硬件防火墙性能差异鉴别及硬件防火墙选择指导.doc

硬件防火墙性能差异鉴别及硬件防火墙选择指导本文由neo_hello贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 硬件防火墙性能差异鉴别及硬件防火墙选择指导 一,硬件防火墙性能差异鉴别 二,硬件防火墙选择指导 一,硬件防火墙性能差异鉴别 有一些问题常令用户困惑:在防火墙产品的功能上,各个厂商的描述 十分雷同,一些后起之秀与知名品牌极其相似.面对这种情况, 该如何鉴别?描述得十分类似的产品,即使是同一个功能,在具体实 现上,在可用性和易用性上,个体差异也十分明显. 一,网络层的访问控制 所有防火墙都必须具备此项功能,否则就不能称其为防火墙. 当 然,大多数的路由器也可以通过自身的 ACL 来实现此功能. 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 1.规则编辑 对网络层的访问控制主要表现在防火墙的规则编辑上, 我们一定 要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制 的粒度是否足够细?同样一条规则,是否提供了不同时间段的控制手 段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的 安全意志? 2.IP/MAC 地址绑定 同样是 IP/MAC 地址绑定功能,有一些细节必须考察,如防火墙 能否实现 IP 地址和 MAC 地址的自动搜集?对违反了 IP/MAC 地址绑 定规则的访问是否提供相应的报警机制?因为这些功能非常实用,如 果防火墙不能提供 IP 地址和 MAC 地址的自动搜集,网管可能被迫 采取其他的手段获得所管辖用户的 IP 与 MAC 地址,这将是一件非 常乏味的工作. 3,NAT(网络地址转换) 这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之 一.但对此一项功能,各厂家实现的差异非常大,许多厂家实现 NAT 功能存在很大的问题:难于配置和使用,这将会给网管员带来巨大的 麻烦.我们必须学习 NAT 的工作原理,提高自身的网络知识水平, 通过分析比较,找到一种在 NAT 配置和使用上简单处理的防火墙. 二,应用层的访问控制 这一功能是各个防火墙厂商的实力比拼点,也是最出彩的地方. 因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 块(因为 linux/ target=_blankLinux,FreeBSD 等的内核模块已经支 持状态监测),但是对应用层的控制却无法实现拿来主义 ,需要实 实在在的编程. 对应用层的控制上,在选择防火墙时可以考察以下几点. 1.是否提供 HTTP 协议的内容过滤? 目前企业网络环境中,最主要的两种应用是 WWW 访问和收发 电子邮件.能否对 WWW 访问进行细粒度的控制反映了一个防火墙 的技术实力. 2.是否提供 SMTP 协议的内容过滤? 对电子邮件的攻击越来越多:邮件炸弹,邮件病毒,泄漏机密信 息等等, 能否提供基于 SMTP 协议的内容过滤以及过滤的粒度粗细成 了用户关注的焦点. 3. 是否提供 FTP 协议的内容过滤? 在考察这一功能时一定要细心加小心, 很多厂家的防火墙都宣传 说具备 FTP 的内容过滤,但细心对比就会发现,其中绝大多数仅实 现了 FTP 协议中两个命令的控制:PUT 和 GET.好的防火墙应该可以 对 FTP 其他所有的命令进行控制,包括 CD,LS 等,要提供基于命 令级控制,实现对目录和文件的访问控制,全部过滤均支持通配符. 三,管理和认证 这是防火墙非常重要的功能.目前,防火墙管理分为基于 WEB 界面的 WUI 管理方式,基于图形用户界面的 GUI 管理方式和基于命 令行 CLI 的管理方式. 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 各种管理方式中,基于命令行的 CLI 方式最不适合防火墙. WUI 和 GUI 的管理方式各有优缺点. WUI 的管理方式简单,不用专门的管理软件,只要配备浏览器 就行;同时,WUI 的管理界面非常适合远程管理,只要防火墙配置一 个可达的 IP,可实现在美国管理位于中国分公司的防火墙. WUI 形式的防火墙也有缺点:首先, WEB 界面非常不适合进行复 杂,动态的页面显示,一般的 WUI 界面很难显示丰富的统计图表, 所以对于审计,统计功能要求比较苛刻的用户,尽量不要选择 WUI 方式;另外,它将导致防火墙管理安全威胁增大,如果用户在家里通 过浏览器管理位于公司的防火墙, 信任关系仅仅依赖于一个简单的用 户名和口令,黑客很容易猜测到口令,这增加了安全威胁. GUI 是目前绝大多数防火墙普遍采用的方式. 这种方式的特点是 专业,可以提供丰富的管理功能,便于管理员对防火墙进行配置. 但 缺点是需要专门的管理端软件, 同时在远程和集中管理方面没有 WUI 管理方式灵活. 四,审计和日志以及存储方式 目前绝大多数防火墙都提供了审计和日志功能, 区别是审计的粒 度粗细不同,日志的存储方式和存储量不同. 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 很多防火墙的审计和日志功能很弱, 这一点在那些以 DOM, DOC 等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现 得尤为明显,有些甚至没有区分事件日志和访问日志.如果需要丰富 的审计和日志功能,就需要考察防火墙的存储方式,如果是 DOM, DOC 等 Flash 电子盘的存储方式, 将可能限制审计和日志的功能效果. 目前绝大多数防火墙审计日志采用硬盘存储的方式, 这种方式的 优点是可以存储大量的日志(几个 G 到几十个 G),但是在某些极端的 情况下,如异常掉电,硬盘受到的损坏往往要比电子盘的损坏严重. 好的防火墙应该提供多种存储方式,便于用户灵活选择和使用. 五,如何区分包过滤和状态监测 一些小公司为了推销自己的防火墙产品, 往往宣称采用的是状态 监测技术; 从表面上看,我们往往容易被迷惑.这里给出区分这两种 技术的小技巧. 1. 是否提供实时连接状态查看? 状态监测防火墙可以提供查看当前连接状态的功能和界面, 并且 可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双 方的 IP,端口,连接状态,连接时间等等,而简单包过滤却不具备这 项功能. 2. 是否具备动态规则库? 某些应用协议不仅仅使用一个连接和一个端口, 往往通过一系列 相关联的连接完成一个应用层的操作.比如 FTP 协议,用户命令是 通过对 21 端口的连接传输,而数据则通过另一个临时建立的连接(缺 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 省的源端口是 20,在 PASSIVE 模式下则是临时分配的端口)传输. 对 于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得 不开放所有源端口为 20 的访问. 状态监测防火墙则可以支持动态规则, 通过跟踪应用层会话的过 程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求. 对于 FTP 来说,只需防火墙中设定一条对 21 端口的访问规则,就可 以保证 FTP 传输的正常,包括 PASSIVE 方式的数据传输.这一功能 不仅使规则更加简单,同时消除了必须开放所有 20 端口的危险. 二,硬件防火墙选择指导 对于公司网络安全来说,防火墙起的是关键性的作用,只有它,才可 以防止来自互联网上永不停止的各种威胁. 防火墙的选择对远程终端 连接到中心系统获取必要资源或完成重要任务的影响也非常大. 当选 择基于硬件的防火墙时,应当考虑以下十个方面的因素,以确保企业 实现投资,安全性和生产力的最大化. 1:必须可以提供值得信赖的安全 在市面上,UTM 的种类非常多.根据商业模式的不同,一些网络安 全设备可以提供大量的功能和全面的服务, 但是需要公司承担高昂的 价格,而另一些则只包含了基本的服务,但采购的成本也很低. 因此,选择的时间一定要确保平台是公认和值得信赖的.Barracuda, 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 思科,SonicWALL 公司和 WatchGuard 都属于拥有市场份额的著名品 牌,它们获得的市场份额就是可以提供值得信赖安全的很好的理由. 无论你选择什么品牌的防火墙, 都应该确保其通过国际计算机安全协 会(ICSA)的认证,符合数据包检测的行业标准. 2:具有良好的易用性 在安全方面,全球跨国企业需要多级控制管理,但即使是这些需要大 量保护的企业也不应该将设备配置方式限定在命令行模式下. 很多防 火墙都可以在提供高度安全性的同时, 提供友好的图形界面以方便管 理. 这样做的优点有几个方面. 图形用户界面有助于防止安装时间出现错 误.在图形用户界面下,更容易地诊断和纠正故障.图形用户界面也 更易于培训工作人员,并进行调整,升级和更新. 在选择基于硬件的防火墙时,考虑到易用性也会带来很大的好处. 一 个平台越容易进行管理,就越容易找到可以进行安装,维护和故障处 理等工作的专业人士. 3:必须包含 VPN 支持 防火墙存在的目的并不限于防止网络黑客的攻击和非法数据输出. 一 个好的防火墙还应该可以在为远程连接建立安全通道, 并对其进行监 测.在选择基于硬件的防火墙时,应该确保其支持同类设备的基 于 SSL-和 IPSec-保护的 VPN 连接(以保护点至点或站点到站点 VPN), 让员工可以实现安全连接. 4:功能选择要符合实际需求 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 在网络策略中,防火墙通常承担公司网络的互联网网关的角色.对于 规模较小的办公室,可以让防火墙承担双重责任,即既作为安全设备 又作为网络交换机.同时,对于规模较大的办公环境来说,防火墙属 于更大结构的组成部分,这时,它承担的唯一责任就是对流量进行过 滤. 确保防火墙可以对负载进行分配管理. 这就意味着它需要配备必要的 以太网端口并拥有适当的速度(如果有必要的话,应该选择 10Mbps/100Mbps 和/或 1000Mbps).但还有更多要注意的因素,确保 你选择的防火墙拥有进行数据包检查的功能, 并且可以提供安全服务 网关和路由功能. 特别要注意的是制造商关于支持最大节点数目的建议. 如果超过了路 由器的能力,就可能会出现错误,数据传输就会由于缺乏许可或者超 过支持范围而中断. 5:应该拥有可靠的技术支持 硬件出现问题是有可能的.更坏的情况可能是,仅仅因为是新设备并 不意味着它一定可以正常工作. 全天候的技术支持以及部署过程中的 全面技术支持应当包含在和防火墙制造商签定的技术支持合同中. 在购买前,应该拨打制造商技术支持团队的电话,了解部署和配置方 面的问题.根据答复的速度和内容等情况,可以确定在实地部署出现 问题时你将获得服务的情况. 6:关注无线网络安全 即使在选择基于硬件的防火墙时,公司并不认为这是必须的情况下, 本文整理由 Linux 服务器 /fuwuqi/linux/服务器安全 /fuwuqi/anquan/ 美国空间 /mailpacket.html Windows 服务器 /fuwuqi/windows/ 也应该将无线网络功能包含进来.IT 团队可以在部署的时间关闭无 线网络功能.增加无线局域网功能会导致购买成本增加,但对于客户 连接或方便地访问网络来说,这是必须的.安全的无线连接是很容易 获得的(并不需要购买一台全新的路由器).对于一家处于变化中的公 司企业来说,无线局域网功能可能被证明是必要的. 7:可以提供网关安全服务 通过设置防火墙,很多公司成功地降低了病毒,间谍软件和垃圾邮件 带来的大量威胁.在比较防火墙功能,确定运行费用的时间,为了减 低成本, 你可以选择在防火墙而不是传统的域控制器或其他服务器上 部署这些服务. 8:能够进行内容过滤 现在很多 IT 部门都选择使用 OpenDNS 进行内容过滤, 一些防火墙制 造商也在设备中提供了网页过滤的选择. 对于所有和业务有关的网络 服务来说,都需要利用网关安全服务进行内容过滤.这样做的优点是 可以实现功能集成在一台设备中. 但缺点是, 你需要支付相关的费用. 因此,在选择基于硬件的防火墙解决方案时,要考虑到