《硬软防火墙选择》由会员分享,可在线阅读,更多相关《硬软防火墙选择(6页珍藏版)》请在金锄头文库上搜索。
1、随着 Internet 的飞速发展,电子商务、电子政务的推出,越来越多网络与 Internet联网,在网上设置提供公众服务的主机系统,如:WEB Server、EMAIL Server、FTP Server 等。同时,越来越多的用户利用 Web 获取、发布信息,使 Internet 上的信息量迅速增长。然而,一些非法侵入他人系统、窃取机密、破坏系统等恶性行为也悄然而至,如果不采取必要的安全措施加以自我保护,后果不堪设想。 人们采用了许多安全技术来提高网络的安全性,最具代表性的安全技术有:数据加密、容错技术、端口保护与主体验证及防火墙(Firewall)技术。其中,防火墙技术是近年来提出并推广的
2、一项网络安全技术。 一、防火墙的分类及其特点目前我们将之分为软件防火墙(又称基于通用操作系统的防火墙 )、硬件防火墙(又称基于路由器的包过滤防火墙)和标准服务器形式的防火墙 (又称基于专用安全操作系统的防火墙)三大类。由于要说明它们之间的特性还是很多的内容,所以在里我只作简单的对比。软件防火墙、硬件防火墙和标准服务器防火墙对照表:二、选购要点应该客观地看到,没有一个防火墙的设计能够适用于所有的环境,因此企业应根据站点的特点来选择合适的防火墙:(1)安全性大多数企业在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略了最重要的这一点,防火墙也是网络上的主机之一,也可
3、能存在安全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。 谈到防火墙的安全性就不得提一下防火墙的配置。防火墙配置有三种:Dual-homed 方式、Screened-host 方式和 Screened-subnet 方式。 Dual-homed 方式最简单。Dual-homed Gateway 放置在两个网络之间,这个 Dual-homed Gateway 又称为 bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受黑客攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。Screened-
4、host 方式中的 Screeningrouter 为保护 Bastionhost 的安全建立了一道屏障。它将所有进入的信息先送往 Bastionhost,并且只接受来自 Bastionhost 的数据作为出去的数据。这种结构依赖 Screeningrouter 和 Bastionhost,只要有一个失败,整个网络就暴露了。Screened-subnet 包含两个 Screeningrouter 和两个 Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为停火区(DMZ,即 DemilitarizedZone),Bastionhost 放置在停火区内。这种结构安全性好,只有
5、当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。(2)高效性好的防火墙还应该向使用者提供完整的安全检查功能,但是一个安全的网络仍必须依靠使用者的观察及改进,因为防火墙并不能有效地杜绝所有的恶意封包,企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接,但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。 防火墙与代理服务器最大的不同在于防火墙是专门为了保护网络安全而设计的,而一个好的防火墙不但应该具备包括检查、认证、警告、记录的功能,并且能够为使用者可能遇到的困境,事先提出解决方案,如 IP 不足形成的 IP 转换的问题,信息加密/解
6、密的问题,大企业要求能够透过 Internet 集中管理的问题等,这也是选择防火墙时必须考虑的问题。(3)配置便利性硬件防火墙系统具有强大的功能,但是其配置安装也较为复杂,需要网管员对原网络配置进行较大的改动。支持透明通信的防火墙在安装时不需要对网络配置做任何改动。目前在市场上,有些防火墙只能在透明方式下或者网关方式下工作,而另外一些防火墙则可以在混合方式下工作。能工作于混合方式的防火墙显然更具方便性。配置方便性还表现为管理方便。用户在选择防火墙时也应该看其是否支持串口终端管理。如果防火墙没有终端管理方式,就不容易确定故障所在。一个好的防火墙产品必须符合用户的实际需要。对于国内用户来说,防火墙
7、最好是具有中文界面,既能支持命令行方式管理,又能支持 GUI 和集中式管理。(4)管理的难易度防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因,除了先前提到的包过滤,并不能达到完全的控制之外,设定工作困难、须具备完整的知识以及不易除错等管理问题,更是一般企业不愿意使用的主要原因。 因此防火墙的管理最好要适合网管员的管理习惯,设有远程 Telnet 登录管理以及管理命令的在线帮助等。GUI 类管理器作为防火墙的管理工具,为网管员提供了有效、直观的管理方式。(5)可靠性对于防火墙来说,其可靠性直接影响受控网络的可用性,它在重要行业及关
8、键业务系统中的重要作用是显而易见的。提高防火墙的可靠性通常是在设计中采取措施,具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。此外防火墙应对操作系统应提供安全强化功能,最好完全不需要人为操作,就能确实强化操作系统。这项功能通常会暂时停止不必要的服务,并修补操作系统的安全弱点,虽然不是百分之百有效,但起码能防止外界一些不必要的干扰。(6)可扩展性对于一个好的防火墙系统而言,它的规模和功能应该能够适应网络规模和安全策略的变化。理想的防火墙系统应该是一个可随意伸缩的模块化解决方案,包括从最基本的包过滤器到带加密功能的 VPN 型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需
9、要的防火墙体系。目前的防火墙一般标配三个网络接口,分别连接外部网、内部网和 SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。(7)其它考虑要素企业安全政策中往往有些特殊需求(如网络地址转换 (NAT)、双重 DNS 、扫毒等功能)不是每一个防火墙都会提供的,这方面常会成为选择防火墙的考虑因素之一。此外防火墙的维护费用也是一个要考虑的问题,一般安全性越高,实现越复杂,设备费用相应的越高,日后的维护费用相对来说也是越高。建议:对于 ISP、网站等用户来说,由于其数据流量大,对速度和稳定性要求较高,如果这些用户需要在外部网络发布 Web(将 Web 服务器置于外部)
10、,同时需要保护数据库或应用服务器(置于防火墙内),这就要求所采用的防火墙具有传送 SQL 数据的功能,而且必须具有较快的传送速度,建议这些用户采用高效的包过滤型并且只允许外部 Web 服务器和内部传送 SQL 数据使用、100M 及以上带宽的硬件防火墙。中小企业接入 Internet 的目的一般是为了方便内部用户浏览 Web、收发 E-mail 以及发布主页。这类用户在选购防火墙时,要注意考虑保护内部(敏感) 数据的安全,要格外注重安全性,对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙,具有 http、mail 等代理功能即可。对于大中型企业、金融、保险、政府
11、等机构,共同之处在于网络流量不是很大,与外部联系较多,且内部数据比较重要。因此在选购防火墙时首先要考虑的就是安全性问题。从整体规划上,防火墙至少要能够将内部网分成两部分,即内部存放重要数据的网络与存放可提供外部访问数据的网络的分离。对于重要数据的传送,防火墙必须要提供加密的 VPN 通讯。这类用户选购 10M 或 100M 的防火墙就足够了。三、硬件防火墙产品一览 1、东方龙马硬件防火墙东方龙马防火墙是东方龙马公司结合当前最新的网络安全技术,自行开发的网络安全产品。它的基本功能有:实时的连接状态监控功能;动态设置过滤规则的功能; 双向的网络地址转换功能;对 ftp、telnet、http 、s
12、mtp、pop3 应用的透明代理访问方式;提供应用层 url 级的统计、屏蔽功能;安全的体系结构;安全的网络结构、采用内部网,DMZ 区,控制区分离的网络结构;支持透明模式运行方式;MAC 地址绑定功能;抗攻击和自我保护能力;通过双机热备份,提供可靠容错/热待机功能; 具有审计日志功能;网络工作情况事后分析和查询功能; 提供报表功能; 提供对通过防火墙使用网络资源的终端身份认证的功能,提供操作简单的图形化用户界面,面向对象的可视化规则编辑以及监控和管理防火墙。硬件配置指标 :网络接口,四个 10/100M 自适应网卡接口,或千兆网卡接口; 外设接口,终端接口(RS-232)。2、清华紫光 NI
13、SECURE UF3500 防火墙清华紫光 NISECURE UF3500 防火墙采用基于 SSL 的浏览器管理界面,允许通过流行的 WEB 浏览器使用 https 协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持网络浏览器超时退出的功能,保证了管理员离开管理计算机后的安全。具有网络地址转换、流量控制、用户认证、支持虚拟专用网(VPN)和网络管理等功能,结合了网络级包过滤(Network-level Packet Filter)和应用级代理服务器(Application-level Proxy Server)的功能。广泛的网络服务支持:支持 ARP、DNS、FINGER 、 FTP
14、、GOPHER、HTTP、HTTPS、 ICMP、 IRC、MAIL、NFS、SNMP、NNTP 、 POP3、RLOGIN、TELNET、WAIS 和其它协议。硬件配置指标:3 个以太网 RJ-45 端口(10/100Mbps 自适应,全双工),每个以太网接口有两个 LED 指示灯,电源 LED 指示灯,LCD 液晶显示屏系统状态,串行控制口。3、NetScreen 防火墙NetScreen 公司的 NetScreen 防火墙产品可以说是硬件防火墙领域内的新贵。 NetScreen 的产品完全基于硬件 ASIC 芯片,它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、VPN、流量控
15、制三种功能于一体的网络产品。NetScreen 把多种安全功能集成在一个 ASIC 芯片上,将防火墙、虚拟专用网(VPN)、网络流量控制和宽带接入这些功能全部集成在专有的一体硬件中,该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈,能实现最高级别的 Ipsec。NetScreen防火墙的配置可在网络上任何一台带有浏览器的机器上完成,NetScreen 的优势之一是采用了新的体系结构,可以有效地消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的 IP 安全保护。下面我简单介绍其主要产品中的三个系列:(1)NetScreen-100NetScreen-100 是一个专门为网络安全方面设计
16、的 Internet 安全设备,它为电子商务站点、ASP/ISP 数据中心和企业中心站点提供专门优化的防火墙、VPN 流量控制(带宽监控)功能 NetScreen-100 包括了一个专门设计的 ASIC 以加速加密工程和防火墙功能,一个高性能的多总线结构,高速 RISCCPU 和专用的软件。它的专利-独特的体系结构消除了传统系统中由于在通用处理器、PC 或工作站上运行软件的防火墙、VPN 、加密所导致的性能瓶颈、NetScreen 在消除了性能瓶颈的同时依然提供了 ICSA 认证的全状态监测防火墙安全和最高级的 3DESIPSec 加密的数据安全。应用领域:电子商务站点、ASP 站点、应用服务提供商、企业中心站点。(2)NetScreen-200由于增加的端口可以将网络划分为多个监控区域,NetScreen-200 系列能够在多个监控区域之间即网络内部建立 VPN 通道,NetScreen-200 系列具有采用 ASIC 安全机制、提供多个接口 、所有接口皆具防火墙防御功能 、所有的接口皆有 VPN通道、集中星型 VPN(Hub-
