防火墻是主要的網絡安全設備,一個配置良好的防火墻,能夠有效地防止外來的入侵,控制進出網絡的信息流向和信息包,提供使用和流量的日志和審計,隱藏內部IP地址及網絡結構的細節,以及提供VPN功能等等。
對于企業網絡而言,一個沒有配備防火墻的網絡無異于“開門揖盜”,安全性無從談起。那么,如何選擇合適的防火墻呢?本文從技術角度出發,談談企業級防火墻的選購要點。
防火墻種類
在選購之前,企業用戶首先需要弄清防火墻的種類。目前,市場有六種基本類型的防火墻,分別是嵌入式防火墻、 基于企業軟件的防火墻、基于企業硬件的防火墻、SOHO軟件防火墻、SOHO硬件防火墻和特殊防火墻。
嵌入式防火墻
就是內嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。用戶也可以購買防火墻模塊,安裝到已有的路由器或交換機中。
嵌入式防火墻也被稱為阻塞點防火墻。由于互聯網使用的協議多種多樣, 所以不是所有的網絡服務都能得到嵌入式防火墻的有效處理。嵌入式防火墻工作于IP層,所以無法保護網絡免受病毒、 蠕蟲和特洛伊木馬程序等來自應用層的威脅。就本質而言,嵌入式防火墻常常是無監控狀態的,它在傳遞信息包時并不考慮以前的連接狀態。
基于軟件的防火墻
指能夠安裝在操作系統和硬件平臺上的防火墻軟件包。如果用戶的服務器裝有企業級操作系統,購買基于軟件的防火墻則是合理的選擇。如果用戶是一家小企業,并且想把防火墻與應用服務器(如網站服務器)結合起來, 添加一個基于軟件的防火墻就是合理之舉。
基于硬件的防火墻
多捆綁于“交鑰匙”系統(Turnkey system)中,是一個已經裝有軟件的硬件設備。基于硬件的防火墻也分為家庭辦公型和企業型兩種款式。
特殊防火墻
側重于某一應用的防火墻產品。目前,市場上有一類防火墻是專門為過濾內容而設計的,MailMarshal和WebMarshal就是側重于消息發送與內容過濾的特殊防火墻。OKENA的StormWatch雖然沒有標明是防火墻, 但也具有防火墻類規則和應用防范禁閉功能。
防火墻“軟”與“硬”的折衷
一般說來,軟件防火墻具有比硬件防火墻更靈活的性能,但是安裝軟件防火墻需要用戶選擇硬件平臺和操作系統。而硬件防火墻經過廠商的預先包裝,啟動及運作要比軟件防火墻快得多。
購買硬件設備防火墻,往往意味著獲得了一個捆綁在硬盒子里的“交鑰匙”系統。如果用戶對防火墻運行的硬件平臺沒有特殊要求,硬件防火墻則是這類用戶理想的選擇。另一個適用硬件防火墻的場合是,用戶希望隔離防火墻服務,不把防火墻安裝在其他應用中。
防火墻的功能與性能考慮
用戶節點數
在選購防火墻時,用戶需要考慮保護的節點數。從最簡單的分類上來說,要加以保護的結點數決定了采用企業級防火墻還是采用SOHO防火墻。大多數情況下,SOHO防火墻能夠應付50個以內的用戶連接請求,如果需要保護50個以上用戶,就必須采用企業防火墻。
企業防火墻往往具有管理多個防火墻的功能,即企業防火墻能夠與中央管理控制臺進行通信。生產企業防火墻的供應商大都提供作為選件的中央管理控制臺。此外,安全信息管理(SIM)設備也可以作為第三方管理控制臺使用。 大多數防火墻都標明了用戶連接數。
NAT
如今,幾乎所有防火墻都捆綁了網絡地址轉換(NAT)功能。NAT使用戶能夠把專用或非法IP地址轉換成合法的公共地址。 NAT結構可分為四類:一對一尋址、多對一尋址、一對多尋址和多對多尋址。
一對一尋址是NAT最基本的形式,可以把內部IP地址映射到不同的外部公共IP地址。 多對一尋址意味著多個內部IP地址可以映射到一個外部IP地址,如果用戶有一個內部DHCP作用域,并想把它映射到一個外部IP地址,建議這類用戶采用多對一尋址。多對多尋址將其他網絡上幾組不同的IP地址映射成內部或外部的IP地址。如果用戶準備把一組DHCP作用域映射到另一組DHCP作用域,這就需要采用多對多NAT尋址。一對多尋址則使用于需要把一個IP地址分成兩個地址的負載均衡場合。如果用戶需要部署一個龐大、復雜的電信級網絡,這就需要使用NAT的高級特性。
對簡單網絡而言,一對一NAT功能就已足夠。
VPN
大部分企業級防火墻具有VPN功能。這類防火墻通常被用作VPN的端點。VPN能夠確保隱私和數據的完整性。用戶要牢記VPN必須有兩個端點。如果用戶沒有第二個端點連接至VPN,就沒有購買具有VPN功能的防火墻的必要。VPN通過加密隧道發送數據,從而把數據與外界隔離開來。加密過程需要額外的處理能力,如果用戶準備為電信級網絡建立VPN,這就需要捆綁具有密碼加速器或允許添加密碼加速器的VPN防火墻。捆綁密碼加速器是為了提高VPN的速度。
日志功能
日志功能是防火墻的重要特性之一。為更好地管理網絡,用戶最好選購能夠記錄多種事件的日志、過濾多種事件的防火墻。
在防火墻的日志功能方面,要注意的包括,所選購的防火墻日志事件的多少和過濾器的多少。過濾器能夠使用戶以合理、易懂的方式察看不同的事件。用戶應該能夠根據IP地址、網絡號、連接類型、域名和日期時間等基本過濾器過濾事件。
Syslog格式是最常用的日志格式,用戶所選購的防火墻最好支持Syslog格式。
防火墻規則
防火墻規則是防火墻得以工作的核心,其則對防火墻允許哪些類型的流量進出網絡作出規定。
對企業級用戶而言,要注意的是,防火墻是否支持自動次序獨立規則。一般說來,防火墻上的規則需要排成非常特定的次序,否則無法正常工作。一些防火墻具有自動給規則排列次序的特性。具有這一特性的防火墻最好同時具有開啟及關閉該特性的功能。自動次序獨立規則制訂是一個出色的特性,它能幫助用戶合理給規則排列次序。
但是,也必須清楚地看到,在制訂防火墻規則時,人的作用是最重要的。
小結
選購企業防火墻,用戶需要了解的除上述之外還需要認真研究一下防火墻的可用性、內容過濾器以及支持防病毒功能的特性。當然,供應商的服務能力也是必須注意的,供應商或廠商是否提供電話支持服務以及服務的收費情況等,這是保證企業網絡不間斷運行的重要條件。
京公網安備 11010502049343號