论文部分内容阅读
当一个企业或组织决定采用防火墙来实施保卫自己内部网络的安全策略之后,下一步要做的事情就是选择一个安全、实惠、合适的防火墙。目前,市场上防火墙琳琅满目,例如思科、华堂等等,售价也极为悬殊,从几万元到数十万元,甚至到百万元。那么面对种类如此繁多的防火墙产品,用户需要考虑的因素有哪些?应该如何进行取舍呢?
一、企业的具体要求
企业安全策略中往往有些具体需求不是每一个防火墙都会满足的。这方面常会成为选择防火墙的考虑因素之一,常见的需求如下:
1 网络地址转换功能(NAT)
进行地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,这也是笔者之所以要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部使用保留的IP,这对许多IP不足的企业是有益的。
2 双重DNS
当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS,有的则必须在不同主机上各安装一个DNS。
3 虚拟专用网络(vPN)
VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。
4 扫毒功能
大部分防火墙都可以与防病毒软件搭配实现扫毒功能,有的防火墙则可以直接集成扫毒功能,差别只是扫毒工作是由防火墙完成,或是由另一台专用的计算机完成。
5 特殊控制需求
有时候企业会有特别的控制需求,如E-mail,FTP只能下载文件不能上传文件,限制同时上网人数,限制使用时间或阻塞Java、Ac-tiveX控件等,依需求不同而定。
二、与用户网络结合
1 管理的难易度
防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙,除了包过滤,并不能达到完全的控制之外,设定工作困难、须具备完整的知识以及不易出错等管理问题,更是一般企业不愿意使用的主要原因。
2 自身的安全性
大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上,但往往忽略了一点,防火墙也是网络上的主机之一,也可能存在安全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。
大部分防火墙都安装在一般的操作系统上,如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时。防火墙本身也将受到威胁。此时,任何的防火墙控制机制都可能失效,因为当一个黑客取得了防火墙上的控制权以后,黑客几乎可为所欲为地修改防火墙上的访问规则。进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。
3 完善的售后服务
我们认为。用户在选购防火墙产品时,除了从以上的功能特点考虑之外,还应该注意好的防火墙应该是企业整体网络的保护者,并能弥补其他操作系统的不足,使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台,因为使用者才是完全的控制者,而使用者的平台往往是多种多样的,应选择一套符合现有环境需求的防火墙产品。由于新产品的出现,就会有人研究新的破解方法,所以好的防火墙产品应拥有完善及时的售后服务体系。
4 完整的安全检查
好的防火墙还应该向使用者提供完整的安全检查功能,但是一个安全的网络仍必须依靠使用者的观察及改进,因为防火墙并不能有效地杜绝所有的恶意封包,企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制只有合法的使用者才能进行连接,但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。
通过了解以上几点,企业需要哪种防火墙、需要防火墙的哪些功能,都会有一个初步的判断。有了这些判断之后,再从数量繁多的产品目录中去挑选,会轻松得多。
一、企业的具体要求
企业安全策略中往往有些具体需求不是每一个防火墙都会满足的。这方面常会成为选择防火墙的考虑因素之一,常见的需求如下:
1 网络地址转换功能(NAT)
进行地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,这也是笔者之所以要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部使用保留的IP,这对许多IP不足的企业是有益的。
2 双重DNS
当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS,有的则必须在不同主机上各安装一个DNS。
3 虚拟专用网络(vPN)
VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。
4 扫毒功能
大部分防火墙都可以与防病毒软件搭配实现扫毒功能,有的防火墙则可以直接集成扫毒功能,差别只是扫毒工作是由防火墙完成,或是由另一台专用的计算机完成。
5 特殊控制需求
有时候企业会有特别的控制需求,如E-mail,FTP只能下载文件不能上传文件,限制同时上网人数,限制使用时间或阻塞Java、Ac-tiveX控件等,依需求不同而定。
二、与用户网络结合
1 管理的难易度
防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙,除了包过滤,并不能达到完全的控制之外,设定工作困难、须具备完整的知识以及不易出错等管理问题,更是一般企业不愿意使用的主要原因。
2 自身的安全性
大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上,但往往忽略了一点,防火墙也是网络上的主机之一,也可能存在安全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。
大部分防火墙都安装在一般的操作系统上,如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时。防火墙本身也将受到威胁。此时,任何的防火墙控制机制都可能失效,因为当一个黑客取得了防火墙上的控制权以后,黑客几乎可为所欲为地修改防火墙上的访问规则。进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。
3 完善的售后服务
我们认为。用户在选购防火墙产品时,除了从以上的功能特点考虑之外,还应该注意好的防火墙应该是企业整体网络的保护者,并能弥补其他操作系统的不足,使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台,因为使用者才是完全的控制者,而使用者的平台往往是多种多样的,应选择一套符合现有环境需求的防火墙产品。由于新产品的出现,就会有人研究新的破解方法,所以好的防火墙产品应拥有完善及时的售后服务体系。
4 完整的安全检查
好的防火墙还应该向使用者提供完整的安全检查功能,但是一个安全的网络仍必须依靠使用者的观察及改进,因为防火墙并不能有效地杜绝所有的恶意封包,企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制只有合法的使用者才能进行连接,但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。
通过了解以上几点,企业需要哪种防火墙、需要防火墙的哪些功能,都会有一个初步的判断。有了这些判断之后,再从数量繁多的产品目录中去挑选,会轻松得多。