防火墙采购计划的四点建议
2008-04-09 04:12:55来源:互联网 阅读 ()
防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。如何选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。用户在选购时,应主要从以下五个方面仔细分析和比较。
第一 投资保护
考查开发商实力
随着安全技术的快速发展,防火墙软硬件需要经常升级和维护,因此,厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性,在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史、该产品的销售纪录,并通过多种渠道了解产品的应用状况。
考查产品认证
通过了某种认证,意味着该产品通过了相应的检测。在选择产品时,要注意检查所购产品通过了哪些认证,而且在可能的情况下,要向厂商索取测试文档,以便确切了解产品的各项指标,作为产品选型的依据。目前主要的认证有四种:中国信息安全产品测评认证中心的认证(针对企业应用)、国家保密局测评认证中心的认证(针对政府涉密网应用)、公安部计算机信息安全产品质量监督检验中心(获得销售许可)以及中国人民解放军信息安全测评认证中心(针对军队使用)。
考查厂商服务
防火墙的合理配置和使用是防火墙能够发挥预定作用的关键所在,因此厂商的培训和服务支持,尤其是售后的培训和升级服务非常重要。在购买产品前,不仅要询问厂商是否具备技术支持电话和网上在线支持,是否能对产品的安装、配置及使用予以明确指导,更为重要的是考察厂商的快速响应能力:一旦使用中遇到用户解决不了的问题或故障时,厂商能否及时响应、快速解决问题。
考查与其他产品的互融和开放性
网络安全不是一两个厂商的一两个产品就能解决的问题,因此,如何保证网络中的多个安全产品能够很好地共融、联动、集成,就成为保护用户投资的非常重要的因素。在产品选型时,需要考察该产品能够与哪些厂商的哪些产品实现联动和集成,是否对其他厂商开放应用接口,是否加入开放性的安全联盟,如OPSEC、TOPSEC等。
第二 产品功能
确定所需类型
按工作机制的不同,防火墙可分为包过滤型、服务代理型以及复合型防火墙。从适用对象来划分,可分为企业级防火墙与个人防火墙。同时,按平台的不同,防火墙产品可以分为软件防火墙和硬件防火墙。由于这两种类型的防火墙在不同的方面各有优势,用户在选购的时候还是需要根据自己的需求考虑,在这里只作简单的对比。
包过滤
用户在选购时,应该分析所选产品的规则框架,考察其访问控制的粒度是否足够细;对于同样一条规则,是否提供了不同时间段的控制手段;规则配置是否提供了友善的界面;是否可以很容易地体现网管的安全意志。
软件防火墙和硬件防火墙比较
衡量指标 软件防火墙 硬件防火墙
安装 较复杂 简单
安全性 高 较高
性能 依赖硬件平台 高
管理 简单 较复杂
维护费用 低 高
扩展性 高 低
配置灵活性 高 低
价格 低 高
应用代理
一般来说,针对HTTP协议、POP3/SMTP协议、FTP协议、TELNET协议的过滤和过滤粒度是选择该产品最为重要的指标,同时也是每一款代理型防火墙都必须具备的功能。好的防火墙应可支持基于时间的访问控制功能。另外,有些防火墙还可支持内容过滤,安全级别较高的防火墙还可根据主机IP地址或用户名控制访问信息的最大流量。
安全管理
用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,所以安全管理是选购时需要关注的重点环节。 安全审计功能
安全审计是防火墙的一个十分重要的功能,它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。
第三 产品性能
作为影响网络性能的瓶颈,防火墙性能是用户在选购时必须重点考察的指标。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率,通常将它作为衡量防火墙性能的最重要的指标,我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。对性能的考察需要专业的测试,用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面,更为重要的还是权威测评机构出具的性能测试报告。
第四 安全性
防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,故其自身的安全性十分重要。防火墙自身的安全性主要体现在自身设计和管理两个方面。
支撑平台
因此,在选购时应考察防火墙的支撑平台,一般来说,防火墙至少应构建于安全操作系统之上,有些产品采用的专用操作系统甚至是专用的硬件平台,其安全性可以得到更好的保证。
抗攻击性
防火墙因为是网络中名副其实的众矢之的,所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击:拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击、抗扫描。
防火墙自身的安全
为了防止冒用,防火墙应该采取密码、电子钥匙等设置,并采用强用户认证机制。即管理员必须通过双因子认证,才能登录,对配置和访问权限进行修改。同时,管理主机与防火墙之间的通信一般采用加密传输。好的防火墙会具有双机备份功能,在实现上不应存在高中风险的安全漏洞。这一点,用户可以参照权威测试部门的测试报告。
防火墙采购一览表 基本信息 配置 功能 报警
公司名称 产品名称 产品类型 并发连接数 接口类型 最大lan接口数 支持的非ip协议 内置ids 内置vpn 支持nat 查杀病毒 内容过滤 联动 远程管理 带宽管理 自动报表 警告通知机制 提供简要报表 提供实时统计
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
下一篇:防火墙应具备的17个特性
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash