教您怎么样给企业级防火墙“体检”

334421

防火墙作为一种安全防护设备，在网络中是众多攻击者的目标，要为企业选择一款适合的防火墙，必须从其自身安全性、网络性能、易管理性和灵活性等多方面考虑。
当企业决定用防火墙来实施组织的安全策略后，下一步就是要选择一个安全、稳定、性价比高的防火墙。防火墙作为网络安全体系的基础和核心控制设备，贯穿于受控网络通信主干线，它对通过受控干线的任何通信行为进行安全处理，同时也承担着繁重的通信任务。要选择一款适合于企业网络应用的防火墙，必须对其进行严格的“入职体检”。
一、 安全性能
防火墙作为一种安全防护设备，在网络中是众多攻击者的目标，故其自身的安全性十分重要。安全性不高的防火墙，其他性能再好也是空谈。防火墙安全性包括以下几个方面：
● 自身安全性
自身安全性主要是指防火墙系统的健壮性，即防火墙本身应该是难以被攻入的。另外防火墙的管理方式也很重要，应注意管理员采用什么方式管理防火墙，是telnet还是web，有没有加密和认证等等。为了防止冒用，防火墙应该采取密码、电子密钥等设置，并采用强用户认证机制，即管理员必须通过双因子认证，才能登录，并对配置和访问权限进行修改。同时，管理主机与防火墙之间的通信一般采用加密传输。好的防火墙具有双机备份功能，在实现上不应存在高、中风险的安全漏洞。
● 访问控制能力
访问控制能力是防火墙的核心功能，包括控制细度和控制强度，控制细度也就是能控制哪些内容，比如地址、协议、端口、时间、用户、命令、附件等；控制强度指应该限制的内容必须全部阻断，而应该通过的内容不能有任何阻断。
● 抗攻击能力
抗攻击能力是指防火墙对各种攻击的抵抗能力。防火墙因为是网络中的众矢之的，所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击：拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击等，特别是要能应对DOS和DDOS攻击。目前对于DDOS攻击还没有什么完善的解决办法，因此对DDOS攻击主要看能抵御的强度有多大。
用户在选择防火墙的时候，由自己来判断以上这些性能是很困难的，因为用户没有专门的测试工具和手段，但可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军方认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336，一共7级，等级越高越好。
另外，在选购时应考察防火墙的支撑平台，一般来说，防火墙至少应构建于安全操作系统之上，有些产品采用的是专用操作系统甚至是专用的硬件平台，其安全性可以得到更好的保证。

二、 网络性能
作为影响网络性能的瓶颈，防火墙的产品性能是用户在选购时必须重点考察的指标。在保证安全的基础上，应该最大程度减少对网络性能的影响。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率，通常将它作为衡量防火墙性能的最重要的指标，我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。
对于网络性能，主要指标是最大带宽、并发连接数、每秒新增连接数、丢包和延迟等。防火墙在部分策略起作用和全通策略的状态下，上述指标都是不一样的。针对防火墙性能的选择，一直都有个误区，即把穿越防火墙的64字节UDP报文的吞吐量当作最重要的性能指标。但实际上这项数据对用户到底有多少指导意义呢？试想，用户哪里有纯粹的64字节的UDP流量？所以，在进行性能选购时，应测试防火墙在添加了一两百条过滤规则、添加了NAT后的Web性能，以及混合不同包长和协议后的延迟，在实施DOS攻击情况下，防火墙启动攻击防御，测试此时穿越防火墙的VoIP的服务质量，上述这些参数在实际应用中才更有参考价值。用户一定要考虑实际环境，比如先按照用户的要求添加若干条策略（全通策略在最后）然后再测试。
对性能的考察需要专业的测试，用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面，更为重要的还是权威测评机构出具的性能测试报告。
三、应用层功能
防火墙的选择归根结底还是要落实到应用层面上，因为所有的安全措施乃至产品必然是为了促进应用而衍生出来的，如果不是网络应用的需求，网络安全也无从谈起。所以选购防火墙还应该考虑防火墙的各项功能，包括地址转换、IP/MAC绑定、静态和动态路由 、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。
支持哪些使用动态端口的协议也是在选购防火墙时要了解的问题。最为典型的是VoIP应用，打算部署VoIP的用户需要清楚自己将使用哪种VoIP设备，是基于H.323、SIP，还是其他协议，有些防火墙只支持H.323而不支持SIP，有的防火墙不仅能够支持多种VoIP协议和各种拓扑，而且还能针对H.323的攻击进行防御。
安全审计也是防火墙的一个十分重要的功能，它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。
用户应该首先明确自己都需要什么功能，并且要确定这些功能都要达到什么效果。然后再寻找相应的设备。有些功能在不同厂家的定义是不同的，实现的效果也不一样。

四、易管理性和灵活性
● 易管理性是指提供最终用户方便的配置、管理防火墙的手段，如果配置管理方面非常复杂，会给设备的安装和维护带来很多困难，甚至使防火墙失去保护网络的功能。防火墙这种设备不像交换机，安装好了可以不用再管，防火墙需要经常管理。日常的管理就是看日志、修订策略、添加和删除用户；更高的管理还包括第三方互动、VPN建立和远程集中管理等等。管理方面用户应该注意界面的友好性，设置选项通俗易懂。日志特别重要，好的日志系统应该有详细的记录，包括连接的状态和内容，应该便于分类和排序，能方便存入数据库并有syslog等标准的接口。对用户来说，远程管理要注意管理命令的加密和认证，是否支持策略远程导入导出等等。
● 灵活性主要体现在以下3点：易于升级、支持大量协议和功能可扩展。
防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。
可扩展性主要体现在硬件和软件两个方面，即硬件的网络接口模块可灵活扩展，系统软件能即时更新。一般情况下，防火墙在设计完成以后，其过滤规则都是定制好的，用户可改变的余地很小。特别是URL过滤规则（对支持URL过滤的防火墙而言），而网络中的漏洞是不断被发现的，内网管理人员也不必时时密切关注网络漏洞（这是个工作量很大，既耗费体力又容易出现遗漏的工作），大部分工作应留给防火墙厂家来做（相应需要有一个漏洞监测体系），用户肯定会满意很多。
五、性价比
毫无疑问，价格也是选购防火墙产品时应该考虑的重要因素。用户需要对防火墙功能、性能、价格和可管理性等进行考察，权衡总体拥有成本。产品的功能多当然是好事，但同时还要考察这些功能是否实用。实践证明，某些防火墙的功能如防病毒、计费等比较消耗防火墙的硬件资源，可能会影响防火墙的传输性能，而某些防火墙功能甚至可能导致防火墙本身的安全性下降，这是最危险的。
六、开放性
网络安全不是一两个厂商的一两个产品就能解决的问题，因此，如何保证网络中的多个安全产品能够很好地共融、联动、集成，就成为保护用户投资的非常重要的因素。在产品选型时，需要考察该产品能够与哪些厂商的哪些产品实现联动和集成，是否对其他厂商开放应用接口，是否加入开放性的安全联盟，如OPSEC、TOPSEC等，是否能与市场上的主流IDS产品联动等等。

七、服务及产品认证
购买防火墙前应考察厂商的背景、营业年限、服务能力、经营业绩、获得的认证等情况。随着安全技术的快速发展，防火墙软硬件需要经常升级和维护，因此，厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性，在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史以及该产品的销售纪录，并通过多种渠道了解产品的应用状况。

http://www.cnw.com.cn/cnw07/security/FireWall/htm2007/20070918_25568_4.shtml