随着应用的普及和飞速发展,网络安全也成为人们最终为担心的一个方面。和攻击作为网络安全的主要隐患,时时刻刻在威胁着进行互联网应用的计算机系统的安全。网络作为防止黑客的主要手段,也已经成为网络安全建设的必选设备,不仅对于企事粘单位网络需要,就连个人用户时下防火墙也已成为必备的安全手段,虽然个人用户绝大多数还是采用软件式的个人防火墙产品。本文要介绍的是在硬件防火墙设备选购时要注意的事项,当然适应用户也主要是企、事业单位。
目前来说市面上的网络防火墙设备不仅品牌繁多,就连各种不同的档次产品也让人眼花缭乱,普通用户无从适从。那么如何选择能够适应自己的需要,达到最大的安全效果的防火墙产品呢?笔者根据对防火墙的使用和维护经验,总结出以下十大要素。
1.品牌是关键
因为防火墙产品属高科技产品,生产这样的设备不仅需要强大的资金作后盾,而且在技术实力需要有强大的保障。选择了好的品牌在一定程度上也就选择了好的技术和服务,对将来的使用更加有保障。所以在选购防火墙产品时千万别随便贪图一时便宜,选购一些杂牌产品。目前国外在防火墙产品的开发、生产中比较著名的品牌有:3COM、Cisco、Nokia、NetScreen、Check Point等,这些品牌技术实力比较强,而且都能提供高档产品,当然价格也相比下面要介绍的国产品牌要贵许多(通常在5000~1万元之间)甚至贵一倍以上。这些品牌对于大、中型有资金实力的企业来说比较理想,因为购买了这类品牌产品,相对来说在技术方面更有保障,能满足公司各方面的特殊需求,而且可扩展性比较强,适宜公司的发展需要。
国内开发、生产防火墙的品牌主要有:-Dlink、天网、实达、东软、天融信、安氏等,而又以联想的Dlink、天网和实达品牌性能更好。这些品牌相对国外著名品牌来说都处于中、低档次。当然价格要便宜许多(通常在5000元以下),而且还能提供全中文的使用说明书,方便安装、调试和维护。对于来说国产品牌是理想的选择。
2.安全最重要
防火墙本身就是一个用于安全防护的设备,当然其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的和是否采用专用的硬件平台。因为现在第二代防火墙产品通常不再依靠用户的操作系统,而是采用自已单独开发的操作系统。这个操作系统本身要求没有安全隐患,当然作为普通用户这只能通过品牌来保证。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的,同时,应用系统自身的安全实现也直接影响到整个系统的安全性。
另外在安全策略上,防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的,编程对用户是友好的,还应具备若干可能的过滤属性,如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。只有这样用户才能根据实际需求采取灵活的安全策略保护自己企业网络的安全。
另外,防火墙除应包含先进的鉴别措施,还应采用尽量多的先进技术,如包过滤技术、加密技术、可信的信息技术等。如身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术,这些都是防火墙安全系统所必需考虑的。
3.高效的性能
因为防火墙是通过对进入的数据进行过滤来识别是否符合安全策略的,所以在流量比较高时,要求防火墙能以最快的速度及时对所有数据包进行检测,否则就可能造成比较的延时,甚至死机。这个指标非常重要,它体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的代价(延时),用户无法接受过高的代价。如果防火墙对网络造成较大的延时,还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触,有时我们在打开防火墙时上网反应非常慢,而一旦去掉速度就上来了,原因就为因为防火墙过滤速度不够快。
如果防火墙对原有网络带宽影响过大,无疑就是对原有投资的巨大浪费。
目前来说防火墙在类型上基本上都实现了从软件到硬件的转换,算法上也有了很大的优化,一部分防火墙的性能完全可以做到对原有网络的性能影响很小了。具体到用户来说,辨别一款防火墙的性能的优劣,主要可以看看权威评测机构或媒体的性能测试结果,这些结果都是以国际标准RFC2544标准来衡量的,主要包括:网络吞吐量、丢包率、延迟、连接数等,其中吞吐量又是重中之重。
当然在性能方面,对于不同规模的企业有不同的要求,不一定速度越高越好,像有的小型的出口速率不到1M/s,选用100M/s的防火墙就是多余的。
4.高可靠性
因为防火墙就象单位用户出入互联网的一道门,如果门坏了,显然进出互联网也就成问题了。这样很可能会用户造成巨大的损失,这就要求防火墙产品自身具有高的可靠性。提高防火墙的可靠性通常是在设计中采取措施,具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。
5.强大的抗拒绝服务攻击能力
在网络攻击中,拒绝服务攻击是使用频率最高的手段。拒绝服务攻击可以分为两类 :一类是由于操作系统或应用软件在设计或编程上存在缺陷而造成的,这种类型只能通过打补丁的办法来解决,如我们常见的各种Windows系统安全补丁 。另一类是由于协议本身存在缺陷而造成的,这种类型的攻击虽然较少,但是造成的危害却非常大。对于第一类问题,防火墙显得有些力不从心,因为系统缺陷与病毒感染不同,没有病毒码作为依据,防火墙常常会作出错误的判断。防火墙有能力对付第二类攻击。
6. 功能的多样性
这一点对于小型企业来说不是很重要,但对于大、中型企业说就应当高度重视。否则很可能选购回来的防火墙产品根本不能满足当前或者短时间内的未来需求。
质量好的防火墙能够有效地控制通信,能够为不同级别、不同需求的用户提供不同的控制策略。控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出防火墙控制策略的质量。现在大多数的防火墙产品都支持NAT功能,它可以让受防火墙保护的一方的IP地址不被暴露。但注意启用NAT后势必会对防火墙系统的性能有所影响。目前防火墙技术进步很快,功能上也做的五花八门,用户选择上也比较困难。在包过滤方式上,目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他的一些附加的功能可以视实际的需要而定,例如,对于没有固定主机的单位,可能需要身份认证的功能;对网络资源比较紧张的单位,可能需要带宽管理的功能以合理控制资源分配;对于有总部和分支机构的企业,就可能需要选择能支持通讯功能的防火墙产品等等。
对于经常有公司内部用户移动办公的企业,最好能提供支持VPN通信或者身份验证功能,这样做有两个好处:一是可以大节省通信费用(因为VPN只需要用户与本地连接即可);另一方面用户出差时可以登录回公司内部自己的,在没有其它加密手段或者加密成本比较高时,这样身份验证方式是比较实用的。
7. 配置的方便性
因为防火墙作为一个高科技产品,一般技术人员是不太可能对其详细配置原理全部掌握,所以这就要求防火墙产品在配置上尽可能简单,方便。但通常质量好的防火墙系统在具有强大功能的同时,其配置安装也较为复杂,需要网管员对原网络配置进行较大的改动。目前有一种支持透明通信的防火墙在安装时不需要对网络配置做任何改动,非常适合小型企业选用。但要注意,在市场上并不是所有的防火墙都采用这种通信方式,有些防火墙只能在透明方式下或者方式下工作,而另外一些防火墙则可以在混合方式下工作。能工作于混合方式的防火墙显然更具方便性。
8、管理的方便性
网络技术发展很快,各种安全事件不断涌现,这就要求网管员需要经常调整安全策略。防火墙的管理不仅涉及控制策略的调整,而且还涉及业务系统的访问控制调整。防火墙的管理涉及管理途径、管理工具和管理权限三方面。防火墙的管理最好要适合网管员的管理习惯,设有远程Telnet登录管理以及管理命令的在线帮助等。用户在选择防火墙时也应该看其是否支持串口终端管理。如果防火墙没有终端管理方式,就不容易确定故障所在。一个好的防火墙产品必须符合用户的实际需要。对于国内用户来说,防火墙最好是具有中文界面,既能支持命令行方式管理,又能支持GUI(图形用户界面,如Windows界面)和集中式管理。
在可管理性方面,防火墙日志对网络管理员来说是至关重要的。防火墙日志应具有可读性,防火墙应具有精简日志的能力,帮助管理员从日志中快速检索到有用的信息。
9.灵活的可扩展和可升级性
用户的网络不可能永远一成不变,随着业务的发展,公司内部可能组建不同安全级别的子网,这样防火墙不仅要在公司内部网和外部网之间进行过滤,还要在公司内部子网之间进行过滤(现在的分布式防火墙不仅可以做到这一点,而且还可在内部网各用户之间过滤)。目前的防火墙一般标配三个网络接口,分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。用户购买或配置防火墙,首先要对自身的安全需求、网络特性和成本预算做出分析,然后对防火墙产品进行评估和审核,选出2~4家主要品牌产品进行洽谈,最后再确定优选。
通常小型企业接入互联网的目的一般是为了方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时,主要要注意考虑保护内部(敏感)数据的安全,特别要注重安全性,对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙,具有http、mail等代理功能即可。
而对于有应用的企业和网站等用户来说,这些企业每天都会有大量的商务信息通过防火墙。如果这些用户需要在外部网络发布Web(将置于外部的情况),同时需要保护或器(置于防火墙内),这就要求所采用的防火墙具有传送SQL数据的功能,而且必须具有较快的传送速度。建议这些用户采用高效的包过滤型防火墙,并将其配置为只允许外部Web服务器和内部传送SQL数据使用。
未来的防火墙系统应该是一个可随意伸缩的化解决方案,包括从最基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。
10.良好的协同工作能力
因为防火墙只是一个基础的网络安全设备,它不代表网络安全防护体系的全部,通常它需要与防病毒系统和入侵检测系统等安全产品协同配合,才能从根本上保证整个系统的安全,所以在选购防火墙时就要考虑它是否能够与其他安全产品协同工作。如何检验它是否具有这个能力,通常是看它是否支持OPSEC(开放安全结构)标准,通过这个接口与入侵检测系统协同工作,通过CVP(内容引导协议)与防病毒系统协同工作。
以上介绍了在选购防火墙时所要注意的10个方面,事实上很难找到完全符合以上各项要求的防火墙产品。事实上如何评估防火墙是一个十分复杂的问题。一般说来,防火墙的安全和性能(速度等)是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。用户时常会面对安全和性能之间的矛盾。代理型防火墙通常更具安全性,但是性能要差于包过滤型防火墙。如果用作Internet防火墙,即使以T1(1.544Mbps)或E1(2.048Mbps)数字线路接入,防火墙也不会成为瓶颈。但是企业网之间如果以100M甚至G位网络相连时,就会对防火墙的端口带宽性能提出很高的要求。
所有用户都希望自己买到物美价廉的产品,也就是性能价格比高的产品。按照购买或实现防火墙需要的经费来量化所有提出的解决办法是十分重要的。有的防火墙产品可以不花钱或花很少的钱(如个人防火墙),有的则要花上万元或更多的钱。具体而言,除考虑防火墙的销售价格外,还要考虑它的管理费用、维护费用及消耗材料费用等。对于经济实力雄厚的公司或大的企业组织,一般把满足需要放在第一位,把经济开销放在第二位,而且还把产品的更新换代需要的开销考虑进去。而对一般的机关学校来,由于经济条件一般,把产品价格放在重要位置考虑,只愿开销满足当前急需所购产品的经费,对未来网络系统的发展扩充换代考虑甚少。我们只要在满足实用性、安全性的基础上,适当考虑经济性就可以找到自己理想的产品。
上面介绍了在选购防火墙产品时要注意的事项,最后简单介绍防火墙在安装和配置方面应注意的几个方面。
用户在选择防火墙后,防火墙在安装前,首先要在被保护网段内使用ICMP包(PING)或Telnet对外网段进行访问,并使用相同的方法从外网段对被保护网段进行访问,以确保网络间路由的正常;其次是使用从被保护网段对外部网段的服务器进行访问,来确保网段间解析的正常。在安装防火墙时,用户还需要确认所安装的防火墙的各个模块的版本是否是最新版本或者带有最新的补丁,并按照防火墙厂商提供的用户手册进行安装。对于软件防火墙,用户还需要在安装前除掉该防火墙系统上的不必要的协议(如NetBEUI)和服务,并关闭系统的IP Forwarding功能。
在配置防火墙时,用户还要注意防火墙控制对象的正确定义以及被控制对象与外网通信时所使用的协议,以确保防火墙的配置不会防碍正常的通信。另需要制定安全策略来对其进行合理有效的配置。