问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

如何选择正确的防火墙

发布网友 发布时间:2022-04-24 01:06

我来回答

1个回答

热心网友 时间:2022-04-03 17:41

先要明确,防火墙不是路由器、交换机或者服务器。(虽然看起来比较象)所以不能用那些产品的指标来选择防火墙。那么选择防火墙应该注意哪些方面呢?

一安全性:这是重中之重。安全性不高的防火墙,其他性能再好也是空谈。安全性包括几个方面,自身安全性、访问控制能力和抗攻击能力。

自身安全性主要是指防火墙系统的健壮性,也就是说防火墙本身应该是难以被攻入的。还有防火墙的管理方式也很重要。管理员采用什么方式管理防火墙,是telnet还是web,有没有加密和认证等等。

访问控制能力是防火墙的核心功能。访问控制能力包括控制细度,也就是能控制哪些内容,比如地址、协议、端口、时间、用户、命令、附件等等。还要注意的就是控制强度,也就是说应该*的内容必须全部阻断,应该通过的内容不应该有任何阻断。

抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类,数量。特别是对DOS和DDOS攻击的抵抗力。目前对于DDOS攻击还没有什么完善的解决办法。因此对DDOS攻击主要看能抵御的强度有多大。

用户在选择防火墙的时候,自己来判断以上这些性能是很困难的。因为用户没有专门的测试工具和手段。用户可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军队认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336,等级越高越好,一共7级。(不过现在最好的好像也就是EAL3)

二网络性能。

防火墙是个网络设备。在保证安全的基础上,应该最大程度减少对网络性能的影响。对于网络性能,主要就是看最大带宽、并发连接数、每秒新增连接数、丢包和延迟。这些指标和交换机、路由器都是相同的,这里就不多说了。但是有一点要注意。防火墙在策略起作用和全通策略的状态下,上述指标都是不一样的。用户一定要考虑实际环境。比如先按照用户的要求添加多少条策略(全通策略在最后)然后再测试。传说中有的百兆防火墙小包(64字节)通过率能达到70%以上,甚至90%,我觉得在实际使用中一定不可能。之所以能够测试出这样的数据只有两个可能:一是采用高性能硬件,比如采用了千兆网卡芯片,二是在测试机的内核做手脚。

三是网络功能。

这里包括的内容就多了,什么地址转换、IP/MAC绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。

在这些眼花缭乱的功能里,用户应该有一双明亮的眼睛。因为并不是每一个功能用户都需要的,用户也不需要为了一些不需要的功能花冤枉钱。当然,价钱相等的情况下功能越多越好啊,呵呵。用户应该首先明确自己都需要什么功能,并且要确定这些功能都要达到什么效果。然后再寻找相应的设备。有些功能在不同厂家的定义是不同的。实现的效果也不一样。

四是管理功能。这里面的内容也不少。用户不要小看了这里的东西。防火墙这种设备不像交换机,安装好了50年不管。防火墙需要经常管理。日常的管理就是看日志,修订策略,添加和删除用户。更高的管理还包括第三方互动,VPN建立,远程集中管理等等。管理方面用户应该注意界面的友好性,设置选项应该通俗易懂。日志特别重要,好的日志系统应该有详细的记录,包括连接的状态和内容,应该便于分类和排序,应该方便存入数据库并有syslog等标准的接口。远程管理对用户来说要注意管理命令的加密和认证,是否支持策略远程导入导出等等。至于管理的界面是否好看,那就看个人喜好了。

五是质量。防火墙的质量表现可不是做工精细不精细啊,而是防火墙是否能经久耐用。现在比较先进的防火墙普遍采用的是贴板技术。也就是将所有的原件都采用贴片的工艺。这样整个防火墙都是一体的,自然不容易出故障。如果防火墙的内存,网口还采用插槽的方式,甚至还采用普通硬盘作为系统内核存储设备,那系统的稳定性就可想而知了。另外在高稳定性要求的环境里要看有没有双电源,大功率风扇等等。虽然看上去是细节,但是我可是知道很多防火墙室内温度一高就死机的。:)

上面说的内容都是对防火墙产品本身的一些介绍。我想大家应该对怎样选择防火墙有个原理性的认识了。那么下面就针对一些实际情况来讲一讲。先把我在一开始提的几个误区做个Q&A吧。

误区一:防火墙是国外的好。

解释:在网络安全领域,甚至是计算机领域,我们完全不用崇洋媚外。因为国内的研发力量已经渐渐在赶超了。当然,我们的整体实力还是有限的。但是,对于防火墙这种比较成熟的技术来说,我们完全可以做的和国外的一样好。国外品牌,大家熟知的checkpoint,为什么现在的市场份额越来越少?主要是自己不思进取。别人早都用硬件防火墙了,他还死抱着纯软件不放。现在和nokia合作推出硬件产品,是没办法的事。这种合作我也很不看好。毕竟对nokia来说这是小生意,不会重视的。在国内进行的多次评测中,国内的产品在性能指标上和国外的产品各有千秋。当然,国外的产品占了几个最,比如最快的产品是netscreen,支持协议最多的是checkpoint,入侵检测结合的最好的是fortinet。但是不要忘记,这些防火墙往往都是一个方面突出,然而其他方面就很一般了。国内的防火墙优势在于,功能比较全面,很容易用,服务本地化。片面强调一个功能对防火墙来说是不够的。用户应该结合自己的实际来选择防火墙。我认为国内的防火墙在性价比上是很好的。

也有人担心国内防火墙安全性不够。国家在这些方面都有专门的认证和评测机构。我想不是白吃饭的。(当然,有的评测确实只拿钱不测试)而国外的就一定安全么?我想更应该在心里划个问号。

误区二:防火墙纯硬件的比linux架构的好。

解释:硬件还是软件,这个只是跟实现原理有关。要实现防火墙的功能还是靠软件。ASIC的防火墙是把防火墙代码做在芯片里,运行的效率当然高。但是别的呢?防火墙可不是只做包检测的设备。还有很多别的功能。要想全部集成在芯片里,难度很大。特别是如果新出现了一个功能,要添加到原有的ASIC芯片里,往往很难。有人说ASIC芯片速度快。这个问题分两个角度来考虑。第一,韩国也有ASIC芯片的防火墙。而且国内也有OEM的(是哪一家我不说了),但是都是低端产品,并发连接只有几千而已。所以不是ASIC就一定好,要看研发的水平了。第二你需要这么快的速度么?速度是重要的,但不是唯一的。现在netscreen能做到几十个G,但是有个几个用户有这么大的带宽?除了电信,没几个用得着。而linux架构的防火墙在软件上可以很容易的添加功能,甚至可以应用户的要求订制开发。

误区三:防火墙各项指标越高越好。

其实还是那句话:按需选择。可能用户有的是钱,那当然另说了。但是在用户资金有限的情况下,还是应该仔细衡量一下,哪些指标对用户来说更有用。当然,选择产品时一定要有前瞻性,产品最好能适应今后两年网络的扩展。我曾经见过用户的选型方法是这样的:因为我们的专线是电信用光纤拉过来的,所以我们要用千兆防火墙和交换机。其实这根光纤只有8M。我想,电信发展的再快,专线速度达到100M以上恐怕也是5、6年以后的事情了(租金多少还难说),因此现在就选择千兆设备还不如选个好的光电转换模块。有的用户片面追求最大并发连接数,认为并发连接越大越好。其实这也是国内一些厂商的误导。最大并发连接够用就可以了。现在的国内厂家在这个指标上玩花样,你可以对比这两年同型号产品的公开指标,会发现有些产品的并发连接突然成倍增长。当然,也可能是产品升级了,但是很多情况是厂家为了打标,故意修改的数字。反正大部分用户都没条件测试最大并发,我写个几百万你怎么知道?其实对于百兆防火墙来说,有100万的并发应该足够了,富富有余。其他的指标也一样,按需选择才是根本。
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
太和县环球嘉年华港口有限公司怎么样? 为什么抵触相亲? 鸡蛋怎么做好吃家常做法大全 为何抵触相亲 为什么很多人都抵触相亲? 鸡蛋怎么做才营养好吃呢? 怎么可以搞到110电话打过去给别人 植发后能保持多久?有人知道吗? 银联储蓄卡包括什么 怎么让电脑图标变小如何将电脑桌面上软件变小 什么是防火墙?防火墙的类型有哪些 驾驶证过期了怎么办?? 驾驶证会过期吗? 驾照要多久过期 驾驶证过期多久会作废 驾照多久不考会过期? 驾驶证过期会怎么处理? 驾照考回来没开车,会不会过期,6年后是不是要重新考? 驾驶证最多能过期多久- 问一问 驾照会过期吗 如何在网上交交通违章罚款,并且不用扣分 车辆怎样在网上处理违章能不扣分? 网上交违章真的不扣分吗?怎么流程 车辆违法可以只交钱不扣分吗 车辆违章不罚款不扣分可以在网上处理吗 大货车网上交违章法款要不要扣分 交通违章罚款,只罚款不扣分的在网上缴费的,有交罚款期限吗? 车辆违章不罚款不扣分可以在网上处理吗? 网上交违章罚款怎么交?要扣分吗 在网上怎样缴纳违章罚款能不扣分 在苹果系统上怎么看qq悄悄聊 如何选择硬件防火墙? 苹果10.2.1系统怎么看手机qq空间 如何选购企业级防火墙 苹果系统怎么看qq空间 如何比较和选择下一代防火墙 苹果系统下如何看qq记住 的密码 下一代防火墙选型主要考虑那些指标? 苹果电脑上的QQ怎么看历史记录 论述防火墙选择的基本原则 苹果电脑上怎么看qq级别 怎么选购硬件防火墙 成都全口种植牙大概需要多少钱? 如何选择高防服务器? 去成都的华西口腔医院做个 种植牙 需要多少钱? 请问在成都做一颗种植牙的费用是多少? 小企业防火墙设备怎么选? 成都市一医院口腔哪里种牙好?种植牙需要多长时间? 防火墙和交换机的选型 成都牙科医院前十位有哪些?