芻議防火墻的選購

芻議防火墻的選購

張民 張友華（電子工程學院）

防火墻為網(wǎng)絡安全體系的基礎和核心控制設備，其切斷受控網(wǎng)絡通信主干線，對通過受控干線的任何通信行為進行安全處理，如控制、報警、反應等，同時，也承擔了繁重的通信任務。由于自身處于網(wǎng)絡中的敏感位置，還要面對針對自身的各種安全威脅。但目前防火墻功能都相差不大，無非就是包過濾，地址轉換，應用層過濾，攻擊檢驗等等。那么用戶采購防火墻時應把握以下幾點：

1、安全性

安全性主要表現(xiàn)在：是否基于安全的操作系統(tǒng)？是夠采用專用的硬件平臺？設計的安全性根本在操作系統(tǒng)，具有完整信任關系的操作系統(tǒng)才有系統(tǒng)安全性評價。應用系統(tǒng)的安全以操作系統(tǒng)的安全性為基礎，同時，自身的安全實現(xiàn)也直接影響整體系統(tǒng)的安全性。安全管理為系統(tǒng)安全的重要外因，其直接影響安全設備的控制行為。

2、高效性

性能指標為防火墻的重要指標，其直接體現(xiàn)防火墻的可用性能，也體現(xiàn)防火墻對用戶的安全代價，過高的安全代價用戶無法接受。

3、靈活性

對通信行為的有效控制，要求防火墻設備有一系列不同級別滿足不同用戶的各類安全控制需求的控制策略，控制策略的有效性、多樣性，級別目標清晰性，制定難易性，經(jīng)濟性等，體現(xiàn)控制策略的質量。

4、管理方便性

網(wǎng)絡技術發(fā)展很快，各種安全事件不斷涌現(xiàn)，這要求安全管理員經(jīng)常性調(diào)整網(wǎng)絡安全策略。對于防火墻類訪問控制設備，除安全控制策略的不斷調(diào)整外，業(yè)務系統(tǒng)的訪問控制的調(diào)整也很頻繁，這些要求防火墻的管理在充分考慮安全需要的前提下，提供方便靈活的管理方式和方法，通常體現(xiàn)為如下方面：管理途徑、管理工具、管理權限。防火墻設備首先為網(wǎng)絡通信設備，管理途徑的提供要兼顧通常網(wǎng)絡的設備的管理方式，現(xiàn)實情況下，安全管理員還由網(wǎng)管人員兼顧，管理方式還要適合網(wǎng)管人員的一般管理行為習慣，如遠程telnet登錄管理及管理命令的在線幫助等。管理工具主要為GUI類管理器，用它管理很直觀，這對于設備的初期管理和不太熟悉的管理人員提供了有效的管理方式。權限管理為管理本身的基礎，嚴格的權限認證可能會帶來管理方便性的降低，從合理的綜合方式中找出最佳點。

5、可靠性

可靠性對防火墻類訪問控制設備尤為重要，其直接影響受控網(wǎng)絡的可用性，其在重要行業(yè)及關鍵業(yè)務系統(tǒng)中的作用和重要性是顯然的。從系統(tǒng)設計上，提高可靠性的措施一般提高本身部件的強健性、增大設計閥值和增加冗余部件，這要求有高的生產(chǎn)標準和設計冗余度，如使用工業(yè)標準、電源熱備份、系統(tǒng)熱備份等。

6、是否可針對用戶身份進行過濾

防火墻過濾報文時，最基礎的是針對IP地址進行過濾，大家都知道，IP地址是非常容易修改的，只要我打聽到公司里誰可以穿過防火墻，那么我將我的IP地址改成和他的一樣，我也可以穿過防火墻。這里需要一個針對用戶身份而不是IP地址進行過濾的辦法。目前防火墻上常用的是一次性口令驗證機構，通過特殊的算法，保證用戶在向防火墻登錄時，口令不會在網(wǎng)絡上泄漏，這樣，防火墻可以確認登錄上來的用戶確實和他所生成的一致。這樣做的好處由兩個：一用戶可以隨便找一臺計算機器，向防火墻登錄，防火墻就可判斷他的權限，進行合適的過濾，二用戶出差時，可以通過登錄回公司的防火墻訪問公司內(nèi)部自己的服務器，不用擔心在電話網(wǎng)上泄漏口令，在沒有加密手段或加密成本較高時還是比較實用的。

7、抗拒絕服務功能

在當前的網(wǎng)絡攻擊中，拒絕服務攻擊是使用頻率最高的方法，YAHOO等網(wǎng)站遭受的就是拒絕服務攻擊，只不過是發(fā)起攻擊的點比較多，稱之為分布式拒絕服務攻擊。拒絕服務攻擊可分成兩類：一類由于操作系統(tǒng)或應用軟件本身設計或編程上的缺陷而造成，種類繁多，只有通過打補丁的辦法解決，一類是由于協(xié)議本身的缺陷，只有有數(shù)的幾種，但造成的危害非常大，如SYNFLOODING。

要防火墻解決第一類問題顯然是力不從心，系統(tǒng)缺陷和病毒不同，沒有病毒馬可以作為依據(jù)，在判斷到底是不是攻擊上常常誤報，現(xiàn)有的國內(nèi)外地對這類攻擊的檢測至少有50%的誤報，大家如果用過IIS的real secure就有認識，這類攻擊檢測不能裝在防火墻上，否則可能把合法的報文認為是攻擊。防火墻能做的是對付第二類攻擊，如針對SYN-FLOODING，可以限制服務器接受連接請求的速度，最大的半連接數(shù)和最大已建立連接數(shù)實現(xiàn)。

【芻議防火墻的選購】相關文章：

芻議刑事司法改革06-09

領導者的魅力芻議08-28

芻議涉外海事證據(jù)保全的若干題目06-06

芻議對原告拒不到庭按撤訴處理的理解與適用06-07

民事共同行為和多數(shù)人責任芻議（上）06-07

財務理論結構的邏輯起點與基本框架芻議06-02

芻議虛擬現(xiàn)實技術在工業(yè)設計中的運用（精選7篇）05-20

英語影視作品名稱翻譯處理方法芻議05-19

電信運營商開發(fā)固網(wǎng)一卡通業(yè)務芻議05-28

財務理論結構的邏輯出發(fā)點與基本框架芻議06-04