有一些問題常令用戶困惑:在產品的功能上,各個廠商的描述十分雷同,一些“后起之秀”與知名品牌極其相似。面對這種情況,該如何鑒別?描述得十分類似的產品,即使是同一個功能,在具體實現上、在可用性和易用性上,個體差異也十分明顯。
一、網絡層的訪問控制
所有防火墻都必須具備此項功能,否則就不能稱其為防火墻。當然,大多數的路由器也可以通過自身的ACL來實現此功能。
1.規則編輯
對網絡層的訪問控制主要表現在防火墻的規則編輯上,我們一定要考察:對網絡層的訪問控制是否可以通過規則表現出來?訪問控制的粒度是否足夠細?同樣一條規則,是否提供了不同時間段的控制手段?規則配置是否提供了友善的界面?是否可以很容易地體現網管的安全意志?
2.IP/MAC地址綁定
同樣是IP/MAC地址綁定功能,有一些細節必須考察,如防火墻能否實現IP地址和MAC地址的自動搜集?對違反了IP/MAC地址綁定規則的訪問是否提供相應的報警機制?因為這些功能非常實用,如果防火墻不能提供IP地址和MAC地址的自動搜集,網管可能被迫采取其他的手段獲得所管轄用戶的IP與MAC地址,這將是一件非常乏味的工作。
3、NAT(網絡地址轉換)
這一原本路由器具備的功能已逐漸演變成防火墻的標準功能之一。但對此一項功能,各廠家實現的差異非常大,許多廠家實現NAT功能存在很大的問題:難于配置和使用,這將會給網管員帶來巨大的麻煩。我們必須學習NAT的工作原理,提高自身的網絡知識水平,通過分析比較,找到一種在NAT配置和使用上簡單處理的防火墻。
二、應用層的訪問控制
這一功能是各個防火墻廠商的實力比拼點,也是最出彩的地方。因為很多基于免費操作系統實現的防火墻雖然可以具備狀態監測模塊(因為Linux、FreeBSD等的內核模塊已經支持狀態監測),但是對應用層的控制卻無法實現“拿來主義”,需要實實在在的編程。
對應用層的控制上,在選擇防火墻時可以考察以下幾點。
1.是否提供HTTP協議的內容過濾?
目前企業網絡環境中,最主要的兩種應用是WWW訪問和收發電子郵件。能否對WWW訪問進行細粒度的控制反映了一個防火墻的技術實力。
2.是否提供SMTP協議的內容過濾?
對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、泄漏機密信息等等,能否提供基于SMTP協議的內容過濾以及過濾的粒度粗細成了用戶關注的焦點。
3. 是否提供FTP協議的內容過濾?
在考察這一功能時一定要細心加小心,很多廠家的防火墻都宣傳說具備FTP的內容過濾,但細心對比就會發現,其中絕大多數僅實現了FTP協議中兩個命令的控制:PUT和GET。好的防火墻應該可以對FTP其他所有的命令進行控制,包括CD、LS等,要提供基于命令級控制,實現對目錄和文件的訪問控制,全部過濾均支持通配符。
三、管理和認證
這是防火墻非常重要的功能。目前,防火墻管理分為基于WEB界面的WUI管理方式、基于圖形用戶界面的GUI管理方式和基于命令行CLI的管理方式。
各種管理方式中,基于命令行的CLI方式最不適合防火墻。
WUI和GUI的管理方式各有優缺點。
WUI的管理方式簡單,不用專門的管理軟件,只要配備瀏覽器就行;同時,WUI的管理界面非常適合遠程管理,只要防火墻配置一個可達的IP,可實現在美國管理位于中國分公司的防火墻。
WUI形式的防火墻也有缺點:首先,WEB界面非常不適合進行復雜、動態的頁面顯示,一般的WUI界面很難顯示豐富的統計圖表,所以對于審計、統計功能要求比較苛刻的用戶,盡量不要選擇WUI方式;另外,它將導致防火墻管理安全威脅增大,如果用戶在家里通過瀏覽器管理位于公司的防火墻,信任關系僅僅依賴于一個簡單的用戶名和口令,黑客很容易猜測到口令,這增加了安全威脅。
GUI是目前絕大多數防火墻普遍采用的方式。這種方式的特點是專業,可以提供豐富的管理功能,便于管理員對防火墻進行配置。但缺點是需要專門的管理端軟件,同時在遠程和集中管理方面沒有WUI管理方式靈活。
四、審計和日志以及存儲方式
目前絕大多數防火墻都提供了審計和日志功能,區別是審計的粒度粗細不同、日志的存儲方式和存儲量不同。
很多防火墻的審計和日志功能很弱,這一點在那些以DOM、DOC等電子盤(并且不提供網絡數據庫支持)為存儲介質的防火墻中體現得尤為明顯,有些甚至沒有區分事件日志和訪問日志。如果需要豐富的審計和日志功能,就需要考察防火墻的存儲方式,如果是DOM、DOC等Flash電子盤的存儲方式,將可能限制審計和日志的功能效果。
目前絕大多數防火墻審計日志采用硬盤存儲的方式,這種方式的優點是可以存儲大量的日志(幾個G到幾十個G),但是在某些極端的情況下,如異常掉電,硬盤受到的損壞往往要比電子盤的損壞嚴重。
好的防火墻應該提供多種存儲方式,便于用戶靈活選擇和使用。
五、如何區分包過濾和狀態監測
一些小公司為了推銷自己的防火墻產品,往往宣稱采用的是狀態監測技術; 從表面上看,我們往往容易被迷惑。這里給出區分這兩種技術的小技巧。
1. 是否提供實時連接狀態查看?
狀態監測防火墻可以提供查看當前連接狀態的功能和界面,并且可以實時斷掉當前連接,這個連接應該具有豐富的信息,包括連接雙方的IP、端口、連接狀態、連接時間等等,而簡單包過濾卻不具備這項功能。
2. 是否具備動態規則庫?
某些應用協議不僅僅使用一個連接和一個端口,往往通過一系列相關聯的連接完成一個應用層的操作。比如FTP協議,用戶命令是通過對21端口的連接傳輸,而數據則通過另一個臨時建立的連接(缺省的源端口是20,在PASSIVE模式下則是臨時分配的端口)傳輸。對于這樣的應用,包過濾防火墻很難簡單設定一條安全規則,往往不得不開放所有源端口為20的訪問。
狀態監測防火墻則可以支持動態規則,通過跟蹤應用層會話的過程自動允許合法的連接進入,禁止其他不符合會話狀態的連接請求。對于FTP來說,只需防火墻中設定一條對21端口的訪問規則,就可以保證FTP傳輸的正常,包括PASSIVE方式的數據傳輸。這一功能不僅使規則更加簡單,同時消除了必須開放所有20端口的危險。