最大LAN接口數(shù):指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目,也是其能夠保護的不同內(nèi)網(wǎng)數(shù)目。
服務(wù)器平臺:防火墻所運行的操作系統(tǒng)平臺(如Linux、UNIX、Win NT、專用安全操作系統(tǒng)等)。
協(xié)議支持
支持的非IP協(xié)議:除支持IP協(xié)議之外,又支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。
建立VPN通道的協(xié)議: 構(gòu)建VPN通道所使用的協(xié)議,如密鑰分配等,主要分為IPSec,PPTP、專用協(xié)議等。
可以在VPN中使用的協(xié)議:在VPN中使用的協(xié)議,一般是指TCP/IP協(xié)議。
加密支持
支持的VPN加密標準:VPN中支持的加密算法, 例如數(shù)據(jù)加密標準DES、3DES、RC4以及國內(nèi)專用的加密算法。
除了VPN之外,加密的其他用途: 加密除用于保護傳輸數(shù)據(jù)以外,還應(yīng)用于其他領(lǐng)域,如身份認證、報文完整性認證,密鑰分配等。
提供基于硬件的加密: 是否提供硬件加密方法,硬件加密可以提供更快的加密速度和更高的加密強度。
認證支持
支持的認證類型: 是指防火墻支持的身份認證協(xié)議,一般情況下具有一個或多個認證方案,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、數(shù)字證書等。防火墻能夠為本地或遠程用戶提供經(jīng)過認證與授權(quán)的對網(wǎng)絡(luò)資源的訪問,防火墻管理員必須決定客戶以何種方式通過認證。
列出支持的認證標準和CA互操作性:廠商可以選擇自己的認證方案,但應(yīng)符合相應(yīng)的國際標準,該項指所支持的標準認證協(xié)議,以及實現(xiàn)的認證協(xié)議是否與其他CA產(chǎn)品兼容互通。
支持數(shù)字證書:是否支持數(shù)字證書。
訪問控制
通過防火墻的包內(nèi)容設(shè)置:包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成,它應(yīng)涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法,對于沒有明確定義的數(shù)據(jù)包,應(yīng)該有一個缺省處理方法;過濾規(guī)則應(yīng)易于理解,易于編輯修改;同時應(yīng)具備一致性檢測機制,防止沖突。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進行過濾,如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP,那么再根據(jù)ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過濾,其他的還有MAC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動態(tài)包過濾技術(shù)等。
在應(yīng)用層提供代理支持:指防火墻是否支持應(yīng)用層代理,如HTTP、FTP、TELNET、SNMP等。代理服務(wù)在確認客戶端連接請求有效后接管連接,代為向服務(wù)器發(fā)出連接請求,代理服務(wù)器應(yīng)根據(jù)服務(wù)器的應(yīng)答,決定如何響應(yīng)客戶端請求,代理服務(wù)進程應(yīng)當連接兩個連接(客戶端與代理服務(wù)進程間的連接、代理服務(wù)進程與服務(wù)器端的連接)。為確認連接的唯一性與時效性,代理進程應(yīng)當維護代理連接表或相關(guān)數(shù)據(jù)庫(最小字段集合),為提供認證和授權(quán),代理進程應(yīng)當維護一個擴展字段集合。
在傳輸層提供代理支持:指防火墻是否支持傳輸層代理服務(wù)。
允許FTP命令防止某些類型文件通過防火墻:指是否支持FTP文件類型過濾。
用戶操作的代理類型:應(yīng)用層高級代理功能,如HTTP、POP3 。
支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):NAT指將一個IP地址域映射到另一個IP地址域,從而為終端主機提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后,可以隱藏受保護網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),在一定程度上提高了網(wǎng)絡(luò)的安全性。
支持硬件口令、智能卡: 是否支持硬件口令、智能卡等,這是一種比較安全的身份認證技術(shù)。
防御功能
支持病毒掃描: 是否支持防病毒功能,如掃描電子郵件附件中的DOC和ZIP文件,F(xiàn)TP中的下載或上載文件內(nèi)容,以發(fā)現(xiàn)其中包含的危險信息。
提供內(nèi)容過濾: 是否支持內(nèi)容過濾,信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層,根據(jù)過濾條件,對信息流進行控制,防火墻控制的結(jié)果是:允許通過、修改后允許通過、禁止通過、記錄日志、報警等。 過濾內(nèi)容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。
能防御的DoS攻擊類型:拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源,導致服務(wù)器超載或系統(tǒng)資源耗盡,而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測與報警等機制,可在一定程度上防止或減輕DoS黑客攻擊。
阻止ActiveX、Java、Cookies、Javascript侵入:屬于HTTP內(nèi)容過濾,防火墻應(yīng)該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒,并向瀏覽器用戶報警。同時,能夠過濾用戶上載的CGI、ASP等程序,當發(fā)現(xiàn)危險代碼時,向服務(wù)器報警。
安全特性
支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議(ICMP 代理):是否支持ICMP代理,ICMP為網(wǎng)間控制報文協(xié)議。
提供入侵實時警告:提供實時入侵告警功能,當發(fā)生危險事件時,是否能夠及時報警,報警的方式可能通過郵件、呼機、手機等。
提供實時入侵防范:提供實時入侵響應(yīng)功能,當發(fā)生入侵事件時,防火墻能夠動態(tài)響應(yīng),調(diào)整安全策略,阻擋惡意報文。
識別/記錄/防止企圖進行IP地址欺騙:IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網(wǎng)絡(luò)進行攻擊,防火墻應(yīng)該能夠禁止來自外部網(wǎng)絡(luò)而源地址是內(nèi)部IP地址的數(shù)據(jù)包通過。
管理功能
通過集成策略集中管理多個防火墻:是否支持集中管理,防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理,管理員的行為主要包括:通過防火墻的身份鑒別,編寫防火墻的安全規(guī)則,配置防火墻的安全參數(shù),查看防火墻的日志等。防火墻的管理一般分為本地管理、遠程管理和集中管理等。
提供基于時間的訪問控制:是否提供基于時間的訪問控制。
支持SNMP監(jiān)視和配置:SNMP是簡單網(wǎng)絡(luò)管理協(xié)議的縮寫。
本地管理:是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對防火墻進行配置管理。
遠程管理:是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對防火墻進行管理,管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。
支持帶寬管理:防火墻能夠根據(jù)當前的流量動態(tài)調(diào)整某些客戶端占用的帶寬。
負載均衡特性:負載均衡可以看成動態(tài)的端口映射,它將一個外部地址的某一TCP或UDP端口映射到一組內(nèi)部地址的某一端口,負載均衡主要用于將某項服務(wù)(如HTTP)分攤到一組內(nèi)部服務(wù)器上以平衡負載。
失敗恢復(fù)特性(failover):指支持容錯技術(shù),如雙機熱備份、故障恢復(fù),雙電源備份等。
記錄和報表功能
防火墻處理完整日志的方法:防火墻規(guī)定了對于符合條件的報文做日志,應(yīng)該提供日志信息管理和存儲方法。
提供自動日志掃描:指防火墻是否具有日志的自動分析和掃描功能,這可以獲得更詳細的統(tǒng)計結(jié)果,達到事后分析、亡羊補牢的目的。
提供自動報表、日志報告書寫器:防火墻實現(xiàn)的一種輸出方式,提供自動報表和日志報告功能。
警告通知機制:防火墻應(yīng)提供告警機制,在檢測到入侵網(wǎng)絡(luò)以及設(shè)備運轉(zhuǎn)異常情況時,通過告警來通知管理員采取必要的措施,包括E-mail、呼機、手機等。
提供簡要報表(按照用戶ID或IP 地址):防火墻實現(xiàn)的一種輸出方式,按要求提供報表分類打印。
提供實時統(tǒng)計:防火墻實現(xiàn)的一種輸出方式,日志分析后所獲得的智能統(tǒng)計結(jié)果,一般是圖表顯示。
列出獲得的國內(nèi)有關(guān)部門許可證類別及號碼:這是防火墻合格與銷售的關(guān)鍵要素之一,其中包括:公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網(wǎng)證和國家保密局的推薦證明等。
