防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,要为企业选择一款适合的防火墙,必须从其自身安全性、网络性能、易管理性和灵活性等多方面考虑。
当企业决定用防火墙来实施组织的安全策 略后,下一步就是要选择一个安全、稳定、性价比高的防火墙。防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。要选择一款适合于企业网络应用的防火墙,必须对其进行严格的“入职体检”。
一、 安全性能
防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,故其自身的安全性十分重要。安全性不高的防火墙,其他性能再好也是空谈。防火墙安全性包括以下几个方面:
● 自身安全性 自身安全性主要是指防火墙系统的健壮性,即防火墙本身应该是难以被攻入的。另外防火墙的管理方式也很重要,应注意管理员采用什么方式管理防火墙,是telnet还是web,有没有加密和认证等等。为了防止冒用,防火墙应该采取密码、电子密钥等设置,并采用强用户认证机制,即管理员必须通过双因子认证,才能登录,并对配置和访问权限进行修改。同时,管理主机与防火墙之间的通信一般采用加密传输。好的防火墙具有双机备份功能,在实现上不应存在高、中风险的安全漏洞。
● 访问控制能力 访问控制能力是防火墙的核心功能,包括控制细度和控制强度,控制细度也就是能控制哪些内容,比如地址、协议、端口、时间、用户、命令、附件等; 控制强度指应该限制的内容必须全部阻断,而应该通过的内容不能有任何阻断。
● 抗攻击能力 抗攻击能力是指防火墙对各种攻击的抵抗能力。防火墙因为是网络中的众矢之的,所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击: 拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击等,特别是要能应对DOS和DDOS攻击。目前对于DDOS攻击还没有什么完善的解决办法,因此对DDOS攻击主要看能抵御的强度有多大。
用户在选择防火墙的时候,由自己来判断以上这些性能是很困难的,因为用户没有专门的测试工具和手段,但可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军方认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336,一共7级,等级越高越好。
另外,在选购时应考察防火墙的支撑平台,一般来说,防火墙至少应构建于安全操作系统之上,有些产品采用的是专用操作系统甚至是专用的硬件平台,其安全性可以得到更好的保证。
二、 网络性能
作为影响网络性能的瓶颈,防火墙的产品性能是用户在选购时必须重点考察的指标。在保证安全的基础上,应该最大程度减少对网络性能的影响。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率,通常将它作为衡量防火墙性能的最重要的指标,我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。
对于网络性能,主要指标是最大带宽、并发连接数、每秒新增连接数、丢包和延迟等。防火墙在部分策略起作用和全通策略的状态下,上述指标都是不一样的。针对防火墙性能的选择,一直都有个误区,即把穿越防火墙的64字节UDP报文的吞吐量当作最重要的性能指标。但实际上这项数据对用户到底有多少指导意义呢?试想,用户哪里有纯粹的64字节的UDP流量?所以,在进行性能选购时,应测试防火墙在添加了一两百条过滤规则、添加了NAT后的Web性能,以及混合不同包长和协议后的延迟,在实施DOS攻击情况下,防火墙启动攻击防御,测试此时穿越防火墙的VoIP的服务质量,上述这些参数在实际应用中才更有参考价值。用户一定要考虑实际环境,比如先按照用户的要求添加若干条策略(全通策略在最后)然后再测试。
对性能的考察需要专业的测试,用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面,更为重要的还是权威测评机构出具的性能测试报告。
共2页: 上一页 1 [2] 下一页
|