用户选购防火墙的十项注意

防火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，自身还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。 　　■ 注意一：防火墙自身是否安全 　　防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。防火墙安全指标最终可归结为以下两个问题： 　　1. 防火墙是否基于安全（甚至是专用）的操作系统； 　　2. 防火墙是否采用专用的硬件平台。 　　只有基于安全（甚至是专用）的操作系统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。 　　■ 注意二：系统是否稳定 　　就一个成熟的产品来说, 系统的稳定性是最基本的要求。目前，由于种种原因，国内有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，这样一来其稳定性就可想而知了。相信没有一个网管人员愿意把自己的网络作为防火墙的测试平台。防火墙的稳定性情况从厂家的宣传材料中是看不出来的, 但可以从以下几个渠道获得： 　　1. 国家权威的测评认证机构, 如公安部计算机安全产品检测中心和中国国家信息安全测评认证中心。 　　2. 与其它产品相比，是否获得更多的国家权威机构的认证、推荐和入网证明（书）。 　　3. 实际调查，这是最有效的办法, 考察这种防火墙是否已经有了使用单位, 其用户量也至关重要, 特别是用户们对于该防火墙的评价。如有可能, 最好咨询一下那些对稳定性要求较高的重要单位的用户, 如政府机关、国家部委、证券或银行系统、军队用户等。 　　4. 自己试用，先在自己的网络上进行一段时间的试用（一个月左右），如果在试用期间时常有宕机现象的话，这种产品就可以完全不用考虑了。 　　5. 厂商开发研制的历史，这也是一个重要指标，通过以往的经验，一般来说，如果没有两年以上的开发经历恐怕难保产品的稳定性。 　　6. 厂商的实力，这一点也应该着重考虑，如资金、技术开发人员、市场销售人员和技术支持人员多少等等。相信一家注册资金几百万。人员不过二三十人的公司是不可能保证产品的稳定性的。 　　■ 注意三：是否高效 　　高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性，也体现了用户使用防火墙所需付出的安全代价。如果由于使用防火墙而带来了网络性能较大幅度地下降的话，就意味着安全代价过高，用户是无法接受的。一般来说，防火墙加载上百条规则，其性能下降不应超过5％（指包过滤防火墙）。支持多少个连接也可以计算出一个指标，虽然这并不能完全定义或控制。 　　■ 注意四：是否可靠 　　可靠性对防火墙类访问控制设备来说尤为重要，其直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件，这要求有较高的生产标准和设计冗余度，如使用工业标准、电源热备份、系统热备份等。 　　■ 注意五：功能是否灵活 　　对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。控制注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等，体现着控制注意的高效和质量。例如对普通用户，只要对 IP 地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问；如果还有移动用户如出差人员的话，还要求能根据用户身份进行过滤。 　　■ 注意六：配置是否方便 　　在网络入口和出口处安装新的网络设备是每个网管员的恶梦, 因为这意味着必须修改几乎全部现有设备的配置, 还得面对由于运行不稳定而遭至的铺天盖地的责难。其实有时并不是设备有问题, 而是网络经过长期运行后，内部情况极端复杂，做任何改动都需要一段整合期。防火墙有没有比较简洁的安装方法呢？有！那就是支持透明通信的防火墙，它依旧接在网络的入口和出口处, 但是在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。需要时, 两端一连线就可以工作； 不需要时，将网线恢复原状即可。 　　目前市场上支持透明方式的防火墙较多, 在选购时需要仔细鉴别。大多数防火墙只能工作于透明方式或网关方式，只有极少数防火墙可以工作于混合模式, 即可以同时作为网关和网桥，后一种防火墙在使用时显然具有更大的方便性。 　　配置方便性的另一个方面是管理的方便性。网络设备和桌面设备不同， 界面的美观不代表方便性（当然这也是很重要的），90%的Cisco路由器就是通过命令行进行管理的。在选择防火墙时也应该考察它是否支持串口终端管理。 　　■ 注意七：管理是否简便 　　网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。 　　防火墙设备首先是一个网络通信设备，管理途径的提供要兼顾通常网络设备的管理方式。现实情况下，安全管理员大多由网管人员兼任，因此，管理方式还要适合网管人员管理的操作习惯，如远程telnet登录管理及管理命令的在线帮助等。管理工具主要为GUI类管理器，用它管理很直观，这对于设备的初期管理和不太熟悉的管理人员来说是一种有效的管理方式（如果有上百条规则的管理量，网管人员一条一条地往防火墙里输入规则，那真是一件痛苦的事）。权限管理是管理本身的基础，但是严格的权限认证可能会带来管理方便性的降低。 　　综上所述，是否具有满足以上要求的综合管理方式是网管人员在选择防火墙时需要重点考察的内容。 　　■ 注意八：是否可以抵抗拒绝服务攻击 　　在当前的网络攻击中, 拒绝服务攻击是使用频率最高的方法, Yahoo！等网站遭受的就是拒绝服务攻击。拒绝服务攻击可以分为两类。 　　一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的，由此带来的攻击种类很多, 只有通过打补丁的办法来解决；另一类是由于TCP/IP协议本身的缺陷造成的, 只有有数的几种，但危害性非常大,如Synflooding等。 　　要求防火墙解决第一类攻击显然是强人所难。系统缺陷和病毒不同, 没有病毒码可以作为依据, 因此在判断到底是不是攻击时常常出现误报现象，目前国内外的入侵检测产品对这类攻击的检测至少有 50% 的误报率。而且这类攻击检测产品不能装在防火墙上, 否则防火墙可能把合法的报文认为是攻击。防火墙能做的是对付第二类攻击, 当然要彻底解决这类攻击也是很难的。抵抗拒绝服务攻击应该是防火墙的基本功能之一，目前有很多防火墙号称可以抵御拒绝服务攻击，实际上严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。因此在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。 　　■ 注意九：是否可以针对用户身份进行过滤 　　防火墙过滤报文时, 最基础的是针对 IP 地址进行过滤。大家都知道，IP 地址是非常容易修改的, 只要打听到内部网里谁可以穿过防火墙，那么将自己的 IP 地址改成和他的一样就可以了。这就需要一个针对用户身份而不是IP地址进行过滤的办法。目前防火墙上常用的是一次性口令验证机制, 通过特殊的算法, 保证用户在登录防火墙时, 口令不会在网络上泄露, 这样防火墙就可以确认登录上来的用户确实和他所声称的一致。 　　这样做的好处有两个: 一，用户可以随便找一台机器, 登录防火墙, 防火墙也可以判断他的权限, 进行适当地过滤；二，用户出差时, 可以通过登录公司的防火墙访问公司内部的服务器, 不用担心在电话网上泄露口令。这种方法在没有加密手段或加密成本较高时还是比较实用的。 　　■ 注意十：是否具有可扩展、可升级性 　　用户的网络不是一成不变的，现在可能主要是在公司内部网和外部网之间做过滤，随着业务的发展，公司内部可能具有不同安全级别的子网，这就需要在这些子网之间做过滤。目前市面上的防火墙一般标配三个网络接口，分别接外部网、内部网和SSN。因此，在购买防火墙时必须问清楚，是否可以增加网络接口，因为有些防火墙设计成只支持三个接口的，不具有扩展性。 　　和防病毒产品类似，随着网络技术的发展和黑客攻击手段的变化，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间您的网络是不设防的，同时您也要为此花费更多的钱。 　　以上就是我们认为您在选购防火墙时需要注意的十个问题，如果您能全面考虑到这些问题，防火墙的选购就不会成为难题了。 　　摘自《赛迪网》　吴亚飚、赵权刚/文