防火牆是目前使用最為廣泛的網路安全產品之一,目前國內的幾大網路設備廠商都有自己的防火牆,具體的選型需要看自身業務的特點,以下是基本的幾點參數,僅供參考:
一、防火牆自身的安全性防火牆自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在於操作系統,只有自身具有完整信任關係的操作系統才可以談論系統的安全性。而應用系統的安全是以操作系統的安全為基礎的,同時防火牆自身的安全實現也直接影響整體系統的安全性。
二、系統的穩定性目前,由於種種原因,有些防火牆尚未最後定型或經過嚴格的大量測試就被推向了市場,其穩定性可想而知。防火牆的穩定性可以通過幾種方法判斷:
1.從權威的測評認證機構獲得。例如,你可以通過與其它產品相比,考察某種產品是否獲得更多的國家權威機構的認證、推薦和入網證明(書),來間接了解其穩定性。
3.自己試用。在自己的網路上進行一段時間的試用(一個月左右)。
4.廠商開發研製的歷史。一般來說,如果沒有兩年以上的開發經歷,很難保證產品的穩定性。
5.廠商實力,如資金、技術開發人員、市場銷售人員和技術支持人員多少等等。
三、是否高效高性能是防火牆的一個重要指標,它直接體現了防火牆的可用性。如果由於使用防火牆而帶來了網路性能較大幅度地下降,就意味著安全代價過高。一般來說,防火牆載入上百條規則,其性能下降不應超過5%(指包過濾防火牆)。
四、是否可靠可靠性對防火牆類訪問控制設備來說尤為重要,直接影響受控網路的可用性。從系統設計上,提高可靠性的措施一般是提高本身部件的強健性、增大設計閾值和增加冗餘部件,這要求有較高的生產標準和設計冗餘度。
五、是否功能靈活對通信行為的有效控制,要求防火牆設備有一系列不同級別,滿足不同用戶的各類安全控制需求的控制注意。例如對普通用戶,只要對IP地址進行過濾即可;如果是內部有不同安全級別的子網,有時則必須允許高級別子網對低級別子網進行單向訪問。
六、是否配置方便在網路入口和出口處安裝新的網路設備是每個網管員的惡夢,因為這意味著必須修改幾乎全部現有設備的配置。支持透明通信的防火牆,在安裝時不需要對原網路配置做任何改動,所做的工作只相當於接一個網橋或Hub。
七、是否管理簡便網路技術發展很快,各種安全事件不斷出現,這就要求安全管理員經常調整網路安全注意。對於防火牆類訪問控制設備,除安全控制注意的不斷調整外,業務系統訪問控制的調整也很頻繁,這些都要求防火牆的管理在充分考慮安全需要的前提下,必須提供方便靈活的管理方式和方法,這通常體現為管理途徑、管理工具和管理許可權。
八、是否可以抵抗拒絕服務攻擊在當前的網路攻擊中,拒絕服務攻擊是使用頻率最高的方法。抵抗拒絕服務攻擊應該是防火牆的基本功能之一。目前有很多防火牆號稱可以抵禦拒絕服務攻擊,但嚴格地說,它應該是可以降低拒絕服務攻擊的危害而不是抵禦這種攻擊。在採購防火牆時,網管人員應該詳細考察這一功能的真實性和有效性。
九、是否可以針對用戶身份過濾防火牆過濾報文,需要一個針對用戶身份而不是IP地址進行過濾的辦法。目前常用的是一次性口令驗證機制,保證用戶在登錄防火牆時,口令不會在網路上泄露,這樣,防火牆就可以確認登錄上來的用戶確實和他所聲稱的一致。
十、是否可擴展、可升級用戶的網路不是一成不變的,和防病毒產品類似,防火牆也必須不斷地進行升級,此時支持軟體升級就很重要了。如果不支持軟體升級的話,為了抵禦新的攻擊手段,用戶就必須進行硬體上的更換,而在更換期間網路是不設防的,同時用戶也要為此花費更多的。
防火牆是目前使用最為廣泛的網路安全產品之一,目前國內的幾大網路設備廠商都有自己的防火牆,具體的選型需要看自身業務的特點,以下是基本的幾點參數,僅供參考:
一、防火牆自身的安全性防火牆自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在於操作系統,只有自身具有完整信任關係的操作系統才可以談論系統的安全性。而應用系統的安全是以操作系統的安全為基礎的,同時防火牆自身的安全實現也直接影響整體系統的安全性。
二、系統的穩定性目前,由於種種原因,有些防火牆尚未最後定型或經過嚴格的大量測試就被推向了市場,其穩定性可想而知。防火牆的穩定性可以通過幾種方法判斷:
1.從權威的測評認證機構獲得。例如,你可以通過與其它產品相比,考察某種產品是否獲得更多的國家權威機構的認證、推薦和入網證明(書),來間接了解其穩定性。
3.自己試用。在自己的網路上進行一段時間的試用(一個月左右)。
4.廠商開發研製的歷史。一般來說,如果沒有兩年以上的開發經歷,很難保證產品的穩定性。
5.廠商實力,如資金、技術開發人員、市場銷售人員和技術支持人員多少等等。
三、是否高效高性能是防火牆的一個重要指標,它直接體現了防火牆的可用性。如果由於使用防火牆而帶來了網路性能較大幅度地下降,就意味著安全代價過高。一般來說,防火牆載入上百條規則,其性能下降不應超過5%(指包過濾防火牆)。
四、是否可靠可靠性對防火牆類訪問控制設備來說尤為重要,直接影響受控網路的可用性。從系統設計上,提高可靠性的措施一般是提高本身部件的強健性、增大設計閾值和增加冗餘部件,這要求有較高的生產標準和設計冗餘度。
五、是否功能靈活對通信行為的有效控制,要求防火牆設備有一系列不同級別,滿足不同用戶的各類安全控制需求的控制注意。例如對普通用戶,只要對IP地址進行過濾即可;如果是內部有不同安全級別的子網,有時則必須允許高級別子網對低級別子網進行單向訪問。
六、是否配置方便在網路入口和出口處安裝新的網路設備是每個網管員的惡夢,因為這意味著必須修改幾乎全部現有設備的配置。支持透明通信的防火牆,在安裝時不需要對原網路配置做任何改動,所做的工作只相當於接一個網橋或Hub。
七、是否管理簡便網路技術發展很快,各種安全事件不斷出現,這就要求安全管理員經常調整網路安全注意。對於防火牆類訪問控制設備,除安全控制注意的不斷調整外,業務系統訪問控制的調整也很頻繁,這些都要求防火牆的管理在充分考慮安全需要的前提下,必須提供方便靈活的管理方式和方法,這通常體現為管理途徑、管理工具和管理許可權。
八、是否可以抵抗拒絕服務攻擊在當前的網路攻擊中,拒絕服務攻擊是使用頻率最高的方法。抵抗拒絕服務攻擊應該是防火牆的基本功能之一。目前有很多防火牆號稱可以抵禦拒絕服務攻擊,但嚴格地說,它應該是可以降低拒絕服務攻擊的危害而不是抵禦這種攻擊。在採購防火牆時,網管人員應該詳細考察這一功能的真實性和有效性。
九、是否可以針對用戶身份過濾防火牆過濾報文,需要一個針對用戶身份而不是IP地址進行過濾的辦法。目前常用的是一次性口令驗證機制,保證用戶在登錄防火牆時,口令不會在網路上泄露,這樣,防火牆就可以確認登錄上來的用戶確實和他所聲稱的一致。
十、是否可擴展、可升級用戶的網路不是一成不變的,和防病毒產品類似,防火牆也必須不斷地進行升級,此時支持軟體升級就很重要了。如果不支持軟體升級的話,為了抵禦新的攻擊手段,用戶就必須進行硬體上的更換,而在更換期間網路是不設防的,同時用戶也要為此花費更多的。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/224331.html
微信掃一掃 
支付寶掃一掃 