1. 首頁 > 生活 > >

常用的防火墻產品 防火墻 設備

小知識防火墻 設備



文章插圖
常用的防火墻產品 防火墻 設備

文章插圖
防火墻是目前使用最為廣泛的網絡安全產品之一 , 目前國內的幾大網絡設備廠商都有自己的防火墻 , 具體的選型需要看自身業務的特點 , 以下是基本的幾點參數 , 僅供參考:
一、防火墻自身的安全性防火墻自身的安全性主要體現在自身設計和管理兩個方面 。設計的安全性關鍵在于操作系統 , 只有自身具有完整信任關系的操作系統才可以談論系統的安全性 。而應用系統的安全是以操作系統的安全為基礎的 , 同時防火墻自身的安全實現也直接影響整體系統的安全性 。
二、系統的穩定性目前 , 由于種種原因 , 有些防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場 , 其穩定性可想而知 。防火墻的穩定性可以通過幾種方法判斷:1.從權威的測評認證機構獲得 。例如 , 你可以通過與其它產品相比 , 考察某種產品是否獲得更多的國家權威機構的認證、推薦和入網證明(書) , 來間接了解其穩定性 。3.自己試用 。在自己的網絡上進行一段時間的試用(一個月左右) 。4.廠商開發研制的歷史 。一般來說 , 如果沒有兩年以上的開發經歷 , 很難保證產品的穩定性 。5.廠商實力 , 如資金、技術開發人員、市場銷售人員和技術支持人員多少等等 。
三、是否高效高性能是防火墻的一個重要指標 , 它直接體現了防火墻的可用性 。如果由于使用防火墻而帶來了網絡性能較大幅度地下降 , 就意味著安全代價過高 。一般來說 , 防火墻加載上百條規則 , 其性能下降不應超過5%(指包過濾防火墻) 。
四、是否可靠可靠性對防火墻類訪問控制設備來說尤為重要 , 直接影響受控網絡的可用性 。從系統設計上 , 提高可靠性的措施一般是提高本身部件的強健性、增大設計閾值和增加冗余部件 , 這要求有較高的生產標準和設計冗余度 。
【常用的防火墻產品 防火墻 設備】五、是否功能靈活對通信行為的有效控制 , 要求防火墻設備有一系列不同級別 , 滿足不同用戶的各類安全控制需求的控制注意 。例如對普通用戶 , 只要對IP地址進行過濾即可;如果是內部有不同安全級別的子網 , 有時則必須允許高級別子網對低級別子網進行單向訪問 。
六、是否配置方便在網絡入口和出口處安裝新的網絡設備是每個網管員的惡夢,因為這意味著必須修改幾乎全部現有設備的配置 。支持透明通信的防火墻 , 在安裝時不需要對原網絡配置做任何改動 , 所做的工作只相當于接一個網橋或Hub 。
七、是否管理簡便網絡技術發展很快 , 各種安全事件不斷出現 , 這就要求安全管理員經常調整網絡安全注意 。對于防火墻類訪問控制設備 , 除安全控制注意的不斷調整外 , 業務系統訪問控制的調整也很頻繁 , 這些都要求防火墻的管理在充分考慮安全需要的前提下 , 必須提供方便靈活的管理方式和方法 , 這通常體現為管理途徑、管理工具和管理權限 。
八、是否可以抵抗拒絕服務攻擊在當前的網絡攻擊中,拒絕服務攻擊是使用頻率最高的方法 。抵抗拒絕服務攻擊應該是防火墻的基本功能之一 。目前有很多防火墻號稱可以抵御拒絕服務攻擊 , 但嚴格地說 , 它應該是可以降低拒絕服務攻擊的危害而不是抵御這種攻擊 。在采購防火墻時 , 網管人員應該詳細考察這一功能的真實性和有效性 。
九、是否可以針對用戶身份過濾防火墻過濾報文 , 需要一個針對用戶身份而不是IP地址進行過濾的辦法 。目前常用的是一次性口令驗證機制,保證用戶在登錄防火墻時,口令不會在網絡上泄露,這樣 , 防火墻就可以確認登錄上來的用戶確實和他所聲稱的一致 。
十、是否可擴展、可升級用戶的網絡不是一成不變的 , 和防病毒產品類似 , 防火墻也必須不斷地進行升級 , 此時支持軟件升級就很重要了 。如果不支持軟件升級的話 , 為了抵御新的攻擊手段 , 用戶就必須進行硬件上的更換 , 而在更換期間網絡是不設防的 , 同時用戶也要為此花費更多的 。
防火墻是目前使用最為廣泛的網絡安全產品之一 , 目前國內的幾大網絡設備廠商都有自己的防火墻 , 具體的選型需要看自身業務的特點 , 以下是基本的幾點參數 , 僅供參考:
一、防火墻自身的安全性防火墻自身的安全性主要體現在自身設計和管理兩個方面 。設計的安全性關鍵在于操作系統 , 只有自身具有完整信任關系的操作系統才可以談論系統的安全性 。而應用系統的安全是以操作系統的安全為基礎的 , 同時防火墻自身的安全實現也直接影響整體系統的安全性 。
二、系統的穩定性目前 , 由于種種原因 , 有些防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場 , 其穩定性可想而知 。防火墻的穩定性可以通過幾種方法判斷:1.從權威的測評認證機構獲得 。例如 , 你可以通過與其它產品相比 , 考察某種產品是否獲得更多的國家權威機構的認證、推薦和入網證明(書) , 來間接了解其穩定性 。3.自己試用 。在自己的網絡上進行一段時間的試用(一個月左右) 。4.廠商開發研制的歷史 。一般來說 , 如果沒有兩年以上的開發經歷 , 很難保證產品的穩定性 。5.廠商實力 , 如資金、技術開發人員、市場銷售人員和技術支持人員多少等等 。
三、是否高效高性能是防火墻的一個重要指標 , 它直接體現了防火墻的可用性 。如果由于使用防火墻而帶來了網絡性能較大幅度地下降 , 就意味著安全代價過高 。一般來說 , 防火墻加載上百條規則 , 其性能下降不應超過5%(指包過濾防火墻) 。
四、是否可靠可靠性對防火墻類訪問控制設備來說尤為重要 , 直接影響受控網絡的可用性 。從系統設計上 , 提高可靠性的措施一般是提高本身部件的強健性、增大設計閾值和增加冗余部件 , 這要求有較高的生產標準和設計冗余度 。
五、是否功能靈活對通信行為的有效控制 , 要求防火墻設備有一系列不同級別 , 滿足不同用戶的各類安全控制需求的控制注意 。例如對普通用戶 , 只要對IP地址進行過濾即可;如果是內部有不同安全級別的子網 , 有時則必須允許高級別子網對低級別子網進行單向訪問 。
六、是否配置方便在網絡入口和出口處安裝新的網絡設備是每個網管員的惡夢,因為這意味著必須修改幾乎全部現有設備的配置 。支持透明通信的防火墻 , 在安裝時不需要對原網絡配置做任何改動 , 所做的工作只相當于接一個網橋或Hub 。
七、是否管理簡便網絡技術發展很快 , 各種安全事件不斷出現 , 這就要求安全管理員經常調整網絡安全注意 。對于防火墻類訪問控制設備 , 除安全控制注意的不斷調整外 , 業務系統訪問控制的調整也很頻繁 , 這些都要求防火墻的管理在充分考慮安全需要的前提下 , 必須提供方便靈活的管理方式和方法 , 這通常體現為管理途徑、管理工具和管理權限 。
八、是否可以抵抗拒絕服務攻擊在當前的網絡攻擊中,拒絕服務攻擊是使用頻率最高的方法 。抵抗拒絕服務攻擊應該是防火墻的基本功能之一 。目前有很多防火墻號稱可以抵御拒絕服務攻擊 , 但嚴格地說 , 它應該是可以降低拒絕服務攻擊的危害而不是抵御這種攻擊 。在采購防火墻時 , 網管人員應該詳細考察這一功能的真實性和有效性 。
九、是否可以針對用戶身份過濾防火墻過濾報文 , 需要一個針對用戶身份而不是IP地址進行過濾的辦法 。目前常用的是一次性口令驗證機制,保證用戶在登錄防火墻時,口令不會在網絡上泄露,這樣 , 防火墻就可以確認登錄上來的用戶確實和他所聲稱的一致 。
十、是否可擴展、可升級用戶的網絡不是一成不變的 , 和防病毒產品類似 , 防火墻也必須不斷地進行升級 , 此時支持軟件升級就很重要了 。如果不支持軟件升級的話 , 為了抵御新的攻擊手段 , 用戶就必須進行硬件上的更換 , 而在更換期間網絡是不設防的 , 同時用戶也要為此花費更多的 。