怎么樣給企業(yè)級防火墻“體檢”

申請免費試用、咨詢電話：400-8352-114

防火墻作為一種安全防護(hù)設(shè)備，在網(wǎng)絡(luò)中是眾多攻擊者的目標(biāo)，要為企業(yè)選擇一款適合的防火墻，必須從其自身安全性、網(wǎng)絡(luò)性能、易管理性和靈活性等多方面考慮。

當(dāng)企業(yè)決定用防火墻來實施組織的安全策略后，下一步就是要選擇一個安全、穩(wěn)定、性價比高的防火墻。防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，貫穿于受控網(wǎng)絡(luò)通信主干線，它對通過受控干線的任何通信行為進(jìn)行安全處理，同時也承擔(dān)著繁重的通信任務(wù)。要選擇一款適合于企業(yè)網(wǎng)絡(luò)應(yīng)用的防火墻，必須對其進(jìn)行嚴(yán)格的“入職體檢”。

一、 安全性能

防火墻作為一種安全防護(hù)設(shè)備，在網(wǎng)絡(luò)中是眾多攻擊者的目標(biāo)，故其自身的安全性十分重要。安全性不高的防火墻，其他性能再好也是空談。防火墻安全性包括以下幾個方面:

● 自身安全性 自身安全性主要是指防火墻系統(tǒng)的健壯性，即防火墻本身應(yīng)該是難以被攻入的。另外防火墻的管理方式也很重要，應(yīng)注意管理員采用什么方式管理防火墻，是telnet還是web，有沒有加密和認(rèn)證等等。為了防止冒用，防火墻應(yīng)該采取密碼、電子密鑰等設(shè)置，并采用強用戶認(rèn)證機制，即管理員必須通過雙因子認(rèn)證，才能登錄，并對配置和訪問權(quán)限進(jìn)行修改。同時，管理主機與防火墻之間的通信一般采用加密傳輸。好的防火墻具有雙機備份功能，在實現(xiàn)上不應(yīng)存在高、中風(fēng)險的安全漏洞。

● 訪問控制能力 訪問控制能力是防火墻的核心功能，包括控制細(xì)度和控制強度，控制細(xì)度也就是能控制哪些內(nèi)容，比如地址、協(xié)議、端口、時間、用戶、命令、附件等; 控制強度指應(yīng)該限制的內(nèi)容必須全部阻斷，而應(yīng)該通過的內(nèi)容不能有任何阻斷。

● 抗攻擊能力 抗攻擊能力是指防火墻對各種攻擊的抵抗能力。防火墻因為是網(wǎng)絡(luò)中的眾矢之的，所以其抗攻擊性不容忽視。防火墻應(yīng)能抵御以下類型的攻擊: 拒絕服務(wù)攻擊、預(yù)攻擊掃描、IP假冒攻擊、郵件攻擊、口令字攻擊等，特別是要能應(yīng)對DOS和DDOS攻擊。目前對于DDOS攻擊還沒有什么完善的解決辦法，因此對DDOS攻擊主要看能抵御的強度有多大。

用戶在選擇防火墻的時候，由自己來判斷以上這些性能是很困難的，因為用戶沒有專門的測試工具和手段，但可以根據(jù)一些第三方的認(rèn)證和評測來輔助判斷。比如能否擁有安全性較嚴(yán)格的軍方認(rèn)證、還有就是中國信息安全產(chǎn)品測評認(rèn)證中心的等級證書。現(xiàn)在用的標(biāo)準(zhǔn)是國標(biāo)GB/T18336，一共7級，等級越高越好。

另外，在選購時應(yīng)考察防火墻的支撐平臺，一般來說，防火墻至少應(yīng)構(gòu)建于安全操作系統(tǒng)之上，有些產(chǎn)品采用的是專用操作系統(tǒng)甚至是專用的硬件平臺，其安全性可以得到更好的保證。

二、 網(wǎng)絡(luò)性能

作為影響網(wǎng)絡(luò)性能的瓶頸，防火墻的產(chǎn)品性能是用戶在選購時必須重點考察的指標(biāo)。在保證安全的基礎(chǔ)上，應(yīng)該最大程度減少對網(wǎng)絡(luò)性能的影響。一般的衡量指標(biāo)主要包括最大吞吐量、延遲、轉(zhuǎn)送速率、丟包率、緩沖能力以及訪問控制規(guī)則對防火墻性能的影響。吞吐量指防火墻在不丟包的情況下能夠達(dá)到的最大速率，通常將它作為衡量防火墻性能的最重要的指標(biāo)，我們所說的百兆防火墻、千兆防火墻都是根據(jù)吞吐量來衡量的。

對于網(wǎng)絡(luò)性能，主要指標(biāo)是最大帶寬、并發(fā)連接數(shù)、每秒新增連接數(shù)、丟包和延遲等。防火墻在部分策略起作用和全通策略的狀態(tài)下，上述指標(biāo)都是不一樣的。針對防火墻性能的選擇，一直都有個誤區(qū)，即把穿越防火墻的64字節(jié)UDP報文的吞吐量當(dāng)作最重要的性能指標(biāo)。但實際上這項數(shù)據(jù)對用戶到底有多少指導(dǎo)意義呢？試想，用戶哪里有純粹的64字節(jié)的UDP流量？所以，在進(jìn)行性能選購時，應(yīng)測試防火墻在添加了一兩百條過濾規(guī)則、添加了NAT后的Web性能，以及混合不同包長和協(xié)議后的延遲，在實施DOS攻擊情況下，防火墻啟動攻擊防御，測試此時穿越防火墻的VoIP的服務(wù)質(zhì)量，上述這些參數(shù)在實際應(yīng)用中才更有參考價值。用戶一定要考慮實際環(huán)境，比如先按照用戶的要求添加若干條策略（全通策略在最后）然后再測試。

對性能的考察需要專業(yè)的測試，用戶在購買產(chǎn)品時聽取廠商關(guān)于其產(chǎn)品性能的介紹只是一個方面，更為重要的還是權(quán)威測評機構(gòu)出具的性能測試報告。

三、應(yīng)用層功能

防火墻的選擇歸根結(jié)底還是要落實到應(yīng)用層面上，因為所有的安全措施乃至產(chǎn)品必然是為了促進(jìn)應(yīng)用而衍生出來的，如果不是網(wǎng)絡(luò)應(yīng)用的需求，網(wǎng)絡(luò)安全也無從談起。所以選購防火墻還應(yīng)該考慮防火墻的各項功能，包括地址轉(zhuǎn)換、IP/MAC綁定、靜態(tài)和動態(tài)路由 、源地址路由、代理、透明代理、ADSL撥號、DHCP支持、雙機熱備、負(fù)載均衡等等。

支持哪些使用動態(tài)端口的協(xié)議也是在選購防火墻時要了解的問題。最為典型的是VoIP應(yīng)用，打算部署VoIP的用戶需要清楚自己將使用哪種VoIP設(shè)備，是基于H.323、SIP，還是其他協(xié)議，有些防火墻只支持H.323而不支持SIP，有的防火墻不僅能夠支持多種VoIP協(xié)議和各種拓?fù)?，而且還能針對H.323的攻擊進(jìn)行防御。

安全審計也是防火墻的一個十分重要的功能，它包括識別、紀(jì)錄、存儲和分析所有與安全活動相關(guān)的信息。審計紀(jì)錄結(jié)果可用來檢測、判斷發(fā)生了哪些安全相關(guān)活動以及這些活動應(yīng)當(dāng)由哪個用戶負(fù)責(zé)。

用戶應(yīng)該首先明確自己都需要什么功能，并且要確定這些功能都要達(dá)到什么效果。然后再尋找相應(yīng)的設(shè)備。有些功能在不同廠家的定義是不同的，實現(xiàn)的效果也不一樣。

四、易管理性和靈活性

● 易管理性是指提供最終用戶方便的配置、管理防火墻的手段，如果配置管理方面非常復(fù)雜，會給設(shè)備的安裝和維護(hù)帶來很多困難，甚至使防火墻失去保護(hù)網(wǎng)絡(luò)的功能。防火墻這種設(shè)備不像交換機，安裝好了可以不用再管，防火墻需要經(jīng)常管理。日常的管理就是看日志、修訂策略、添加和刪除用戶;更高的管理還包括第三方互動、VPN建立和遠(yuǎn)程集中管理等等。管理方面用戶應(yīng)該注意界面的友好性，設(shè)置選項通俗易懂。日志特別重要，好的日志系統(tǒng)應(yīng)該有詳細(xì)的記錄，包括連接的狀態(tài)和內(nèi)容，應(yīng)該便于分類和排序，能方便存入數(shù)據(jù)庫并有syslog等標(biāo)準(zhǔn)的接口。對用戶來說，遠(yuǎn)程管理要注意管理命令的加密和認(rèn)證，是否支持策略遠(yuǎn)程導(dǎo)入導(dǎo)出等等。

● 靈活性主要體現(xiàn)在以下3點: 易于升級、支持大量協(xié)議和功能可擴展。

防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補丁程序進(jìn)行升級且升級必須定期進(jìn)行。

可擴展性主要體現(xiàn)在硬件和軟件兩個方面，即硬件的網(wǎng)絡(luò)接口模塊可靈活擴展，系統(tǒng)軟件能即時更新。一般情況下，防火墻在設(shè)計完成以后，其過濾規(guī)則都是定制好的，用戶可改變的余地很小。特別是URL過濾規(guī)則（對支持URL過濾的防火墻而言），而網(wǎng)絡(luò)中的漏洞是不斷被發(fā)現(xiàn)的，內(nèi)網(wǎng)管理人員也不必時時密切關(guān)注網(wǎng)絡(luò)漏洞（這是個工作量很大，既耗費體力又容易出現(xiàn)遺漏的工作），大部分工作應(yīng)留給防火墻廠家來做（相應(yīng)需要有一個漏洞監(jiān)測體系），用戶肯定會滿意很多。

五、性價比

毫無疑問，價格也是選購防火墻產(chǎn)品時應(yīng)該考慮的重要因素。用戶需要對防火墻功能、性能、價格和可管理性等進(jìn)行考察，權(quán)衡總體擁有成本。產(chǎn)品的功能多當(dāng)然是好事，但同時還要考察這些功能是否實用。實踐證明，某些防火墻的功能如防病毒、計費等比較消耗防火墻的硬件資源，可能會影響防火墻的傳輸性能，而某些防火墻功能甚至可能導(dǎo)致防火墻本身的安全性下降，這是最危險的。

六、開放性

網(wǎng)絡(luò)安全不是一兩個廠商的一兩個產(chǎn)品就能解決的問題，因此，如何保證網(wǎng)絡(luò)中的多個安全產(chǎn)品能夠很好地共融、聯(lián)動、集成，就成為保護(hù)用戶投資的非常重要的因素。在產(chǎn)品選型時，需要考察該產(chǎn)品能夠與哪些廠商的哪些產(chǎn)品實現(xiàn)聯(lián)動和集成，是否對其他廠商開放應(yīng)用接口，是否加入開放性的安全聯(lián)盟，如OPSEC、TOPSEC等，是否能與市場上的主流IDS產(chǎn)品聯(lián)動等等。

七、服務(wù)及產(chǎn)品認(rèn)證

購買防火墻前應(yīng)考察廠商的背景、營業(yè)年限、服務(wù)能力、經(jīng)營業(yè)績、獲得的認(rèn)證等情況。隨著安全技術(shù)的快速發(fā)展，防火墻軟硬件需要經(jīng)常升級和維護(hù)，因此，廠商的持續(xù)開發(fā)能力以及升級和維護(hù)能力非常重要。為了保證投資的有效性，在購買產(chǎn)品前應(yīng)首先考察開發(fā)團(tuán)隊的規(guī)模和人員結(jié)構(gòu)、開發(fā)時間、產(chǎn)品線組成、公司的規(guī)模、信譽度、經(jīng)營歷史以及該產(chǎn)品的銷售紀(jì)錄，并通過多種渠道了解產(chǎn)品的應(yīng)用狀況。