芻議防火墻的選購

芻議防火墻的選購

芻議防火墻的選購

張民 張友華（電子工程學院）

防火墻為網絡安全體系的基礎和核心控制設備，其切斷受控網絡通信主干線，對通過受控干線的任何通信行為進行安全處理，如控制、報警、反應等，同時，也承擔了繁重的通信任務。由于自身處于網絡中的敏感位置，還要面對針對自身的各種安全威脅。但目前防火墻功能都相差不大，無非就是包過濾，地址轉換，應用層過濾，攻擊檢驗等等。那么用戶采購防火墻時應把握以下幾點：

1、安全性

安全性主要表現在：是否基于安全的操作系統？是夠采用專用的硬件平臺？設計的安全性根本在操作系統，具有完整信任關系的操作系統才有系統安全性評價。應用系統的安全以操作系統的安全性為基礎，同時，自身的安全實現也直接影響整體系統的安全性。安全管理為系統安全的重要外因，其直接影響安全設備的控制行為。

2、高效性

性能指標為防火墻的重要指標，其直接體現防火墻的可用性能，也體現防火墻對用戶的安全代價，過高的安全代價用戶無法接受。

3、靈活性

對通信行為的有效控制，要求防火墻設備有一系列不同級別滿足不同用戶的各類安全控制需求的控制策略，控制策略的有效性、多樣性，級別目標清晰性，制定難易性，經濟性等，體現控制策略的質量。

4、管理方便性

網絡技術發展很快，各種安全事件不斷涌現，這要求安全管理員經常性調整網絡安全策略。對于防火墻類訪問控制設備，除安全控制策略的不斷調整外，業務系統的訪問控制的調整也很頻繁，這些要求防火墻的管理在充分考慮安全需要的前提下，提供方便靈活的管理方式和方法，通常體現為如下方面：管理途徑、管理工具、管理權限。防火墻設備首先為網絡通信設備，管理途徑的提供要兼顧通常網絡的設備的管理方式，現實情況下，安全管理員還由網管人員兼顧，管理方式還要適合網管人員的一般管理行為習慣，如遠程telnet登錄管理及管理命令的在線幫助等。管理工具主要為GUI類管理器，用它管理很直觀，這對于設備的初期管理和不太熟悉的管理人員提供了有效的管理方式。權限管理為管理本身的基礎，嚴格的權限認證可能會帶來管理方便性的降低，從合理的綜合方式中找出最佳點。

5、可靠性

可靠性對防火墻類訪問控制設備尤為重要，其直接影響受控網絡的可用性，其在重要行業及關鍵業務系統中的作用和重要性是顯然的。從系統設計上，提高可靠性的措施一般提高本身部件的強健性、增大設計閥值和增加冗余部件，這要求有高的生產標準和設計冗余度，如使用工業標準、電源熱備份、系統熱備份等。

6、是否可針對用戶身份進行過濾

防火墻過濾報文時，最基礎的是針對IP地址進行過濾，大家都知道，IP地址是非常容易修改的，只要我打聽到公司里誰可以穿過防火墻，那么我將我的IP地址改成和他的一樣，我也可以穿過防火墻。這里需要一個針對用戶身份而不是IP地址進行過濾的辦法。目前防火墻上常用的是一次性口令驗證機構，通過特殊的算法，保證用戶在向防火墻登錄時，口令不會在網絡上泄漏，這樣，防火墻可以確認登錄上來的用戶確實和他所生成的一致。這樣做的好處由兩個：一用戶可以隨便找一臺計算機器，向防火墻登錄，防火墻就可判斷他的權限，進行合適的過濾，二用戶出差時，可以通過登錄回公司的防火墻訪問公司內部自己的服務器，不用擔心在電話網上泄漏口令，在沒有加密手段或加密成本較高時還是比較實用的。

7、抗拒絕服務功能

在當前的網絡攻擊中，拒絕服務攻擊是使用頻率最高的方法，YAHOO等網站遭受的就是拒絕服務攻擊，只不過是發起攻擊的點比較多，稱之為分布式拒絕服務攻擊。拒絕服務攻擊可分成兩類：一類由于操作系統或應用軟件本身設計或編程上的缺陷而造成，種類繁多，只有通過打補丁的辦法解決，一類是由于協議本身的缺陷，只有有數的幾種，但造成的危害非常大，如SYNFLOODING。

要防火墻解決第一類問題顯然是力不從心，系統缺陷和病毒不同，沒有病毒馬可以作為依據，在判斷到底是不是攻擊上常常誤報，現有的國內外地對這類攻擊的檢測至少有50%的誤報，大家如果用過IIS的real secure就有認識，這類攻擊檢測不能裝在防火墻上，否則可能把合法的報文認為是攻擊。防火墻能做的是對付第二類攻擊，如針對SYN-FLOODING，可以限制服務器接受連接請求的速度，最大的半連接數和最大已建立連接數實現。

【芻議防火墻的選購】相關文章：

淺談防火墻審計12-10

淺談文化時代的防火墻03-27

審計風險與控制芻議03-23

風險基礎審計芻議03-21

跨文化經濟交流芻議03-21

整合營銷芻議03-21

領導者的魅力芻議03-09

環境成本及其控制芻議03-24

報紙與戲曲關聯的演進芻議03-18