正确选购——全面透视防火墙
随着网络应用越来越丰富,其安全问题也越来越受到人们的重视。众所周知,防火墙是一种部署在内外网边界上的访问控制设备,用来防止未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。防火墙主要分为简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。由于包过滤型防火墙安全性较差,所以,目前市场上的主流产品主要是后两种类型或者是混合型产品。目前,安全产品品牌很多,一个厂家也有很多款不同的防火墙;产品的售价也极为悬殊,从几千元到数十万元,甚至上百万元不等;同时,关于防火墙的新技术新概念层出不穷,让人眼花缭乱,一般用户很难做出正确的选择。评价是选择的前提,只有结合自身需求才能对防火墙产品做出准确的评价。本文对防火墙进行了深入分析,希望能够帮助您透过层层迷雾,看清您真正需要的是什么。
如何真实评价防火墙
防火墙的作用在于通过执行严格的访问控制策略保障网络安全,其核心价值就是安全防护。防火墙控制的对象是网络数据,通过执行用户针对2~7层制定的策略进行检查,根据检查结果决定接受、丢弃还是限制流量。虽然实际上防火墙也可以替换一部分路由器和交换机的功能,但过分强调这些功能的结果只能是舍本逐末。
由于在网络中引入了防火墙设备,必然要求防火墙能够提供相应的支持,包括可管理、环境适应能力、与已有交换机/路由器的互联互通,一定的吞吐能力和适当的延迟等,以便防火墙不会成为网络瓶颈,影响网络的正常运行。这些功能实际上是对防火墙的附加要求,虽然是必要的,但不会给用户带来增值,其总体要求是“适合就是最好的”。
虽然防火墙发展时间比较长,技术相对成熟,但关于防火墙的新概念、新技术仍然层出不穷,这些往往被厂商称为“卖点”。其中固然有用户需求变化的原因,但事实上也有相当一部分属于吸引用户眼球的概念炒作,很容易混淆视听。那么,应该如何真实评价防火墙呢?防火墙有GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》、GB/T17900-1999《网络代理服务器的安全技术要求》等国家标准,但这些标准只是规定了防火墙应符合的基本要求,一般防火墙产品都能满足。不过,如果想透过宣传迷雾深入了解防火墙,还得从用户使用的角度深入分析,下面就从功能/性能、管理、稳定性三方面进行介绍。
功能、性能需要综合评价
功能和性能一直是用户评价防火墙的主要方面,尤其是性能由于可量化,更是对比的重点,但真正搞明白这两个问题却不容易。
为了适应用户的复杂环境和需求,也为了拥有“卖点”,现在的防火墙一般具有很多功能,这些功能单独看都没什么问题,比如双机热备功能已经通过测试,H.323动态应用支持也测试通过,但在实际环境中,我们可能需要在双机热备情况下使用H.323视频会议,并要求切换时视频不中断,可能有的防火墙就不行了,而类似的组合功能却是用户真正需要的。此外,防火墙的功能和性能一般会独立评估,分为功能测试和性能测试两部分,功能测试关心单个功能有无,性能测试关心二、三层简单应用的性能,结果导致功能性能“两层皮”,不能真正反映防火墙能力:测试中性能很高,但很多功能不能用,在实际使用中,当把常用的功能都打开后,性能变得很低。因此,必须把性能和功能评估结合起来才能真实评价防火墙。具体的评价应从以下几方面入手:
?2~7层访问控制功能,尤其是应用层深度过滤。应能与下列功能任意组合使用:地址映射、端口映射、VLANTrunk支持、用户认证、动态包过滤、流量控制等。
?安全功能,重点是抗Synflood。目前,在“黑客”的攻击行为中,使用最多、最有效的是DDoS(分布式拒绝服务攻击),它造成的结果是服务器拒绝服务。防火墙作为网络的单一通道,要保证受保护网络的安全,需要重点考察安全防护功能能否在过滤攻击的同时保证正常访问,是否对伪造源地址攻击和真实源地址攻击同时有效,能否保护服务器免受冲击。该功能应能和地址映射、端口映射、VLANTrunk支持、用户认证、动态包过滤、流量控制等同时或任意组合使用。
?实用性能,性能测试一般包括6个主要方面:吞吐量、延迟、丢包率、背靠背、并发连接数、新建连接速率,实用性能即考察在接近用户真实使用情况下的性能。(具体情况见表一)
?新建连接速率,由于网络应用具有波动性大,即不同时间访问量差异很大的特点,要求防火墙也能适应这种情况,相应的考量指标即新建连接速率。考虑到用户网络和应用的复杂性,还需要打开常用功能,如包过滤、内容过滤、抗攻击等情况下测试新建连接速率。
好的管理是安全的关键
用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,这就对防火墙的实际操作人员提出了较高要求。由于不同防火墙在管理上存在差异,因此,管理的难易程度可能造成管理员的错误配置,使网络产生安全隐患。因为无法要求每个网络管理员都是网络安全专家,所以管理是网络安全的关键。除去权限管理、通讯加密外,还需要重点考察单机管理方便性和集中管理这两个方面。
就单机管理方便性方面来说,防火墙应能提供多种管理方式,供管理员在不同场合使用,如串口命令行方式适合水平较高的管理员对防火墙进行全面管理;SSH方式适合远程维护管理;Web方式适合远程配置;GUI方式适合远程配置和监控。其中,Web方式因为不用安装客户端软件比较方便灵活,GUI安装比较麻烦,但灵活性较强。
另外,防火墙的大客户、行业客户很多,管理成本可能非常高,能否对防火墙进行集中管理也很重要,包括安全策略集中定制和下发、日志集中管理与分析、设备级联管理与实时监控等。其中,策略的集中管理最重要,因为需要保证整个单位的策略一致和安全。
稳定性确保网络安全
防火墙因为串接在网络中,一旦出现故障则会导致网络中断,因此,稳定性是评价防火墙的一个重要方面。但稳定性很难直接测试,一般来说,一些久经考验的系统稳定性才有一定保证,如果是新的软件或硬件系统,需要在应用中不断完善才能逐渐稳定下来。
事实上,防火墙的好坏只有在实际使用中才能真正体会,如果只是看宣传来做事前评估是远远不够的,必须深入了解、仔细对比,根据实际需求进行评估才是有效的。
页:
[1]