作為保護(hù)網(wǎng)絡(luò)的主力安全設(shè)備,經(jīng)過多年的發(fā)展,防火墻的技術(shù)已經(jīng)逐步趨于成熟。即便如此,用戶在選購防火墻時(shí)仍需擦亮眼睛。
防火墻是一種部署在內(nèi)外網(wǎng)邊界上的訪問控制設(shè)備,用來防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。防火墻主要分為簡(jiǎn)單包過濾防火墻、狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻、應(yīng)用程序代理防火墻三種。
附加功能適用就好
防火墻控制的對(duì)象是網(wǎng)絡(luò)數(shù)據(jù),通過執(zhí)行用戶針對(duì)2~7層制定的策略進(jìn)行檢查,根據(jù)檢查結(jié)果決定接受、丟棄還是限制流量。雖然實(shí)際上防火墻也可以替換一部分路由器和交換機(jī)的功能,但過分強(qiáng)調(diào)這些功能的結(jié)果只能是舍本逐末。
由于在網(wǎng)絡(luò)中引入了防火墻設(shè)備,必然要求防火墻能夠提供相應(yīng)的支持,包括可管理、環(huán)境適應(yīng)能力、與已有交換機(jī)/路由器的互聯(lián)互通、一定的吞吐能力和適當(dāng)?shù)难舆t等,這樣防火墻才不會(huì)成為網(wǎng)絡(luò)瓶頸。這些功能實(shí)際上是對(duì)防火墻的附加要求,雖然是必要的,但不會(huì)給用戶帶來增值,其總體要求是“適合就是最好的”。
雖然防火墻發(fā)展時(shí)間比較長,技術(shù)相對(duì)成熟,但關(guān)于防火墻的新概念、新技術(shù)仍然層出不窮。那么,應(yīng)該如何真實(shí)評(píng)價(jià)防火墻呢?還得從用戶使用的角度深入分析,從功能/性能、管理、穩(wěn)定性三方面進(jìn)行考察。
功能、性能不能“兩層皮”
功能和性能一直是用戶評(píng)價(jià)防火墻的主要方面,尤其是性能由于其可量化,更是對(duì)比的重點(diǎn),但真正搞明白這兩個(gè)問題卻不容易。
為了適應(yīng)用戶的復(fù)雜環(huán)境和需求,也為了擁有“賣點(diǎn)”,現(xiàn)在的防火墻一般具有很多功能,這些功能單獨(dú)看都沒什么問題,比如雙機(jī)熱備功能已經(jīng)通過測(cè)試,H.323動(dòng)態(tài)應(yīng)用支持也測(cè)試通過,但在實(shí)際環(huán)境中,我們可能需要在雙機(jī)熱備情況下使用H.323視頻會(huì)議,并要求切換時(shí)視頻不中斷,這樣可能有的防火墻就不行了,而類似的組合功能卻是用戶真正需要的。此外,防火墻的功能和性能一般會(huì)獨(dú)立評(píng)估,分為功能測(cè)試和性能測(cè)試兩部分,功能測(cè)試關(guān)心單個(gè)功能有無,性能測(cè)試關(guān)心二、三層簡(jiǎn)單應(yīng)用的性能,結(jié)果導(dǎo)致功能性能“兩層皮”,不能真正反映防火墻能力:測(cè)試中性能很高,但很多功能不能用,在實(shí)際使用中,當(dāng)把常用的功能都打開后,性能變得很低。因此,必須把性能和功能評(píng)估結(jié)合起來才能真實(shí)評(píng)價(jià)防火墻。具體的評(píng)價(jià)應(yīng)從以下幾方面入手:
● 2~7層訪問控制功能,尤其是應(yīng)用層深度過濾。該功能應(yīng)該能和地址映射、端口映射、VLAN Trunk支持、用戶認(rèn)證、動(dòng)態(tài)包過濾、流量控制等功能任意組合使用。
●安全功能,重點(diǎn)是抗Synflood。目前,在“黑客”的攻擊行為中,使用最多、最有效的是DDoS(分布式拒絕服務(wù)攻擊),它造成的結(jié)果是服務(wù)器拒絕服務(wù)。防火墻作為網(wǎng)絡(luò)的單一通道,要保證受保護(hù)網(wǎng)絡(luò)的安全,需要重點(diǎn)考察安全防護(hù)功能能否在過濾攻擊的同時(shí)保證正常訪問,是否對(duì)偽造源地址攻擊和真實(shí)源地址攻擊同時(shí)有效,能否保護(hù)服務(wù)器免受沖擊。該功能應(yīng)能和地址映射、端口映射、VLAN Trunk支持、用戶認(rèn)證、動(dòng)態(tài)包過濾、流量控制等同時(shí)或任意組合使用。
●實(shí)用性能。性能測(cè)試一般包括6個(gè)主要方面:吞吐量、延遲、丟包率、背靠背、并發(fā)連接數(shù)、新建連接速率,實(shí)用性能即考察在接近用戶真實(shí)使用情況下的性能。
●新建連接速率。由于網(wǎng)絡(luò)應(yīng)用具有波動(dòng)性大,即不同時(shí)間訪問量差異很大的特點(diǎn),要求防火墻也能適應(yīng)這種情況,相應(yīng)的考量指標(biāo)即新建連接速率。考慮到用戶網(wǎng)絡(luò)和應(yīng)用的復(fù)雜性,還需要打開常用功能,例如:包過濾、內(nèi)容過濾、抗攻擊等情況下測(cè)試新建連接速率。
管理是關(guān)鍵
用戶要使用一個(gè)安全的防火墻系統(tǒng),就需要實(shí)行一套安全的防火墻策略,這就對(duì)防火墻的實(shí)際操作人員提出了較高要求。由于不同防火墻在管理上存在差異,因此,管理的難易程度可能造成管理員的錯(cuò)誤配置,使網(wǎng)絡(luò)產(chǎn)生安全隱患。因?yàn)闊o法要求每個(gè)網(wǎng)絡(luò)管理員都是網(wǎng)絡(luò)安全專家,所以管理是網(wǎng)絡(luò)安全的關(guān)鍵。除去權(quán)限管理、通信加密外,還需要重點(diǎn)考察單機(jī)管理方便性和集中管理這兩個(gè)方面。
就單機(jī)管理方便性來說,防火墻應(yīng)能提供多種管理方式,供管理員在不同場(chǎng)合使用,例如:串口命令行方式適合水平較高的管理員對(duì)防火墻進(jìn)行全面管理;SSH方式適合遠(yuǎn)程維護(hù)管理;Web方式適合遠(yuǎn)程配置;GUI方式適合遠(yuǎn)程配置和監(jiān)控。其中,Web方式不用安裝客戶端軟件,比較方便靈活;GUI安裝比較麻煩,但靈活性較強(qiáng)。
另外,防火墻的大客戶、行業(yè)客戶很多,管理成本可能非常高,能否對(duì)防火墻進(jìn)行集中管理也很重要,包括安全策略集中定制和下發(fā)、日志集中管理與分析、設(shè)備級(jí)聯(lián)管理與實(shí)時(shí)監(jiān)控等。其中,策略的集中管理最重要,因?yàn)樾枰WC整個(gè)企業(yè)的策略一致和安全。
綜合考察穩(wěn)定性
防火墻因?yàn)榇釉诰W(wǎng)絡(luò)中,一旦出現(xiàn)故障則會(huì)導(dǎo)致網(wǎng)絡(luò)中斷,因此,穩(wěn)定性是評(píng)價(jià)防火墻的一個(gè)重要指標(biāo)。由于種種原因,有些系統(tǒng)尚未最后定型或未經(jīng)過嚴(yán)格的大量測(cè)試就被推向了市場(chǎng),其穩(wěn)定性可想而知。但穩(wěn)定性很難直接測(cè)試,一般來說,一些久經(jīng)考驗(yàn)的系統(tǒng)的穩(wěn)定性才有一定保證,如果是新的軟件或硬件系統(tǒng),需要在應(yīng)用中不斷完善才能逐漸穩(wěn)定。用戶可以通過權(quán)威的測(cè)評(píng)認(rèn)證機(jī)構(gòu)、實(shí)際調(diào)查、試用、廠商實(shí)力等多個(gè)方面加以判斷。
