防火墙的测试与选购.pptVIP

防火墙的测试与选购 通常所说的“防火墙”是指位于网络连接的边界防火墙， 它是内、外部网络问的第一道安全关口。如图所示的是 一款边界防火墙。它的主要作用就是通过不同的过滤规 划或安全防护策略保护内部网络不受外部网络的攻击。 防火墙的选购第一步 选择合适产品的一个前提条件就是，明确用户的具体需求。因此， 选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、 用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具 体需求进行分析。 需求分析: 首先，要考虑网络结构。包括网络边界出口链路的带 宽要求、数量等情况，比如边界连接多个ISP;IP地址 规划对防火墙地址转换的需求，比如对路由模式和 NAT模式的支持;是否需要按照不同安全级别设立多个 网段，如设置内网、外网、停火区等三个或三个以上 网段。目前，市场上的大多防火墙都至少支持三个口 ，甚至更多。 其次，要考虑到业务应用系统需求。防火墙对特 定应用的支持功能和性能，比如对视频、语音、数据 库应用穿透防火墙的支持能力;防火墙对应用层信息过 滤，比如对垃圾邮件、病毒、非法信息等过滤;对应用 系统是否具有负载均衡功能。 第三，要考虑用户及通信流量规模方面的需求。网络规 模大小、跨防火墙访问的网络用户数量，要求防火墙具 有较高的最大并发连接数;网络边界的通信流量要求防火 墙具有较高的吞吐量、较低的丢包率、较低的延时等性 能指标，防止出现网络性能瓶颈。 最后，还要考虑到可靠性、可用性、易用性等方面 的需求。支撑高可用、高可靠的网络平台，要求防火墙 必须达到一定的冗余能力，包括对双机热备、负载均衡 、多机集群等的支持能力。对于大型网络分布式防火墙 配置，要求有集中控管能力、管理界面的友好性、远程 配置的安全保密等功能。 防火墙选购第二步坚定选择原则 在整理出具体的需求以后，可以得到一份防火墙的需求 分析报告。下一步的工作就是在众多的品牌和档次中选 出满足需求的产品，并考虑一定的扩展性要求。选择的 主要原则有: 第一，以需求为导向，选择最适合用户需求的产品 。这里强调最适合并不意味着某一种或某几种性能及功 能最好，因为评价一款防火墙的性能及功能指标很多， 是一个大集合，用户应集中在自己真正需要的那些指标 ，超出用户需求子集的指标不能作为选择依据;而且不同 厂家可能拥有不同的技术优势，某些指标好，某些指标 弱，有时需要进行折中考虑。另外，还要考虑到用户可 承受的性价比。 第二， 对于产品的选型，可参考的指标来源与厂家提供 的技术白皮书、各种测评机构的横向对比测试报告，从 中可以了解产品的一些基本性能情况。但由于测试时间 、测试条件的差异性，把这些测试报告做横向对比的参 考价值不是太高。 第三，要完全按照用户的实际需求来对比各种产品 的满足程度，最好是根据需求，定制一套测试方案，并 对防火墙在统一测试条件和测试环境下进行横向对比测 试，这样出来的测试结果才真正具有可比性。关于防火 墙选型测试的技术标准可以参照包过滤防火墙安全技 术要求GB/T18019-1999、应用级防火墙安全技 术要求GB/T18020-1999、信息技术 安全技术 信 息技术安全性评估准则GB/T18336-2001以及 RFC2544、RFC2647、RFC3511等标准和文档。 防火墙选购第三步明确常用指标 由于防火墙的各项指标具有较强的专业性，用户要把这 些似懂非懂的指标与需求一一对应起来尚存在一定的难 度，因此，用户在选择时，有必要把防火墙的主要指标 和需求联系起来。 目前，防火墙常用的技术指标包括性能指标、功能 指标、防攻击指标以及防火墙对集中管理、分级管理、 日志管理等功能的支持，提供较为友好和安全的配置方 式和工具等。 性能指标主要包括吞吐量、丢包率、延迟、最大并 发连接数、并发连接处理速率等。用户在选择时，应该 根据自身的网络规模和需求，对上述几个指标参数进行 详细了解，选择适合的产品，可以向有关专家询问请教 。 1软软、硬防火墙墙的选选型考虑虑 软件防火墙是安装在计算机平台的软件产品，它通过 在操作系统底层工作来实现网络管理和防御功能的优 化。硬件防火墙的硬件和软件都单独进行设计，采用 专用的网络芯片处理数据包。 第一种：软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计 算机操作系统的支持，一般来说这台计算机就是整个网络的网关 。软件防火墙就象其它的软件产品一样需要先在计算机上安装并 做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名 的莫过于Checkpoint。 第二种：硬件防火墙 目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们 都基于PC架构，就是说，它们和普通的家庭用的PC没有太 大区别。在这些PC架构计算机上运行一些经过裁剪和简化 的操作系统，最常用的有老版本的Unix、Linux和FreeBSD 系统。 第三种：芯片级防火墙 它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片 促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高 。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有 FortiNet,算是后起之秀了 2防火墙墙技术类术类型的考虑虑 目前在市场中的防火墙根据所采用的主要过滤技术可 划分为包过滤型防火墙、应用代理型防火墙和状态包 过滤型防火墙3种。 3、防火墙产品的类型路由器集成式和硬件独立式防 火墙 。 在边界防火墙中，如果从硬件结构来看的话，基本上 有两大类：路由器集成式和硬件独立式防火墙。前 者是在边界路由器基础上辅以软件，添加一些包过滤 功能，通常称之为包过滤防火墙，如Cisco IOS防火 墙等；而独立式硬件防火墙通常是基于应用级网关、 自动代理等较先进过滤技术的，各种过滤技术有不同 的优点和适用环境，要注意选择。 4、LAN端口类类型和数量 防火墙的LAN端口类型要符合应用环境的网络连接需 求。主要的LAN端口类型有以太网、快速以太网、千 兆位以太网、ATM等主流网络类型。 5、协议支持 防火墙要对各种数据包进行过滤，就必须对相应数据 包通信方式提供支持，除了广泛受支持的TCPIP协 议外，还有可能需要支持AppleTalk、DECnet、IPX 及NETBEUI等协议。 6、访问控制配置 防火墙的访问规则是防火墙的一项重要而又基本的功 能。在防火墙中的访问规则列表中，不同的防火墙有 不同的配置方式，也就体现了不同防火墙系统的安全 策略完善程度。好的防火墙过滤规则应涵盖所有出入 防火墙的数据包的处理方法，对于没有明确定义的数 据包，也应有一个默认处理方法。 7、自身的安全性 防火墙的安全性能取决于防火墙是否采用了安全的操 作系统和是否采用了专用的硬件平台。 8、防御功能 防火墙不仅能根据TCP/UDP/IP协议进行阻断外也要求 本身具有一定的防御功能指的是防火墙能够防止某些攻 击( Flood、针对ICMP的攻击等多种DoS攻击 )、进行 内容过滤、病毒扫描，使用户即使没有入侵检测产品和 防病毒产品的情况下也能够通过防火墙获得一定的防护 能力。 在提供病毒扫描功能的防火墙中，要验证其扫描的文 档类型 验证防火墙是否具有抵御DoS攻击的能力 随着黑客攻击手段的提高，新的入侵手段的防御 9、连接性能 因为防火墙位于网络边界，需对进入网络的所有数据 包进行过滤，这就要求防火墙能以最快的速度及时对 所有数据包进行检测，否则就可能造成比较的延时， 甚至死机 9、VPN和加密认证认证 防火墙与VPN的集成是一个重要发展方向。VPN模块在对 各种协议和算法的方面支持程度，包括DES、3DES、 AES、CAST、BLF、RC2/R4等在内的主流加密算法的支 持。 在身份认证方面，防火墙支持的认证方法很重要 。防火墙 支持本地、RADIUS、SecureID、NT域、数字证书、 MSCHAP等多种认证方式和标准 10、管理功能 在管理方面，主要是出于网络管理员对防火墙的日常 管理工作方便性角度考虑，防火墙要能为管理员提供 足够的信息或操作便利。 对于大型网络，如果存在多个防火墙，我们还要考虑 防火墙是否支持集中管理 。 管理界面 管理一个防火墙的方法一般来说是两种：图形化界面 (GUI)和命令行界面(CLI)。 图形界面最常见的方式是通过web方式(包括http和 https)和java等程序编写的界面进行远程管理；命令行 界面一般是通过console口或者telnet/ssh进行远程管 理。 从易用性的角度来讲，Web管理是最好的方式。漂亮的 界面以及非常清晰的菜单选项可以使用户轻松配置管理 防火墙的各方面 11、记录和报表功能 在防火墙的日志记录和报表功能上，主要考虑以下几 个方面： 防火墙处理完整日志的方法： 是否提供自动日志扫描： 是否具有警告通知机制： 是否提供简要报表 是否提供实时统计 防火墙墙的日志/监监控 防火墙对受到的攻击和通过防火墙的请求应具有完备 的日志功能，包括安全日志、时间日志和传输日志。 A.日志管理软件实现对日志服务器的配置和管理，可 以利用管理软件对日志信息进行查询、统计和提供审 计报表 . B.支持多种日志服务器的存储方式，包括Internal、 Syslog、WebTrends、flash卡等。 C.当日志中监测到系统有可疑的行为或网络流量超过 某个设定阈值时，根据设定的规则，防火墙应该向管 理员发出报警信号 D.对日志进行分级和分类将非常有利于日志信息的查 询以及处理。 12灵活的可扩扩展和可升级级性 用户的网络不可能永远一成不变，随着业务的发展， 公司内部可能组建不同安全级别的子网。这样防火墙 不仅要在公司内部网和外部网之间进行过滤，还要在 公司内部子网之间进行过滤。 13协协同工作能力 因为防火墙只是一个基础的网络安全设备，它不代表 网络安全防护体系的全部。通常它需要与防病毒系统 和入侵检测系统等安全产品协同配合，才能从根本上 保证整个系统的安全。所以在选购防火墙时就要考虑 它是否能够与其他安全产品协同工作。 14品牌知名度 防火墙产品属高科技产品，生产这样的设备不仅需要 强大的资金作后盾，而且在技术实力上需要有强大的 保障。选择了好的品牌在一定程度上也就选择了好的 技术和服务，对将来的使用更加有保障。 目前国外在防火墙产品的开发、生产中比较著名的品 牌有：3 COM、Cisco、NetScreen、Check Point 等 国内开发、生产防火墙的品牌主要有：联想、天网、 实达、东软、天融信等 防火墙的的重要指标 防火墙的性能指标说明 A.吞吐量 吞吐量的高低决定了防火墙在不丢帧的情况下转发数据 包的最大速率.经常以pps（包每秒）来衡量 ,防火墙作 为内外网之间的唯一数据通道，如果吞吐量太小，就会 成为网络瓶颈，给整个网络的传输效率带来负面影响 B.并发会话数 并发会话连接数指的是防火墙或代理服务器对其业务信 息流的处理能力，是防火墙能够同时处理的点对点会话 连接的最大数目，它反映防火墙对多个连接的访问控制 能力和连接状态跟踪能力。 每秒新建会话数 假设在第一时间，已经占用了防火墙的全部会话数， 在下一秒，就要等待防火墙处理完之前不需要的会话 数才能让需要的人继续使用剩余的会话数。那么这个 每秒新增会话数就很重要了。如果每秒新增会话数不 够的话，剩下的人就要等待有新的会话数出来。 防火墙的工作模式 1.透明模式时 防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任 何源或目的地信息 2. NAT模式 防火墙的作用与Layer 3(第3层)交换机(或路由器)相似，将绑 定到外网区段的IP封包包头