隨著以Internet為代表的全球性信息化浪潮迅猛發(fā)展,網(wǎng)絡(luò)安全也成為影響網(wǎng)絡(luò)效能的重要問題。網(wǎng)絡(luò)防火墻作為防止黑客入侵的主要手段,也已經(jīng)成為網(wǎng)絡(luò)安全建設(shè)的必選設(shè)備。目前來(lái)說(shuō)市面上的網(wǎng)絡(luò)防火墻產(chǎn)品很多,那么如何選擇能夠適應(yīng)自己企業(yè)的需要,達(dá)到最大的安全效果的產(chǎn)品呢?這里筆者認(rèn)為,主要應(yīng)該從以下幾個(gè)方面進(jìn)行考慮。
首先,作為安全設(shè)備,防火墻具有其本身的敏感性。就是說(shuō)我們所選擇的防火墻產(chǎn)品,必須經(jīng)過國(guó)家相關(guān)權(quán)威部門的認(rèn)證和銷售許可,這些認(rèn)證包括公安部和信息產(chǎn)業(yè)部的銷售許可,國(guó)家測(cè)評(píng)中心的認(rèn)證等。
其次,防火墻作為一種網(wǎng)絡(luò)設(shè)備,性能是必須首先考慮的問題。如果防火墻對(duì)原有網(wǎng)絡(luò)帶寬影響過大,無(wú)疑就是對(duì)原有投資的巨大浪費(fèi)。目前來(lái)說(shuō)防火墻在類型上基本上都實(shí)現(xiàn)了從軟件到硬件的轉(zhuǎn)換,算法上也有了很大的優(yōu)化,一部分防火墻的性能完全可以做到對(duì)原有網(wǎng)絡(luò)的性能影響很小了。具體到用戶來(lái)說(shuō),辨別一款防火墻的性能的優(yōu)劣,主要可以看看權(quán)威評(píng)測(cè)機(jī)構(gòu)或媒體的性能測(cè)試結(jié)果,這些結(jié)果都是以國(guó)際標(biāo)準(zhǔn)RFC2544標(biāo)準(zhǔn)來(lái)衡量的,主要包括:網(wǎng)絡(luò)吞吐量、丟包率、延遲、連接數(shù)等,其中吞吐量又是重中之重。另外防火墻的加入應(yīng)該以不影響單位已有的業(yè)務(wù)為前提,如果您原來(lái)的業(yè)務(wù)有一些特殊的服務(wù),比如視頻會(huì)議,IP電話等等。那可能就要當(dāng)心了,一定要選擇支持這些協(xié)議的防火墻。
防火墻的功能是現(xiàn)在的用戶最為看重的部分。現(xiàn)在的防火墻的技術(shù)進(jìn)步很快,功能上也做的五花八門,用戶選擇上也比較困難。個(gè)人認(rèn)為,防火墻作為安全設(shè)備,安全性尤其是防攻擊和抗攻擊能力還是應(yīng)該放在第一位上。訪問控制的粒度和強(qiáng)度也很重要,目前各個(gè)廠商采用的基本上都是基于狀態(tài)檢測(cè)包過濾功能。其他的一些附加的功能可以視實(shí)際的需要而定,例如,對(duì)于大家都沒有固定主機(jī)的單位,可能需要身份認(rèn)證的功能,對(duì)網(wǎng)絡(luò)資源的合理控制,可能需要帶寬管理的功能,分為總部和分部的情況,可能需要VPN通訊的功能;內(nèi)部IP地址不足的可能需要地址轉(zhuǎn)換的功能等等。
就防火墻自身來(lái)說(shuō),它只是一個(gè)單獨(dú)的產(chǎn)品,要想靠一個(gè)防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全是不現(xiàn)實(shí)的。實(shí)現(xiàn)網(wǎng)絡(luò)的安全,最主要的還是一個(gè)安全策略的問題,一個(gè)安全的防火墻配置一套不安全的策略也是沒有效果的,安全的策略包括網(wǎng)絡(luò)中的其他安全設(shè)備,甚至包括這些安全設(shè)備是怎樣同防火墻協(xié)同工作的等等。所以說(shuō),購(gòu)買了防火墻,不應(yīng)該簡(jiǎn)單的理解為購(gòu)買了一個(gè)產(chǎn)品,應(yīng)該是購(gòu)買了一套安全的服務(wù),因此廠家的技術(shù)實(shí)力和專業(yè)實(shí)力也是不容忽視的問題。
以上是筆者認(rèn)為在購(gòu)買防火墻產(chǎn)品時(shí)應(yīng)該主要注意的問題,希望這些建議可以幫助用戶在不影響網(wǎng)絡(luò)工作的同時(shí),更好地保護(hù)網(wǎng)絡(luò)的安全。
市場(chǎng)上,防火墻的售價(jià)極為懸殊。因?yàn)楦髌髽I(yè)用戶使用的安全程度不盡相同,所以廠商推出的產(chǎn)品也有所區(qū)別。但一般來(lái)說(shuō),一個(gè)防火墻應(yīng)該能做到以下的事情:
1、支持“除非明確允許,否則就禁止”的設(shè)計(jì)策略。
2、本身支持安全策略,而不是添加上去的。
3、支持新的服務(wù)的加入。
4、可以安裝新的先進(jìn)的認(rèn)證方法。
5、如需要,運(yùn)用過濾技術(shù)來(lái)允許和禁止服務(wù)。
6、可以使用各種服務(wù)代理,以便新的認(rèn)證方法可以安裝并運(yùn)行在防火墻上。
7、擁有界面友好,易于編程的IP過濾語(yǔ)言,并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾,數(shù)據(jù)包的性質(zhì)包括源和目的地址、協(xié)議類型、源和目的端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。
在選購(gòu)防火墻時(shí),不要把防火墻的等級(jí)看得過重。因?yàn)樵诘燃?jí)評(píng)選中,防火墻的速度占有很大的比重,但是對(duì)于中小型企業(yè)而言,站點(diǎn)連接到Internet上的速度不會(huì)很快,因此大多數(shù)的防火墻都能完全滿足站點(diǎn)需要的。那么,在選購(gòu)防火墻時(shí),更多的是關(guān)注下面的一些因素:
1、防火墻自身的安全性
2、防火墻的穩(wěn)定性
最好的辦法是通過專業(yè)人士或測(cè)評(píng)機(jī)構(gòu)了解防火墻是否如宣傳所說(shuō)的那樣穩(wěn)定。
3、防火墻的性能
防火墻不僅能更好的保護(hù)防火墻后面的內(nèi)部網(wǎng)絡(luò)的安全,而且應(yīng)該具有更優(yōu)良的整體性能。不一定速度越高越好,像有的小型的局域網(wǎng)出口速率不到1M/s,選用100M/s的防火墻就是多余的。
4、配置的方便性
一個(gè)好的防火墻應(yīng)該是具有強(qiáng)大的功能,但配置起來(lái)卻非常方便。選購(gòu)防火墻時(shí),一定要看它的配置是否容易掌握,否則,復(fù)雜的配置對(duì)于網(wǎng)絡(luò)管理員將是一場(chǎng)噩夢(mèng)。
5、是否可針對(duì)用戶身份進(jìn)行過濾
這樣做有兩個(gè)好處:一是用戶可以隨便找一臺(tái)機(jī)器,向防火墻登錄,防火墻就可以根據(jù)它的權(quán)限進(jìn)行合適的過濾;二是用戶出差時(shí)可以登錄回公司內(nèi)部自己的服務(wù)器,在沒有加密手段或者加密成本比較高時(shí),這樣做是比較實(shí)用的。
6、可擴(kuò)展性和可升級(jí)性
7、有用的日志
防火墻日志對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)是至關(guān)重要的。防火墻日志應(yīng)具有可讀性,防火墻應(yīng)具有精簡(jiǎn)日志的能力,幫助管理員從日志中快速檢索到有用的信息。
8、掃毒功能
大部分的防火墻都可以與防毒軟件搭配實(shí)現(xiàn)掃毒的功能
