企業(yè)級防火墻選購,部署指南

 當一個企業(yè)決定用防火墻來實施組織的安全策略后，下一步要做的就是選擇一個安全、實惠、合適的防火墻。選擇防火墻時，要考慮以下幾方面問題。

     一、選擇防火墻的要求 

    1?防火墻應具備的基本功能 

     支持“除非明確允許，否則就禁止”的設計策略，即使這種策略不是最初使用的策略；本身支持安全策略，而不是添加上去的；如果組織機構的安全策略發(fā)生改變，可以加入新的服務；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術允許和禁止服務；可以使用FTP和Telnet等服務代理，以便先進的認證手段就可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據數據包的性質進行包過濾，數據包的性質有目標和源IP地址、協議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網絡接口等；

     如果用戶需要NNTP（網絡消息傳輸協議），X window，HTTP和Gopher等服務，防火墻應該包含相應的代理服務程序。防火墻也應具有集中郵件的功能，以減少SMTP服務器和外界服務器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應允許公眾對站點的訪問。防火墻應把信息服務器和其他內部服務器分開。 

    2?其他功能 

     防火墻應該能夠集中和過濾撥入訪問，并可以記錄網絡流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應具有精簡日志的能力。如果防火墻使用UNIX操作系統，則應提供一個完全的UNIX操作系統和其他一些保證數據完整的工具，應該安裝所有的操作系統的補丁程序。雖然沒有必要讓防火墻的操作系統和公司內部使用的操作系統一樣，但在防火墻上運行一個管理員熟悉的操作系統會使管理變得簡單。 

     防火墻的強度和正確性應該可被驗證。防火墻的設計應該簡單，以便管理員理解和維護。防火墻和相應的操作系統應該用補丁程序進行升級且升級必須定期進行。 

     正像前面提到的那樣，因特網每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產生。當新的危險出現時，新的服務和升級工作可能會對防火墻的安裝產生潛在的阻力，因此防火墻的適應性是很重要的。 

    二、購買還是自己構筑 

     一些企業(yè)具有自己組裝防火墻的能力，他們使用可用的軟件組件和設備或自己編寫一個防火墻程序。另外一些企業(yè)利用經銷商提供的防火墻技術服務，例如相應的硬件和軟件、開發(fā)安全策略、風險評估、安全檢測和安全培訓等。 

     企業(yè)自己構筑防火墻的優(yōu)勢是內部人員了解防火墻設計的細節(jié)從而能夠方便應用。但自制防火墻需要長時間的修建、記錄文檔和維護，費用較高。相比之下，從銷售商那里購買防火墻是較為經濟的。

    企業(yè)決定是否構筑并成功地運行一個防火墻需要考慮如下問題：

    防火墻應該怎樣被測試?

    怎么證明防火墻按需工作?

    誰可以做日常的防火墻工作，如備份和修復?

    誰會對防火墻進行升級更新，如安裝新的代理服務器、補丁程序和其他的升級程序?

    安全漏洞可以定期被更正嗎?

    誰會對用戶進行技術支持和培訓?

     許多銷售商不但提供安裝服務，而且提供防火墻的維護，所以如果一個企業(yè)沒有能力做上述之事，就應考慮使用銷售商提供的服務。無論采用何種方法，公司都應把防火墻的維護看作一種極為重要的工作，盡可能在上面多花時間。在一些小公司中，做這項工作可能不需要一個專職的人員，但這項工作應比其他的工作更有優(yōu)先權。

     只有有效地維護一個防火墻，才能使它有效地工作。一個維護不當的防火墻可能會給人一種安全的假象，而實際上卻存在著很多安全漏洞。安全策略應清楚地反應有效地進行防火墻維護的重要性。在公司的管理上應給予防火墻維護足夠的支持，如優(yōu)先提供人員、資金和其他必要的資源。

     有了防火墻，也不能放松對站點的管理。事實上，如果一個防火墻被突破，一個管理不善的站點會倍受侵擾并遭受更嚴重的損失。一個防火墻的存在并不意味著可以減少對高素質管理的需求。一個防火墻可以讓一個站點在系統維護上處于主動的位置，因為防火墻提供了一種屏障，所以人們就可以在系統維護上花更多的時間，而不是把大部分時間花在事故的處理上。

    一個站點在防火墻的維護中應做以下工作：

    標準化操作系統的版本和軟件，以便安裝補丁程序和安全修補程序；

    應在全站點內開展有效的新程序和補丁程序的安裝活動；

    使用各種服務來幫助管理系統，如果一些服務可以帶來更好的管理和更好的安全，那么使用這些服務；

    對主機系統進行周期性的掃描檢查，以發(fā)現配置上的錯誤和弱點，及時改正；

    確保系統管理員和安全管理員可以及時地通信，對站點的安全問題做出警告。

    三、進一步的建議 

     沒有一個防火墻的設計能夠適用于所有的環(huán)境，所以建議選擇防火墻時，應根據站點的特點來選擇合適的防火墻。如果站點是一個機密性機構，但對某些人提供入站的FTP服務，則需要有強大認證功能的防火墻。

     另外，不要把防火墻的等級看得過重。在各種報紙雜志中的等級評選中，防火墻的速度占有很大的比重。如果站點通過T1線路或更慢的線路連接到因特網上，大多數防火墻的速度完全能滿足站點的需要。

    下面是選購一個防火墻時，應該考慮的其他因素：

    網絡受威脅的程度；

    若入侵者闖入網絡，將要受到的潛在的損失；

    其他已經用來保護網絡及其資源的安全措施；

    由于硬或軟件失效，或防火墻遭到“拒絕服務侵襲”，而導致用戶不能訪問因特網，造成的整個機構的損失；

    機構所希望提供給因特網的服務，以及希望能從因特網得到的服務；可以同時通過防火墻的用戶數目；

    站點是否有經驗豐富的管理員；

    今后可能的要求，如要求增加通過防火墻的網絡活動或要求新的因特網服務。

    四、防火墻的局限 

     我們在利用防火墻的各種益處的同時也應該意識到防火墻的局限，有時防火墻會給人一種虛假的安全感，導致在防火墻內部放松安全警惕。而許多攻擊正是內部犯罪，這是任何基于隔離的防范措施都無能為力的。同樣，防火墻也不能解決進入防火墻的數據帶來的所有安全問題。如果用戶抓來一個程序在本地運行，那個程序很可能就包含一段惡意的代碼，或泄露敏感信息，或對用戶的系統進行破壞。隨著Java、javascript和ActiveX控件及其相應瀏覽器的推廣，這一問題變得更加突出和尖銳。防火墻的另一個缺點是易用性不夠，大多數產品還需要網絡管理員手工建立。當然，這一問題馬上會得到改觀。

     防火墻在當今Internet上的存在是有生命力的，但它不能替代墻內的安全措施，因此，它不是解決所有網絡安全問題的萬能藥方，只是網絡安全政策和策略中的一個組成部分。

    五、一些主要防火墻產品介紹 

    TIS FWTK

     TIS FWTK 是Trusted Information Systems(TIS)Firewall Tools Kit的簡稱，也稱為FWTK。它是應用網關式防火墻軟件包的典型代表。

     FWTK是用來建立和維護內部網絡防火墻的工具集。它的代碼是用C語言編寫的，在網上可以找到它的源碼。它可以運行在基于BSD UNIX的許多平臺上，包含了許多獨立的組件，大部分的組件是代理應用程序。它包括以下幾種服務的代理：

     Telnet；FTP；rlogin；sendmail；HTTP；X窗口系統。

     FWTK是一個復雜的系統，并不是安裝上便能開始保護網絡。它是一個“工具箱”。安裝后，用戶必須作出一定的決策并知道這樣做能獲得何種結果，因此這并不是簡單的配置問題。如果制定的規(guī)則或做出的決定是錯誤的，使用網絡將會面臨許多問題。

     FWTK的突出優(yōu)點是將很好的訪問控制融入其設計中。例如，用戶可以許可（或拒絕）從某網絡，或某個網絡的一部分，甚至從某個地址上對被保護的網絡進行訪問。

    Raptor公司Eagle系列防火墻

     Raptor公司已有很久的歷史了。它從1991年開始推銷它的防火墻系列產品。Raptot公司的網上介紹位于：http://www.raptor..com/products/brochure/40broch.html＃ abontraptor。

     該公司的防火墻產品使用了許多防火墻技術，包括大量日志的記錄；對可疑行為制定的事件觸發(fā)式處理；嚴格的分類訪問控制等。

     而且這些產品支持應用代理。相關站點：http:/www.raptor.com/products/brochure/40broch.html

     CheckPoint Firewall和Firewall－1

     CheckPoint公司以Israel為基地，于1993年成立。目前在美國的八個城市開了分公司。此公司的系列產品可用于各種平臺上。

     CheckPoint Fireawall－1的一個有趣的功能是對時間對象的控制。此功能允許管理員指定一天中的某段時間，并在這段時間內才執(zhí)行訪問控制。Firewall－1還能將處理任務分散到一組工作站上，從而減輕每個工作站的負擔。

     有關CheckPoint的文章和新聞可在網上找到，請參考：

    http://www.Checkpoint.com/press/

     如果想得到有關Check Point公司的最好產品的更詳細信息，請訪問此地址：

    http://www.checkpoint.com/products/firewall/intro.html

    Sunscreen

     Sun公司的SunScreen是由一系列產品組成。主要的產品包括：

     SunScreen Spf 100/100G，實行Turnkey解決方案，并提供無IP地址的通訊能力，將內部主機的IP地址隱藏起來。

     SunScreenTMEFS，可進行嚴格的數據包過濾和加密處理。提供遠程管理和通過HTML界面進行管理的功能，使管理員的管理工作變得更方便。有關SunScreenTMEFS的一些說明位于網址：

    http://www.sun.dom/securit6/prodspec.html

     SunScreen SKIP，此產品能使PC機和工作站進行安全驗證。

    Portus Secure Network Firewall

     Portus是一個NCSA認證的高性能應用程序代理網關。它支持所有TCP、IP連接并增加了UDP代理。產品包括：Portus Secure Network Firewall for AIX，Portus Secure Network Firewall for Solaris，Portus Secure Network Firwall Installation and Administration Guide (Arobat file)。這是一些30天全功能演示版。

【企業(yè)級防火墻選購,部署指南】相關文章：

芻議防火墻的選購08-06

Internet防火墻技術綜述08-06

《指南》心得04-26

基于Cisco PIX Firewall的防火墻系統08-06

職場辭職指南08-16

《指南錄后序》08-16

學習《指南》心得08-13

外企面試指南08-15

美國銀行與證券業(yè)的“金融防火墻”08-05