网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 防火墙 > 文章  
怎么样给企业级防火墙“体检”
文章来源: 计世网 文章作者: 邱晓理 发布时间: 2006-08-14   字体: [ ]
 

  防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,要为企业选择一款适合的防火墙,必须从其自身安全性、网络性能、易管理性和灵活性等多方面考虑。

  当企业决定用防火墙来实施组织的安全策
  略后,下一步就是要选择一个安全、稳定、性价比高的防火墙。防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。要选择一款适合于企业网络应用的防火墙,必须对其进行严格的“入职体检”。

  一、 安全性能

  防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,故其自身的安全性十分重要。安全性不高的防火墙,其他性能再好也是空谈。防火墙安全性包括以下几个方面:

  ● 自身安全性 自身安全性主要是指防火墙系统的健壮性,即防火墙本身应该是难以被攻入的。另外防火墙的管理方式也很重要,应注意管理员采用什么方式管理防火墙,是telnet还是web,有没有加密和认证等等。为了防止冒用,防火墙应该采取密码、电子密钥等设置,并采用强用户认证机制,即管理员必须通过双因子认证,才能登录,并对配置和访问权限进行修改。同时,管理主机与防火墙之间的通信一般采用加密传输。好的防火墙具有双机备份功能,在实现上不应存在高、中风险的安全漏洞。

  ● 访问控制能力 访问控制能力是防火墙的核心功能,包括控制细度和控制强度,控制细度也就是能控制哪些内容,比如地址、协议、端口、时间、用户、命令、附件等; 控制强度指应该限制的内容必须全部阻断,而应该通过的内容不能有任何阻断。

  ● 抗攻击能力 抗攻击能力是指防火墙对各种攻击的抵抗能力。防火墙因为是网络中的众矢之的,所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击: 拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击等,特别是要能应对DOS和DDOS攻击。目前对于DDOS攻击还没有什么完善的解决办法,因此对DDOS攻击主要看能抵御的强度有多大。

  用户在选择防火墙的时候,由自己来判断以上这些性能是很困难的,因为用户没有专门的测试工具和手段,但可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军方认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336,一共7级,等级越高越好。

  另外,在选购时应考察防火墙的支撑平台,一般来说,防火墙至少应构建于安全操作系统之上,有些产品采用的是专用操作系统甚至是专用的硬件平台,其安全性可以得到更好的保证。

  二、 网络性能

  作为影响网络性能的瓶颈,防火墙的产品性能是用户在选购时必须重点考察的指标。在保证安全的基础上,应该最大程度减少对网络性能的影响。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率,通常将它作为衡量防火墙性能的最重要的指标,我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。

  对于网络性能,主要指标是最大带宽、并发连接数、每秒新增连接数、丢包和延迟等。防火墙在部分策略起作用和全通策略的状态下,上述指标都是不一样的。针对防火墙性能的选择,一直都有个误区,即把穿越防火墙的64字节UDP报文的吞吐量当作最重要的性能指标。但实际上这项数据对用户到底有多少指导意义呢?试想,用户哪里有纯粹的64字节的UDP流量?所以,在进行性能选购时,应测试防火墙在添加了一两百条过滤规则、添加了NAT后的Web性能,以及混合不同包长和协议后的延迟,在实施DOS攻击情况下,防火墙启动攻击防御,测试此时穿越防火墙的VoIP的服务质量,上述这些参数在实际应用中才更有参考价值。用户一定要考虑实际环境,比如先按照用户的要求添加若干条策略(全通策略在最后)然后再测试。

  对性能的考察需要专业的测试,用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面,更为重要的还是权威测评机构出具的性能测试报告。

 
推荐文章
·构建Linux系统下U盘路由器、防火
·安全基础:防火墙功能指标详解
·没有防火墙是可行的 但是并不理
·2005年度千兆防火墙公开比较评测
·没有防火墙的安全:明智还是愚蠢?
·使用防火墙封阻应用攻击的八项技
·防火墙与路由器的安全性比较
·防火牆安全管理
·netfilter: Linux 防火墙在内核
·再谈防火墙及防火墙的渗透
·一种新的穿透防火墙的数据传输技
 

 
共2页: 上一页 1 [2] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·网络安全保护神——免费
·浴火坚“墙”——12款防
·防火墙技术综述
·教你命令行下配置Window
·2005年度千兆防火墙公开
·构建Linux系统下U盘路由
·Windows Vista系统防火
·Win XP SP2自带防火墙设
相关分类
相关文章
·怎样用ipchains构建防火
·防火墙技术综述
·Check Point防火墙简介
·基于NAT的混合型防火墙
·防火墙功能指标详解
·安装防火墙的十二个注意
·浅析传统网络防火墙的五
·全面实战Windows XP防火
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $