各種平安事件不時涌現(xiàn),網(wǎng)絡技術發(fā)展很快。這就要求網(wǎng)管員需要經(jīng)常調整安全策略。防火墻的管理不只涉及控制戰(zhàn)略的調整,而且還涉及業(yè)務系統(tǒng)的訪問控制調整。防火墻的管理涉及管理途徑、管理工具和管理權限三方面。防火墻的管理最好要適合網(wǎng)管員的管理習慣,設有遠程 Telnet 登錄管理以及管理命令的線幫助等。用戶在選擇防火墻時也應該看其是否支持串口終端管理。如果防火墻沒有終端管理方式,就不容易確定故障所在一個好的防火墻產(chǎn)品必須符合用戶的實際需要。對于國內(nèi)用戶來說,防火墻最好是具有中文界面,既能支持命令行方式管理,又能支持 GUI 圖形用戶界面,如 Window 界面)和集中式管理。

  防火墻日志對網(wǎng)絡管理員來說是至關重要的防火墻日志應具有可讀性,可管理性方面。防火墻應具有精簡日志的能力,協(xié)助管理員從日志中快速檢索到有用的信息。

  7. 配置的方便性

  一般技術人員是不太可能對其詳細配置原理全部掌握,因為防火墻作為一個高科技產(chǎn)品。所以這就要求防火墻產(chǎn)品在配置上盡可能簡單,方便。但通常質量好的防火墻系統(tǒng)在具有強大功能的同時,其配置安裝也較為復雜,需要網(wǎng)管員對原網(wǎng)絡配置進行較大的改動。目前有一種支持透明通信的防火墻在裝置時不需要對網(wǎng)絡配置做任何改動,非常適合小型企業(yè)選用。但要注意,市場上并不是所有的防火墻都采用這種通信方式,有些防火墻只能在透明方式下或者網(wǎng)關方式下工作,而另外一些防火墻則可以在混合方式下工作。能工作于混合方式的防火墻顯然更具方便性。

  8 功能的多樣性

  但對于大、中型企業(yè)說就應當高度重視。否則很可能選購回來的防火墻產(chǎn)品根本不能滿足當前或者短時間內(nèi)的未來需求。 這一點對于小型企業(yè)來說不是很重要。

  能夠為不同級別、不同需求的用戶提供不同的控制戰(zhàn)略??刂茟?zhàn)略的有效性、多樣性、級別目標清晰性以及制定難易水平都直反映出防火墻控制策略的質量?,F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持 NAT 功能,質量好的防火墻能夠有效地控制通信??梢宰屖芊阑饓ΡWo的一方的 IP 地址不被暴露。但注意啟用 NAT 后勢必會對防火墻系統(tǒng)的性能有所影響。目前防火墻技術進步很快,功能上也做的五花八門,用戶選擇上也比較困難。包過濾方式上,目前各個廠商采用的基本上都是基于狀態(tài)檢測包過濾功能。其他一些附加的功能可以視實際的需要而定,例如,對于沒有固定主機的單位,可能需要身份認證的功能;對網(wǎng)絡資源比較緊張的單位,可能需要帶寬管理的功能以合理控制資源分配;對于有總部和分支機構的企業(yè),就可能需要選擇能支持 VPN 通訊功能的防火墻產(chǎn)品等等。

  最好能提供支持 VPN 通信或者身份驗證功能,對于經(jīng)常有公司內(nèi)部用戶移動辦公的企業(yè)。這樣做有兩個好處:一是可以大節(jié)省通信費用(因為 VPN 只需要用戶與本地 ISP 連接即可)另一方面用戶出差時可以登錄回公司內(nèi)部自己的服務器,沒有其它加密手段或者加密利息比較高時,這樣身份驗證方式是比較實用的

  9 .強大的抗拒絕服務攻擊能力

  拒絕服務攻擊是使用頻率最高的手段。拒絕服務攻擊可以分為兩類 一類是由于操作系統(tǒng)或應用軟件在設計或編程上存在缺陷而造成的這種類型只能通過打補丁的方法來解決,網(wǎng)絡攻擊中。如我罕見的各種 Window 系統(tǒng)平安補丁 另一類是由于協(xié)議自身存在缺陷而造成的這種類型的攻擊雖然較少,但是造成的危害卻非常大。對于第一類問題,防火墻顯得有些力不從心,因為系統(tǒng)缺陷與病毒感染不同,沒有病毒碼作為依據(jù),防火墻常常會作出錯誤的判斷。防火墻有能力對付第二類攻擊。

  10 .良好的協(xié)同工作能力

  不代表網(wǎng)絡安全防護體系的全部,因為防火墻只是一個基礎的網(wǎng)絡平安設備。通常它需要與防病毒系統(tǒng)和入侵檢測系統(tǒng)等安全產(chǎn)品協(xié)同配合,才干從根本上保證整個系統(tǒng)的平安,所以在選購防火墻時就要考慮它否能夠與其他平安產(chǎn)品協(xié)同工作。如何檢驗它否具有這個能力,通常是看它否支持 OPSEC 開放平安結構)規(guī)范,通過這個接口與入侵檢測系統(tǒng)協(xié)同工作,通過 CVP 內(nèi)容引導協(xié)議)與防病毒系統(tǒng)協(xié)同工作。

  事實上很難找到完全符合以上各項要求的防火墻產(chǎn)品。事實上如何評估防火墻是一個十分復雜的問題。一般說來,以上介紹了選購防火墻時所要注意的 10 個方面。防火墻的平安和性能(速度等)最重要的指標,用戶接口(管理和配置界面)和審計追蹤次之,然后才是功能上的擴展性。用戶時常會面對安全和性能之間的矛盾。代理型防火墻通常更具安全性,但是性能要差于包過濾型防火墻。如果用作 Internet 防火墻,即使以 T1 1.544Mbp 或 E1 2.048Mbp 數(shù)字線路接入,防火墻也不會成為瓶頸。但是企業(yè)網(wǎng)之間如果以 100M 甚至 G 位網(wǎng)絡相連時,就會對防火墻的端口帶寬性能提出很高的要求。

  也就是性能價格比高的產(chǎn)品,依照購買或實現(xiàn)防火墻需要的經(jīng)費來量化所有提出的解決方法是十分重要的有的防火墻產(chǎn)品可以不花錢或花很少的錢(如個人防火墻)有的則要花上萬元或更多的錢。具體而言,所有用戶都希望自己買到物美價廉的產(chǎn)品。除考慮防火墻的銷售價格外,還要考慮它管理費用、維護費用及消耗材料費用等。對于經(jīng)濟實力雄厚的公司或大的企業(yè)組織,一般把滿足需要放在第一位,把經(jīng)濟開銷放在第二位,而且還把產(chǎn)品的更新?lián)Q代需要的開銷考慮進去。而對一般的機關學校來,由于經(jīng)濟條件一般,把產(chǎn)品價格放在重要位置考慮,只愿開銷滿足當前急需所購產(chǎn)品的經(jīng)費,對未來網(wǎng)絡系統(tǒng)的發(fā)展擴充換代考慮甚少。只要在滿足實用性、平安性的基礎上,適當考慮經(jīng)濟性就可以找到自己理想的產(chǎn)品。 

分享到

huanghui

相關推薦