日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
選購硬件防火墻哪些要素值得你注意?

此文章主要講述的是硬件防火墻選購十要素,隨著互聯(lián)網(wǎng)應用的普及和飛速發(fā)展,網(wǎng)絡安全也成為人們憂心忡忡的一個方面。病毒和黑客攻擊作為網(wǎng)絡安全的主要隱患,時時刻刻在威脅著進行互聯(lián)網(wǎng)應用的計算機系統(tǒng)的安全。

隨著互聯(lián)網(wǎng)應用的普及和飛速發(fā)展,網(wǎng)絡安全也成為人們最終為擔心的一個方面。病毒和黑客攻擊作為網(wǎng)絡安全的主要隱患,時時刻刻在威脅著進行互聯(lián)網(wǎng)應用的計算機系統(tǒng)的安全。網(wǎng)絡防火墻作為防止黑客入侵的主要手段,也已經(jīng)成為網(wǎng)絡安全建設的必選設備。

不僅對于企事粘單位網(wǎng)絡需要,就連個人用戶時下防火墻也已成為必備的安全手段,雖然個人用戶絕大多數(shù)還是采用軟件式的個人防火墻產(chǎn)品。本文要介紹的是在硬件防火墻設備選購時要注意的事項,當然適應用戶也主要是企、事業(yè)單位。

目前來說市面上的網(wǎng)絡防火墻設備不僅品牌繁多,就連各種不同的檔次產(chǎn)品也讓人眼花繚亂,普通用戶無從適從。那么如何選擇能夠適應自己企業(yè)的需要,達到最大的安全效果的防火墻產(chǎn)品呢?筆者根據(jù)對防火墻的使用和維護經(jīng)驗,總結出以下十大要素。

1.品牌是關鍵

因為防火墻產(chǎn)品屬高科技產(chǎn)品,生產(chǎn)這樣的設備不僅需要強大的資金作后盾,而且在技術實力需要有強大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術和服務,對將來的使用更加有保障。所以在選購防火墻產(chǎn)品時千萬別隨便貪圖一時便宜。

選購一些雜牌產(chǎn)品。目前國外在防火墻產(chǎn)品的開發(fā)、生產(chǎn)中比較著名的品牌有:3COM、Cisco、Nokia、NetScreen、Check Point等,這些品牌技術實力比較強,而且都能提供高檔產(chǎn)品,當然價格也相比下面要介紹的國產(chǎn)品牌要貴許多(通常在5000~1萬元之間)甚至貴一倍以上。這些品牌對于大、中型有資金實力的企業(yè)來說比較理想,因為購買了這類品牌產(chǎn)品,相對來說在技術方面更有保障,能滿足公司各方面的特殊需求,而且可擴展性比較強,適宜公司的發(fā)展需要。

國內開發(fā)、生產(chǎn)防火墻的品牌主要有:聯(lián)想-Dlink、天網(wǎng)、實達、東軟、天融信、安氏等,而又以聯(lián)想的Dlink、天網(wǎng)和實達品牌性能更好。這些品牌相對國外著名品牌來說都處于中、低檔次。當然價格要便宜許多(通常在5000元以下),而且還能提供全中文的使用說明書,方便安裝、調試和維護。對于中小企業(yè)來說國產(chǎn)品牌是理想的選擇。

2.安全最重要

防火墻本身就是一個用于安全防護的設備,當然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統(tǒng)和是否采用專用的硬件平臺。因為現(xiàn)在第二代防火墻產(chǎn)品通常不再依靠用戶的操作系統(tǒng),而是采用自已單獨開發(fā)的操作系統(tǒng)。

這個操作系統(tǒng)本身要求沒有安全隱患,當然作為普通用戶這只能通過品牌來保證。應用系統(tǒng)的安全性能是以防火墻自身操作系統(tǒng)的安全性能為基礎的,同時,應用系統(tǒng)自身的安全實現(xiàn)也直接影響到整個系統(tǒng)的安全性。

另外在安全策略上,防火墻應具有相當?shù)撵`活性。首先防火墻的過濾語言應該是靈活的,編程對用戶是友好的,還應具備若干可能的過濾屬性,如源和目的IP地址、協(xié)議類型、源和目的TCP/UDP端口及入出接口等。只有這樣用戶才能根據(jù)實際需求采取靈活的安全策略保護自己企業(yè)網(wǎng)絡的安全。

另外,防火墻除應包含先進的鑒別措施,還應采用盡量多的先進技術,如包過濾技術、加密技術、可信的信息技術等。如身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統(tǒng)的訪問控制機制、授權管理等技術,這些都是防火墻安全系統(tǒng)所必需考慮的。

3.高效的性能

因為防火墻是通過對進入的數(shù)據(jù)進行過濾來識別是否符合安全策略的,所以在流量比較高時,要求防火墻能以最快的速度及時對所有數(shù)據(jù)包進行檢測,否則就可能造成比較的延時,甚至死機。這個指標非常重要,它體現(xiàn)了防火墻的可用性能,也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的代價(延時),用戶無法接受過高的代價。

如果防火墻對網(wǎng)絡造成較大的延時,還會給用戶造成較大的損失。這一點我們在使用個人防火墻時可能深有感觸,有時我們在打開防火墻時上網(wǎng)反應非常慢,而一旦去掉速度就上來了,原因就為因為防火墻過濾速度不夠快。

如果防火墻對原有網(wǎng)絡帶寬影響過大,無疑就是對原有投資的巨大浪費。

目前來說防火墻在類型上基本上都實現(xiàn)了從軟件到硬件防火墻的轉換,算法上也有了很大的優(yōu)化,一部分防火墻的性能完全可以做到對原有網(wǎng)絡的性能影響很小了。具體到用戶來說,辨別一款防火墻的性能的優(yōu)劣,主要可以看看權威評測機構或媒體的性能測試結果,這些結果都是以國際標準RFC2544標準來衡量的,主要包括:網(wǎng)絡吞吐量、丟包率、延遲、連接數(shù)等,其中吞吐量又是重中之重。

當然在性能方面,對于不同規(guī)模的企業(yè)有不同的要求,不一定速度越高越好,像有的小型的局域網(wǎng)出口速率不到1M/s,選用100M/s的防火墻就是多余的。

4.高可靠性

因為防火墻就象單位用戶出入互聯(lián)網(wǎng)的一道門,如果門壞了,顯然進出互聯(lián)網(wǎng)也就成問題了。這樣很可能會用戶造成巨大的損失,這就要求防火墻產(chǎn)品自身具有高的可靠性。提高防火墻的可靠性通常是在設計中采取措施,具體措施是提高部件的強健性、增大設計閥值和增加冗余部件。

5.強大的抗拒絕服務攻擊能力

在網(wǎng)絡攻擊中,拒絕服務攻擊是使用頻率最高的手段。拒絕服務攻擊可以分為兩類 :一類是由于操作系統(tǒng)或應用軟件在設計或編程上存在缺陷而造成的,這種類型只能通過打補丁的辦法來解決,如我們常見的各種Windows系統(tǒng)安全補丁 。另一類是由于協(xié)議本身存在缺陷而造成的,這種類型的攻擊雖然較少,但是造成的危害卻非常大。對于第一類問題,防火墻顯得有些力不從心,因為系統(tǒng)缺陷與病毒感染不同,沒有病毒碼作為依據(jù),防火墻常常會作出錯誤的判斷。防火墻有能力對付第二類攻擊。

6. 功能的多樣性

這一點對于小型企業(yè)來說不是很重要,但對于大、中型企業(yè)說就應當高度重視。否則很可能選購回來的防火墻產(chǎn)品根本不能滿足當前或者短時間內的未來需求。

質量好的防火墻能夠有效地控制通信,能夠為不同級別、不同需求的用戶提供不同的控制策略??刂撇呗缘挠行?、多樣性、級別目標清晰性以及制定難易程度都直反映出防火墻控制策略的質量?,F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能,它可以讓受防火墻保護的一方的IP地址不被暴露。但注意啟用NAT后勢必會對防火墻系統(tǒng)的性能有所影響。

目前防火墻技術進步很快,功能上也做的五花八門,用戶選擇上也比較困難。在包過濾方式上,目前各個廠商采用的基本上都是基于狀態(tài)檢測包過濾功能。其他的一些附加的功能可以視實際的需要而定,例如,對于沒有固定主機的單位,可能需要身份認證的功能;對網(wǎng)絡資源比較緊張的單位,可能需要帶寬管理的功能以合理控制資源分配;對于有總部和分支機構的企業(yè),就可能需要選擇能支持VPN通訊功能的防火墻產(chǎn)品等等。

對于經(jīng)常有公司內部用戶移動辦公的企業(yè),最好能提供支持VPN通信或者身份驗證功能,這樣做有兩個好處:一是可以大節(jié)省通信費用(因為VPN只需要用戶與本地ISP連接即可);另一方面用戶出差時可以登錄回公司內部自己的服務器,在沒有其它加密手段或者加密成本比較高時,這樣身份驗證方式是比較實用的。#p#

7. 配置的方便性

因為防火墻作為一個高科技產(chǎn)品,一般技術人員是不太可能對其詳細配置原理全部掌握,所以這就要求防火墻產(chǎn)品在配置上盡可能簡單,方便。但通常質量好的防火墻系統(tǒng)在具有強大功能的同時,其配置安裝也較為復雜,需要網(wǎng)管員對原網(wǎng)絡配置進行較大的改動。

目前有一種支持透明通信的防火墻在安裝時不需要對網(wǎng)絡配置做任何改動,非常適合小型企業(yè)選用。但要注意,在市場上并不是所有的防火墻都采用這種通信方式,有些防火墻只能在透明方式下或者網(wǎng)關方式下工作,而另外一些防火墻則可以在混合方式下工作。能工作于混合方式的防火墻顯然更具方便性。

8、管理的方便性

網(wǎng)絡技術發(fā)展很快,各種安全事件不斷涌現(xiàn),這就要求網(wǎng)管員需要經(jīng)常調整安全策略。防火墻的管理不僅涉及控制策略的調整,而且還涉及業(yè)務系統(tǒng)的訪問控制調整。防火墻的管理涉及管理途徑、管理工具和管理權限三方面。

防火墻的管理最好要適合網(wǎng)管員的管理習慣,設有遠程Telnet登錄管理以及管理命令的在線幫助等。用戶在選擇防火墻時也應該看其是否支持串口終端管理。如果防火墻沒有終端管理方式,就不容易確定故障所在。一個好的防火墻產(chǎn)品必須符合用戶的實際需要。對于國內用戶來說,防火墻最好是具有中文界面,既能支持命令行方式管理,又能支持GUI(圖形用戶界面,如Windows界面)和集中式管理。

在可管理性方面,防火墻日志對網(wǎng)絡管理員來說是至關重要的。防火墻日志應具有可讀性,防火墻應具有精簡日志的能力,幫助管理員從日志中快速檢索到有用的信息。

9.靈活的可擴展和可升級性

用戶的網(wǎng)絡不可能永遠一成不變,隨著業(yè)務的發(fā)展,公司內部可能組建不同安全級別的子網(wǎng),這樣防火墻不僅要在公司內部網(wǎng)和外部網(wǎng)之間進行過濾,還要在公司內部子網(wǎng)之間進行過濾(現(xiàn)在的分布式防火墻不僅可以做到這一點,而且還可在內部網(wǎng)各用戶之間過濾)。

目前的防火墻一般標配三個網(wǎng)絡接口,分別連接外部網(wǎng)、內部網(wǎng)和SSN。用戶在購買防火墻時必須弄清楚是否可以增加網(wǎng)絡接口,因為有些防火墻無法擴展。用戶購買或配置防火墻,首先要對自身的安全需求、網(wǎng)絡特性和成本預算做出分析,然后對防火墻產(chǎn)品進行評估和審核,選出2~4家主要品牌產(chǎn)品進行洽談,最后再確定優(yōu)選方案。

通常小型企業(yè)接入互聯(lián)網(wǎng)的目的一般是為了方便內部用戶瀏覽Web、收發(fā)E-mail以及發(fā)布主頁。這類用戶在選購防火墻時,主要要注意考慮保護內部(敏感)數(shù)據(jù)的安全,特別要注重安全性,對服務協(xié)議的多樣性以及速度等可以不作特殊要求。建議這類用戶選用一般的代理型防火墻,具有http、mail等代理功能即可。

而對于有電子商務應用的企業(yè)和網(wǎng)站等用戶來說,這些企業(yè)每天都會有大量的商務信息通過防火墻。如果這些用戶需要在外部網(wǎng)絡發(fā)布Web(將Web服務器置于外部的情況),同時需要保護數(shù)據(jù)庫或應用服務器(置于防火墻內),這就要求所采用的防火墻具有傳送SQL數(shù)據(jù)的功能,而且必須具有較快的傳送速度。建議這些用戶采用高效的包過濾型防火墻,并將其配置為只允許外部Web服務器和內部傳送SQL數(shù)據(jù)使用。

未來的防火墻系統(tǒng)應該是一個可隨意伸縮的模塊化解決方案,包括從最基本的包過濾器到帶加密功能的VPN型包過濾器,直至一個獨立的應用網(wǎng)關,使用戶有充分的余地構建自己所需要的防火墻體系。

10.良好的協(xié)同工作能力

因為防火墻只是一個基礎的網(wǎng)絡安全設備,它不代表網(wǎng)絡安全防護體系的全部,通常它需要與防病毒系統(tǒng)和入侵檢測系統(tǒng)等安全產(chǎn)品協(xié)同配合,才能從根本上保證整個系統(tǒng)的安全,所以在選購防火墻時就要考慮它是否能夠與其他安全產(chǎn)品協(xié)同工作。如何檢驗它是否具有這個能力,通常是看它是否支持OPSEC(開放安全結構)標準,通過這個接口與入侵檢測系統(tǒng)協(xié)同工作,通過CVP(內容引導協(xié)議)與防病毒系統(tǒng)協(xié)同工作。

以上介紹了在選購防火墻時所要注意的10個方面,事實上很難找到完全符合以上各項要求的防火墻產(chǎn)品。事實上如何評估防火墻是一個十分復雜的問題。一般說來,防火墻的安全和性能(速度等)是最重要的指標,用戶接口(管理和配置界面)和審計追蹤次之,然后才是功能上的擴展性。

用戶時常會面對安全和性能之間的矛盾。代理型防火墻通常更具安全性,但是性能要差于包過濾型防火墻。如果用作Internet防火墻,即使以T1(1.544Mbps)或E1(2.048Mbps)數(shù)字線路接入,防火墻也不會成為瓶頸。但是企業(yè)網(wǎng)之間如果以100M甚至G位網(wǎng)絡相連時,就會對防火墻的端口帶寬性能提出很高的要求。

所有用戶都希望自己買到物美價廉的產(chǎn)品,也就是性能價格比高的產(chǎn)品。按照購買或實現(xiàn)防火墻需要的經(jīng)費來量化所有提出的解決辦法是十分重要的。有的防火墻產(chǎn)品可以不花錢或花很少的錢(如個人防火墻),有的則要花上萬元或更多的錢。具體而言,除考慮防火墻的銷售價格外,還要考慮它的管理費用、維護費用及消耗材料費用等。

對于經(jīng)濟實力雄厚的公司或大的企業(yè)組織,一般把滿足需要放在第一位,把經(jīng)濟開銷放在第二位,而且還把產(chǎn)品的更新?lián)Q代需要的開銷考慮進去。而對一般的機關學校來,由于經(jīng)濟條件一般,把產(chǎn)品價格放在重要位置考慮,只愿開銷滿足當前急需所購產(chǎn)品的經(jīng)費,對未來網(wǎng)絡系統(tǒng)的發(fā)展擴充換代考慮甚少。我們只要在滿足實用性、安全性的基礎上,適當考慮經(jīng)濟性就可以找到自己理想的產(chǎn)品。

上面介紹了在選購防火墻產(chǎn)品時要注意的事項,最后簡單介紹防火墻在安裝和配置方面應注意的幾個方面。

用戶在選擇防火墻后,防火墻在安裝前,首先要在被保護網(wǎng)段內使用ICMP包(PING)或Telnet對外網(wǎng)段進行訪問,并使用相同的方法從外網(wǎng)段對被保護網(wǎng)段進行訪問,以確保網(wǎng)絡間路由的正常;其次是使用瀏覽器從被保護網(wǎng)段對外部網(wǎng)段的服務器進行訪問,來確保網(wǎng)段間域名解析的正常。

在安裝防火墻時,用戶還需要確認所安裝的防火墻的各個模塊的版本是否是最新版本或者帶有最新的補丁,并按照防火墻廠商提供的用戶手冊進行安裝。對于軟件防火墻,用戶還需要在安裝前除掉該防火墻系統(tǒng)上的不必要的協(xié)議(如NetBEUI)和服務,并關閉系統(tǒng)的IP Forwarding功能。

在配置防火墻時,用戶還要注意防火墻控制對象的正確定義以及被控制對象與外網(wǎng)通信時所使用的協(xié)議,以確保防火墻的配置不會防礙正常的通信。另需要制定安全策略來對其進行合理有效的配置。

上述的相關內容就是對硬件防火墻選購十要素的描述,希望會給你帶來一些幫助在此方面。

【編輯推薦】

  1. 知我者為我心憂 硬件防火墻全接觸
  2. 如何鑒別硬件防火墻性能的差異
  3. 硬件防火墻的配置過程講解
  4. 全方位講解硬件防火墻的選擇(多圖)
  5. SonicWALL GX650硬件防火墻

當前題目:選購硬件防火墻哪些要素值得你注意?
轉載源于:http://m.5511xx.com/article/ccdjogi.html