隨著以Internet為代表的全球性信息化浪潮迅猛發(fā)展,網(wǎng)絡安全也成為影響網(wǎng)絡效能的重要問題。網(wǎng)絡防火墻作為防止黑客入侵的主要手段,也已經(jīng)成為網(wǎng)絡安全建設的必選設備。目前來說市面上的網(wǎng)絡防火墻產(chǎn)品很多,那么如何選擇能夠適應自己企業(yè)的需要,達到最大的安全效果的產(chǎn)品呢?這里筆者認為,主要應該從以下幾個方面進行考慮。
首先,作為安全設備,防火墻具有其本身的敏感性。就是說我們所選擇的防火墻產(chǎn)品,必須經(jīng)過國家相關權威部門的認證和銷售許可,這些認證包括公安部和信息產(chǎn)業(yè)部的銷售許可,國家測評中心的認證等。
其次,防火墻作為一種網(wǎng)絡設備,性能是必須首先考慮的問題。如果防火墻對原有網(wǎng)絡帶寬影響過大,無疑就是對原有投資的巨大浪費。目前來說防火墻在類型上基本上都實現(xiàn)了從軟件到硬件的轉換,算法上也有了很大的優(yōu)化,一部分防火墻的性能完全可以做到對原有網(wǎng)絡的性能影響很小了。具體到用戶來說,辨別一款防火墻的性能的優(yōu)劣,主要可以看看權威評測機構或媒體的性能測試結果,這些結果都是以國際標準RFC2544標準來衡量的,主要包括:網(wǎng)絡吞吐量、丟包率、延遲、連接數(shù)等,其中吞吐量又是重中之重。另外防火墻的加入應該以不影響單位已有的業(yè)務為前提,如果您原來的業(yè)務有一些特殊的服務,比如視頻會議,IP電話等等。那可能就要當心了,一定要選擇支持這些協(xié)議的防火墻。
防火墻的功能是現(xiàn)在的用戶最為看重的部分。現(xiàn)在的防火墻的技術進步很快,功能上也做的五花八門,用戶選擇上也比較困難。個人認為,防火墻作為安全設備,安全性尤其是防攻擊和抗攻擊能力還是應該放在第一位上。訪問控制的粒度和強度也很重要,目前各個廠商采用的基本上都是基于狀態(tài)檢測包過濾功能。其他的一些附加的功能可以視實際的需要而定,例如,對于大家都沒有固定主機的單位,可能需要身份認證的功能,對網(wǎng)絡資源的合理控制,可能需要帶寬管理的功能,分為總部和分部的情況,可能需要VPN通訊的功能;內(nèi)部IP地址不足的可能需要地址轉換的功能等等。
就防火墻自身來說,它只是一個單獨的產(chǎn)品,要想靠一個防火墻來實現(xiàn)網(wǎng)絡的安全是不現(xiàn)實的。實現(xiàn)網(wǎng)絡的安全,最主要的還是一個安全策略的問題,一個安全的防火墻配置一套不安全的策略也是沒有效果的,安全的策略包括網(wǎng)絡中的其他安全設備,甚至包括這些安全設備是怎樣同防火墻協(xié)同工作的等等。所以說,購買了防火墻,不應該簡單的理解為購買了一個產(chǎn)品,應該是購買了一套安全的服務,因此廠家的技術實力和專業(yè)實力也是不容忽視的問題。
以上是筆者認為在購買防火墻產(chǎn)品時應該主要注意的問題,希望這些建議可以幫助用戶在不影響網(wǎng)絡工作的同時,更好地保護網(wǎng)絡的安全。
市場上,防火墻的售價極為懸殊。因為各企業(yè)用戶使用的安全程度不盡相同,所以廠商推出的產(chǎn)品也有所區(qū)別。但一般來說,一個防火墻應該能做到以下的事情:
1、支持“除非明確允許,否則就禁止”的設計策略。
2、本身支持安全策略,而不是添加上去的。
3、支持新的服務的加入。
4、可以安裝新的先進的認證方法。
5、如需要,運用過濾技術來允許和禁止服務。
6、可以使用各種服務代理,以便新的認證方法可以安裝并運行在防火墻上。
7、擁有界面友好,易于編程的IP過濾語言,并可以根據(jù)數(shù)據(jù)包的性質進行包過濾,數(shù)據(jù)包的性質包括源和目的地址、協(xié)議類型、源和目的端口、TCP包的ACK位、出站和入站網(wǎng)絡接口等。
在選購防火墻時,不要把防火墻的等級看得過重。因為在等級評選中,防火墻的速度占有很大的比重,但是對于中小型企業(yè)而言,站點連接到Internet上的速度不會很快,因此大多數(shù)的防火墻都能完全滿足站點需要的。那么,在選購防火墻時,更多的是關注下面的一些因素:
1、防火墻自身的安全性
2、防火墻的穩(wěn)定性
最好的辦法是通過專業(yè)人士或測評機構了解防火墻是否如宣傳所說的那樣穩(wěn)定。
3、防火墻的性能
防火墻不僅能更好的保護防火墻后面的內(nèi)部網(wǎng)絡的安全,而且應該具有更優(yōu)良的整體性能。不一定速度越高越好,像有的小型的局域網(wǎng)出口速率不到1M/s,選用100M/s的防火墻就是多余的。
4、配置的方便性
一個好的防火墻應該是具有強大的功能,但配置起來卻非常方便。選購防火墻時,一定要看它的配置是否容易掌握,否則,復雜的配置對于網(wǎng)絡管理員將是一場噩夢。
5、是否可針對用戶身份進行過濾
這樣做有兩個好處:一是用戶可以隨便找一臺機器,向防火墻登錄,防火墻就可以根據(jù)它的權限進行合適的過濾;二是用戶出差時可以登錄回公司內(nèi)部自己的服務器,在沒有加密手段或者加密成本比較高時,這樣做是比較實用的。
6、可擴展性和可升級性
7、有用的日志
防火墻日志對網(wǎng)絡管理員來說是至關重要的。防火墻日志應具有可讀性,防火墻應具有精簡日志的能力,幫助管理員從日志中快速檢索到有用的信息。
8、掃毒功能
大部分的防火墻都可以與防毒軟件搭配實現(xiàn)掃毒的功能