防火墻選購指南

★★★★★【文章導(dǎo)讀】：防火墻選購指南具體內(nèi)容是：一、防火墻自身是否安全防火墻自身的安全性主要體現(xiàn)在自身設(shè)計(jì)和管理兩個(gè)方面。設(shè)計(jì)的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基…

來源：日期：2013-12-24 21:10:45 人氣：標(biāo)簽：

一、防火墻自身是否安全

防火墻自身的安全性主要體現(xiàn)在自身設(shè)計(jì)和管理兩個(gè)方面。設(shè)計(jì)的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，同時(shí)防火墻自身的安全實(shí)現(xiàn)也直接影響整體系統(tǒng)的安全性。防火墻安全指標(biāo) 終可歸結(jié)為以下兩個(gè)問題：

1、防火墻是否基于安全（甚至是專用）的操作系統(tǒng)；

2、防火墻是否采用專用的硬件平臺。

只有基于安全（甚至是專用）的操作系統(tǒng)并采用專用硬件平臺的防火墻才可能保證防火墻自身的安全。

二、系統(tǒng)是否穩(wěn)定

就一個(gè)成熟的產(chǎn)品來說，系統(tǒng)的穩(wěn)定性是基本的要求。目前，由于種種原因，國內(nèi)有些防火墻尚未后定型或經(jīng)過嚴(yán)格的大量測試就被推向了市場，這樣一來其穩(wěn)定性就可想而知了。相信沒有一個(gè)網(wǎng)管人員愿意把自己的網(wǎng)絡(luò)作為防火墻的測試平臺。防火墻的穩(wěn)定性情況從廠家的宣傳材料中是看不出來的，但可以從以下幾個(gè)渠道獲得：

1、國家權(quán)威的測評認(rèn)證機(jī)構(gòu)，如公安部計(jì)算機(jī)安全產(chǎn)品檢測中心和中國國家信息安全測評認(rèn)證中心。

2、與其它產(chǎn)品相比，是否獲得更多的國家權(quán)威機(jī)構(gòu)的認(rèn)證、推薦和入網(wǎng)證明（書）。

3、實(shí)際調(diào)查。這是有效的辦法，考察這種防火墻是否已經(jīng)有了使用單位，其用戶量也至關(guān)重要，特別是用戶們對于該防火墻的評價(jià)。如有可能, 好咨詢一下那些對穩(wěn)定性要求較高的重要單位的用戶，如政府機(jī)關(guān)、國家部委、證券或銀行系統(tǒng)、軍隊(duì)用戶等。

4、自己試用，先在自己的網(wǎng)絡(luò)上進(jìn)行一段時(shí)間的試用（一個(gè)月左右），如果在試用期間時(shí)常有宕機(jī)現(xiàn)象的話，這種產(chǎn)品就可以完全不用考慮了。

5、廠商開發(fā)研制的歷史，這也是一個(gè)重要指標(biāo)，通過以往的經(jīng)驗(yàn)，一般來說，如果沒有兩年以上的開發(fā)經(jīng)歷恐怕難保產(chǎn)品的穩(wěn)定性。

6、廠商的實(shí)力，這一點(diǎn)也應(yīng)該著重考慮，如資金、技術(shù)開發(fā)人員、市場銷售人員和技術(shù)支持人員多少等等。相信一家注冊資金幾百萬，人員不過二三十人的公司是不可能保證產(chǎn)品的穩(wěn)定性的。

三、是否高效

高性能是防火墻的一個(gè)重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性，也體現(xiàn)了用戶使用防火墻所需付出的安全代價(jià)。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度地下降的話，就意味著安全代價(jià)過高，用戶是無法接受的。一般來說，防火墻加載上百條規(guī)則，其性能下降不應(yīng)超過5％（指包過濾防火墻）。支持多少個(gè)連接也可以計(jì)算出一個(gè)指標(biāo)，雖然這并不能完全定義或控制。

四、是否可靠

可靠性對防火墻類訪問控制設(shè)備來說尤為重要，其直接影響受控網(wǎng)絡(luò)的可用性。從系統(tǒng)設(shè)計(jì)上，提高可靠性的措施一般是提高本身部件的強(qiáng)健性、增大設(shè)計(jì)閾值和增加冗余部件，這要求有較高的生產(chǎn)標(biāo)準(zhǔn)和設(shè)計(jì)冗余度，如使用工業(yè)標(biāo)準(zhǔn)、電源熱備份、系統(tǒng)熱備份等。

五、功能是否靈活

對通信行為的有效控制，要求防火墻設(shè)備有一系列不同級別，滿足不同用戶的各類安全控制需求的控制注意。控制注意的有效性、多樣性、級別目標(biāo)的清晰性、制定的難易性和經(jīng)濟(jì)性等，體現(xiàn)著控制注意的高效和質(zhì)量。例如對普通用戶，只要對IP地址進(jìn)行過濾即可。如果是內(nèi)部有不同安全級別的子網(wǎng)，有時(shí)則必須允許高級別子網(wǎng)對低級別子網(wǎng)進(jìn)行單向訪問。如果還有移動用戶，如出差人員的話，還要求能根據(jù)用戶身份進(jìn)行過濾。

六、配置是否方便

在網(wǎng)絡(luò)入口和出口處安裝新的網(wǎng)絡(luò)設(shè)備是每個(gè)網(wǎng)管員的噩夢，因?yàn)檫@意味著必須修改幾乎全部現(xiàn)有設(shè)備的配置，還得面對由于運(yùn)行不穩(wěn)定而招至的鋪天蓋地的責(zé)難。其實(shí)有時(shí)并不是設(shè)備有問題，而是網(wǎng)絡(luò)經(jīng)過長期運(yùn)行后，內(nèi)部情況極端復(fù)雜，做任何改動都需要一段整合期。防火墻有沒有比較簡潔的安裝方法呢？有！那就是支持透明通信的防火墻，它依舊接在網(wǎng)絡(luò)的入口和出口處，但是在安裝時(shí)不需要對原網(wǎng)絡(luò)配置做任何改動，所做的工作只相當(dāng)于接一個(gè)網(wǎng)橋或Hub。需要時(shí)，兩端一連線就可以工作；不需要時(shí)，將網(wǎng)線恢復(fù)原狀即可。

目前市場上支持透明方式的防火墻較多，在選購時(shí)需要仔細(xì)鑒別。大多數(shù)防火墻只能工作于透明方式或網(wǎng)關(guān)方式，只有極少數(shù)防火墻可以工作于混合模式，即可以同時(shí)作為網(wǎng)關(guān)和網(wǎng)橋，后一種防火墻在使用時(shí)顯然具有更大的方便性。

配置方便性的另一個(gè)方面是管理的方便性。網(wǎng)絡(luò)設(shè)備和桌面設(shè)備不同，界面的美觀不代表方便性（當(dāng)然這也是很重要的），90%的Cisco路由器就是通過命令行進(jìn)行管理的。在選擇防火墻時(shí)也應(yīng)該考察它是否支持串口終端管理。