芻議防火墻的選購

芻議防火墻的選購

張民  張友華（電子工程學(xué)院）

 

防火墻為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，其切斷受控網(wǎng)絡(luò)通信主干線，對通過受控干線的任何通信行為進(jìn)行安全處理，如控制、報警、反應(yīng)等，同時，也承擔(dān)了繁重的通信任務(wù)。由于自身處于網(wǎng)絡(luò)中的敏感位置，還要面對針對自身的各種安全威脅。但目前防火墻功能都相差不大，無非就是包過濾，地址轉(zhuǎn)換，應(yīng)用層過濾，攻擊檢驗(yàn)等等。那么用戶采購防火墻時應(yīng)把握以下幾點(diǎn)：

1、安全性

  安全性主要表現(xiàn)在：是否基于安全的操作系統(tǒng)？是夠采用專用的硬件平臺？設(shè)計的安全性根本在操作系統(tǒng)，具有完整信任關(guān)系的操作系統(tǒng)才有系統(tǒng)安全性評價。應(yīng)用系統(tǒng)的安全以操作系統(tǒng)的安全性為基礎(chǔ)，同時，自身的安全實(shí)現(xiàn)也直接影響整體系統(tǒng)的安全性。安全管理為系統(tǒng)安全的重要外因，其直接影響安全設(shè)備的控制行為。

2

、高效性

性能指標(biāo)為防火墻的重要指標(biāo)，其直接體現(xiàn)防火墻的可用性能，也體現(xiàn)防火墻對用戶的安全代價，過高的安全代價用戶無法接受。

3、靈活性

對通信行為的有效控制，要求防火墻設(shè)備有一系列不同級別滿足不同用戶的各類安全控制需求的控制策略，控制策略的有效性、多樣性，級別目標(biāo)清晰性，制定難易性，經(jīng)濟(jì)性等，體現(xiàn)控制策略的質(zhì)量。

4、管理方便性

網(wǎng)絡(luò)技術(shù)發(fā)展很快，各種安全事件不斷涌現(xiàn)，這要求安全管理員經(jīng)常性調(diào)整網(wǎng)絡(luò)安全策略。對于防火墻類訪問控制設(shè)備，除安全控制策略的不斷調(diào)整外，業(yè)務(wù)系統(tǒng)的訪問控制的調(diào)整也很頻繁，這些要求防火墻的管理在充分考慮安全需要的前提下，提供方便靈活的管理方式和方法，通常體現(xiàn)為如下方面：管理途徑、管理工具、管理權(quán)限。防火墻設(shè)備首先為網(wǎng)絡(luò)通信設(shè)備，管理途徑的提供要兼顧通常網(wǎng)絡(luò)的設(shè)備的管理方式，現(xiàn)實(shí)情況下，安全管理員還由網(wǎng)管人員兼顧，管理方式還要適合網(wǎng)管人員的一般管理行為習(xí)慣，如遠(yuǎn)程telnet登錄管理及管理命令的在線幫助等。管理工具主要為GUI類管理器，用它管理很直觀，這對于設(shè)備的初期管理和不太熟悉的管理人員提供了有效的管理方式。權(quán)限管理為管理本身的基礎(chǔ)，嚴(yán)格的權(quán)限認(rèn)證可能會帶來管理方便性的降低，從合理的綜合方式中找出最佳點(diǎn)。

5、可靠性

可靠性對防火墻類訪問控制設(shè)備尤為重要，其直接影響受控網(wǎng)絡(luò)的可用性，其在重要行業(yè)及關(guān)鍵業(yè)務(wù)系統(tǒng)中的作用和重要性是顯然的。從系統(tǒng)設(shè)計上，提高可靠性的措施一般提高本身部件的強(qiáng)健性、增大設(shè)計閥值和增加冗余部件，這要求有高的生產(chǎn)標(biāo)準(zhǔn)和設(shè)計冗余度，如使用工業(yè)標(biāo)準(zhǔn)、電源熱備份、系統(tǒng)熱備份等。

6、是否可針對用戶身份進(jìn)行過濾

防火墻過濾報文時，最基礎(chǔ)的是針對IP地址進(jìn)行過濾，大家都知道，IP地址是非常容易修改的，只要我打聽到公司里誰可以穿過防火墻，那么我將我的IP地址改成和他的一樣，我也可以穿過防火墻。這里需要一個針對用戶身份而不是IP地址進(jìn)行過濾的辦法。目前防火墻上常用的是一次性口令驗(yàn)證機(jī)構(gòu)，通過特殊的算法，保證用戶在向防火墻登錄時，口令不會在網(wǎng)絡(luò)上泄漏，這樣，防火墻可以確認(rèn)登錄上來的用戶確實(shí)和他所生成的一致。這樣做的好處由兩個：一用戶可以隨便找一臺計算機(jī)器，向防火墻登錄，防火墻就可判斷他的權(quán)限，進(jìn)行合適的過濾，二用戶出差時，可以通過登錄回公司的防火墻訪問公司內(nèi)部自己的服務(wù)器，不用擔(dān)心在電話網(wǎng)上泄漏口令，在沒有加密手段或加密成本較高時還是比較實(shí)用的。

7

、抗拒絕服務(wù)功能

在當(dāng)前的網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率最高的方法，YAHOO等網(wǎng)站遭受的就是拒絕服務(wù)攻擊，只不過是發(fā)起攻擊的點(diǎn)比較多，稱之為分布式拒絕服務(wù)攻擊。拒絕服務(wù)攻擊可分成兩類：一類由于操作系統(tǒng)或應(yīng)用軟件本身設(shè)計或編程上的缺陷而造成，種類繁多，只有通過打補(bǔ)丁的辦法解決，一類是由于協(xié)議本身的缺陷，只有有數(shù)的幾種，但造成的危害非常大，如SYNFLOODING。

要防火墻解決第一類問題顯然是力不從心，系統(tǒng)缺陷和病毒不同，沒有病毒馬可以作為依據(jù)，在判斷到底是不是攻擊上常常誤報，現(xiàn)有的國內(nèi)外地對這類攻擊的檢測至少有50%的誤報，大家如果用過IIS的real secure就有認(rèn)識，這類攻擊檢測不能裝在防火墻上，否則可能把合法的報文認(rèn)為是攻擊。防火墻能做的是對付第二類攻擊，如針對SYN-FLOODING，可以限制服務(wù)器接受連接請求的速度，最大的半連接數(shù)和最大已建立連接數(shù)實(shí)現(xiàn)。

8、可擴(kuò)展和可升級性

用戶的網(wǎng)絡(luò)不是一成不變的，現(xiàn)在可能只要在公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間做過濾，隨著業(yè)務(wù)的發(fā)展，公司內(nèi)部可能具有不同安全級別的子網(wǎng)，此時就需要在這些子網(wǎng)之間做過濾。目前市面上的防火墻一般標(biāo)配是三個網(wǎng)絡(luò)接口分別接外部網(wǎng)，內(nèi)部網(wǎng)和SSN，在購買時必須問清楚是否可以增加網(wǎng)絡(luò)接口，因?yàn)橛行┓阑饓υO(shè)計成支持三個接口，無法擴(kuò)展，和防病毒產(chǎn)品類似，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和黑客攻擊手段的變化，防火墻也必須不斷地進(jìn)行升級，此時支持軟件升級就更加重要了。如果不支持軟件升級，為了抵御新的攻擊手段，必須進(jìn)行硬件上的更換，在更換期間你的網(wǎng)絡(luò)是不設(shè)防的。以上就是防火墻的采購方法，選購防火墻時，如能做到以上幾點(diǎn)，防火墻的選購就不會成為難題了。

 

 

 

【芻議防火墻的選購】相關(guān)文章：

企業(yè)級防火墻選購,部署指南08-05

嚴(yán)復(fù)仕途芻議08-07

“點(diǎn)染”形式芻議08-07

現(xiàn)代德育芻議08-08

嚴(yán)復(fù)仕途芻議08-11

語感教學(xué)芻議08-17

現(xiàn)代德育芻議08-17

抵債返租性質(zhì)芻議08-05

芻議煤礦的環(huán)境監(jiān)管08-05