网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 防火墙 > 文章  
怎么样给企业级防火墙“体检”
文章来源: 计世网 文章作者: 邱晓理 发布时间: 2006-08-14   字体: [ ]
 

  三、应用层功能

  防火墙的选择归根结底还是要落实到应用层面上,因为所有的安全措施乃至产品必然是为了促进应用而衍生出来的,如果不是网络应用的需求,网络安全也无从谈起。所以选购防火墙还应该考虑防火墙的各项功能,包括地址转换、IP/MAC绑定、静态和动态路由 、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。

  支持哪些使用动态端口的协议也是在选购防火墙时要了解的问题。最为典型的是VoIP应用,打算部署VoIP的用户需要清楚自己将使用哪种VoIP设备,是基于H.323、SIP,还是其他协议,有些防火墙只支持H.323而不支持SIP,有的防火墙不仅能够支持多种VoIP协议和各种拓扑,而且还能针对H.323的攻击进行防御。

  安全审计也是防火墙的一个十分重要的功能,它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。

  用户应该首先明确自己都需要什么功能,并且要确定这些功能都要达到什么效果。然后再寻找相应的设备。有些功能在不同厂家的定义是不同的,实现的效果也不一样。

  四、易管理性和灵活性

  ● 易管理性是指提供最终用户方便的配置、管理防火墙的手段,如果配置管理方面非常复杂,会给设备的安装和维护带来很多困难,甚至使防火墙失去保护网络的功能。防火墙这种设备不像交换机,安装好了可以不用再管,防火墙需要经常管理。日常的管理就是看日志、修订策略、添加和删除用户;更高的管理还包括第三方互动、VPN建立和远程集中管理等等。管理方面用户应该注意界面的友好性,设置选项通俗易懂。日志特别重要,好的日志系统应该有详细的记录,包括连接的状态和内容,应该便于分类和排序,能方便存入数据库并有syslog等标准的接口。对用户来说,远程管理要注意管理命令的加密和认证,是否支持策略远程导入导出等等。

  ● 灵活性主要体现在以下3点: 易于升级、支持大量协议和功能可扩展。

  防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

  可扩展性主要体现在硬件和软件两个方面,即硬件的网络接口模块可灵活扩展,系统软件能即时更新。一般情况下,防火墙在设计完成以后,其过滤规则都是定制好的,用户可改变的余地很小。特别是URL过滤规则(对支持URL过滤的防火墙而言),而网络中的漏洞是不断被发现的,内网管理人员也不必时时密切关注网络漏洞(这是个工作量很大,既耗费体力又容易出现遗漏的工作),大部分工作应留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。

  五、性价比

  毫无疑问,价格也是选购防火墙产品时应该考虑的重要因素。用户需要对防火墙功能、性能、价格和可管理性等进行考察,权衡总体拥有成本。产品的功能多当然是好事,但同时还要考察这些功能是否实用。实践证明,某些防火墙的功能如防病毒、计费等比较消耗防火墙的硬件资源,可能会影响防火墙的传输性能,而某些防火墙功能甚至可能导致防火墙本身的安全性下降,这是最危险的。

  六、开放性

  网络安全不是一两个厂商的一两个产品就能解决的问题,因此,如何保证网络中的多个安全产品能够很好地共融、联动、集成,就成为保护用户投资的非常重要的因素。在产品选型时,需要考察该产品能够与哪些厂商的哪些产品实现联动和集成,是否对其他厂商开放应用接口,是否加入开放性的安全联盟,如OPSEC、TOPSEC等,是否能与市场上的主流IDS产品联动等等。

  七、服务及产品认证

  购买防火墙前应考察厂商的背景、营业年限、服务能力、经营业绩、获得的认证等情况。随着安全技术的快速发展,防火墙软硬件需要经常升级和维护,因此,厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性,在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史以及该产品的销售纪录,并通过多种渠道了解产品的应用状况。

--
原文链接: http://www.ccw.com.cn/cio/research/info/htm2006/20060818_204251.asp

 
推荐文章
·构建Linux系统下U盘路由器、防火
·安全基础:防火墙功能指标详解
·没有防火墙是可行的 但是并不理
·2005年度千兆防火墙公开比较评测
·没有防火墙的安全:明智还是愚蠢?
·使用防火墙封阻应用攻击的八项技
·防火墙与路由器的安全性比较
·防火牆安全管理
·netfilter: Linux 防火墙在内核
·再谈防火墙及防火墙的渗透
·一种新的穿透防火墙的数据传输技
 
 
共2页: 上一页 [1] 2 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·网络安全保护神——免费
·浴火坚“墙”——12款防
·防火墙技术综述
·教你命令行下配置Window
·2005年度千兆防火墙公开
·构建Linux系统下U盘路由
·Windows Vista系统防火
·Win XP SP2自带防火墙设
相关分类
相关文章
·怎样用ipchains构建防火
·防火墙技术综述
·Check Point防火墙简介
·基于NAT的混合型防火墙
·防火墙功能指标详解
·安装防火墙的十二个注意
·浅析传统网络防火墙的五
·全面实战Windows XP防火
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $