如何鉴别硬件防火墙的好坏
如何鉴别防火墙的实际功能差异
有一些问题常令用户困惑:
在产品的功能上,各个厂商的描述十分雷同,一些“后起之秀”与知名品牌极其相似。面对这种情况,该如何鉴别?
描述得十分类似的产品,即使是同一个功能,在具体实现上、在可用性和易用性上,个体差异地十分明显。
一、网络层的访问控制
所有防火墙都必须具备此项功能,否则就不能称其为防火墙。当然,大多数的路由器也可以通过自身的ACL来实现此功能。
1、规则编辑
对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:
对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则,是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?
2、IP/MAC地址绑定
同样是IP/MAC地址绑定功能,有一些细节必须考察,如防火墙能否实现IP 地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用,如果防火墙不能提供IP地址和MAC
地址的自动搜集,网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址,这将是一件非常乏味的工作。
3、NAT(网络地址转换)
这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能,各厂家实现的差异非常大,许多厂家实现NAT功能存在很大的问
题:
难于配置和使用,这将会给网管员带来巨大的麻烦。我们必须学习NAT 的工作原
理,提高自身的网络知识水平,通过分析比较,找到一种在NAT 配置和
使用上简单处理的防火墙。
二、应用层的访问控制这一功能是各个防火墙厂商的实力比拼点,也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为
Linux、FreeBSD等的内核模块已经支持状态监测),但是对应用层的控制却无法实现“拿来主义”,需要实实在在的编程。
对应用层的控制上,在选择防火墙时可以考察以下几点。
1、是否提供HTTP协议的内容过滤?
目前企业网络环境中,最主要的两种应用是WWW 访问和收发电子邮件。能否对WWW 访问进行细粒度的控制反映了一个防火墙的技术实力。
2、是否提供SMTP协议的内容过滤?
对电子邮件的攻击越来越多:
邮件炸弹、邮件病毒、泄漏机密信息等等,能否提供基于SMTP协议的内
容过滤以及过滤的粒度粗细成了用户关注的焦点。
3、是否提供FTP协议的内容过滤?
在考察这一功能时一定要细心加小心,很多厂家的防火墙都宣传说具备FTP 的内容过滤,但细心对比就会发现,其中绝大多数仅实现了FTP协议中两个命
令的控制:
PUT禾口GET
好的防火墙应该可以对FTP其他所有的命令进行控制,包括
CD LS等,要提供基于命令级控制,实现对目录和文件的访问控制,全部过滤均支持通配符。
三、管理和认证
这是防火墙非常重要的功能。目前,防火墙管理分为基于WEB界面的WUI
管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。
各种管理方式中,基于命令行的CLI方式最不适合防火墙。
WUI 和GUI 的管理方式各有优缺点。
WUI 的管理方式简单,不用专门的管理软件,只要配备浏览器就行;同时,WUI 的管理界面非常适合远程管理,只要防火墙配置一个可达的IP,可实
现在美国管理位于中国分公司的防火墙。
WUI 形式的防火墙也有缺点:
首先,WEB界面非常不适合进行复杂、动态的页面显示,一般的WUI界面很难显示丰富的统计图表,所以对于审计、统计功能要求比较苛刻的用户,尽量不要选择WUI 方式;另外,它将导致防火墙管理安全威胁增大,如果用户在家里通过浏览器管理位于公司的防火墙,信任关系仅仅依赖于一个简单的用户名和口令,黑客很容易猜测到口令,这增加了安全威胁。
GUI 是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业,可以提供丰富的管理功能,便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件,同时在远程和集中管理方面没有WUI管理方式灵活。
四、审计和xx 以及存储方式
目前绝大多数防火墙都提供了审计和日志功能,区别是审计的粒度粗细不同、日志的存储方式和存储量不同。
很多防火墙的审计和日志功能很弱,这一点在那些以DOM、DOC等电子盘
(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显,有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能,就需要考察防火墙的存储方式,如果是DOM、DOC等Flash电子盘的存储方式,将可能限制审计和日志的功能效果。
目前绝大多数防火墙审计日志采用硬盘存储的方式,这种方式的优点是可以存储大量的日志(几个G到几十个G),但是在某些极端的情况下,如异常掉电,硬盘受到的损坏往往要比电子盘的损坏严重。
好的防火墙应该提供多种存储方式,便于用户灵活选择和使用。
五、如何区分包过滤和状态监测
一些小公司为了推销自己的防火墙产品,往往宣称采用的是状态监测技术; 从表面上看,我们往往容易被迷惑。这里给出区分这两种技术的小技巧。
1、是否提供实时连接状态查看?
状态监测防火墙可以提供查看当前连接状态的功能和界面,并且可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双方的IP、端口、连
接状态、连接时间等等,而简单包过滤却不具备这项功能。
2、是否具备动态规则库?
某些应用协议不仅仅使用一个连接和一个端口,往往通过一系列相关联的连接完成一个应用层的操作。比如FTP W、议,用户命令是通过对21端口的连接传输,而数据则通过另一个临时建立的连接(缺省的源端口是20,在PASSIVE
模式下则是临时分配的端口)传输。
对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为20 的访问。
状态监测防火墙则可以支持动态规则,通过跟踪应用层会话的过程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求。对于FTP来说,只
需防火墙中设定一条对21端口的访问规则,就可以保证FTP传输的正常,包括PASSIVES式的数据传输。这一功能不仅使规则更加简单,同时消除了必须开放所有20端口的危险。
【分享】防火墙的好坏的(专业)标准呵呵-大家可以看看
[move]防火墙的好坏的(专业)标准呵呵-大家可以看看[/move]
防火墙作为网络安全体系的基础和核心控制设备,它贯穿于受控网络通信 主干线,对通过受控干线的任何通信行为进行安全处理,如控制、审计、报 警、反应等,同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏 感位置,自身还要面对各种安全威胁,因此,选用一个安全、稳定和可靠的防 火墙产品,其重要性不言而喻。
、/. I -,G :
■ 注意一:
防火墙自身是否安全
防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性 关键在于操作系统,只有自身具有完整信任关系的操作系统才可以谈论系统的 安全性。而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的 安全实现也直接影响整体系统的安全性。防火墙安全指标最终可归结为以下两 个问题:
1.防火墙是否基于安全(甚至是专用)的操作系统;
2.防火墙是否采用专用的硬件平台。只有基于安全(甚至是专用)的操作系 统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。
注意二:
系统是否稳定
就一个成熟的产品来说 ,系统的稳定性是最基本的要求。目前,由于种种原 因,国内有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场,这 样一来其稳定性就可想而知了。相信没有一个网管人员愿意把自己的网络作为 防火墙的测试平台。防火墙的稳定性情况从厂家的宣传材料中是看不出来的 可以从以下几个渠道获得:
1.国家权威的测评认证机构 ,如公安部计算机安全产品检测中心和中国国家 信息安全测评认证中心。
2.与其它产品相比,是否获得更多的国家权威机构的认证、推荐和入网证明 (书)。 ■ ,但
4.自己试用,先在自己的网络上进行一段时间的试用(一个月左右),如果在试用期间时常有宕机现象的话,这种产品就可以完全不用考虑了。
5.厂商开发研制的历史,这也是一个重要指标,通过以往的经验,一般来说,如果没有两年以上的开发经历恐怕难保产品的稳定性。
6.厂商的实力,这一点也应该着重考虑,如资金、技术开发人员、市场销售人员和技术支持人员多少等等。相信一家注册资金几百万。人员不过二三十人的公司是不可能保证产品的稳定性的。
、/. I -,G :,亠
■ 注意三:
是否高效
高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性,也体现了用户使用防火墙所需付出的安全代价。如果由于使用防火墙而带来了网络性能较大幅度地下降的话,就意味着安全代价过高,用户是无法接受的。一般来说,防火墙加载上百条规则,其性能下降不应超过5%(指包过滤防火墙)。支持多少个连接也可以计算出一个指标,虽然这并不能完全定义或控制。■注意四:
是否可靠
可靠性对防火墙类访问控制设备来说尤为重要,其直接影响受控网络的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件,这要求有较高的生产标准和设计冗余度,如使用工业标准、电源热备份、系统热备份等。
■注意五:
功能是否灵活
对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。控制注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等,体现着控制注意的高效和质量。例如对普
通用户,只要对IP 地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问;如果还有移动用户如出差人员的
话,还要求能根据用户身份进行过滤。
■注意六:
配置是否方便
在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置,还得面对由于运行不稳定而遭至的铺天盖地的责难。其实有时并不是设备有问题,而是网络经过长期运行后,内部情况极端复杂,做任何改动都需要一段整合期。
防火墙有没有比较简洁的安装方法呢?有!那就是支持透明通信的防火墙,它依旧接在网络的入口和出口处,但是在安装时不需要对原网络配置做任何改动,所做的工作只相当于接一个网桥或Hub。需要时,两端一连线就可以工作;不需要时,将网线恢复原状即可。
目前市场上支持透明方式的防火墙较多,在选购时需要仔细鉴别。大多数防火墙只能工作于透明方式或网关方式,只有极少数防火墙可以工作于混合模式即可以同时作为网关和网桥,后一种防火墙在使用时显然具有更大的方便性。
配置方便性的另一个方面是管理的方便性。网络设备和桌面设备不同,界面的美观不代表方便性(当然这也是很重要的),90%的Cisco路由器就是通过
命令行进行管理的。在选择防火墙时也应该考察它是否支持串口终端管理。
■注意七:
管理是否简便
网络技术发展很快,各种安全事件不断出现,这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备,除安全控制注意的不断调整外,业务系统访问控制的调整也很频繁,这些都要求防火墙的管理在充分考虑安全需要的前提下,必须提供方便灵活的管理方式和方法,这通常体现为管理途径、管理工具和管理权限。
综上所述,是否具有满足以上要求的综合管理方式是网管人员在选择防火墙时需要重点考察的内容。
■注意八:
是否可以抵抗拒绝服务攻击
一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的,由此带来的攻击种类很多,只有通过打补丁的办法来解决;另一类是由于TCP/IP协议本身的缺陷造成的,只有有数的几种,但危害性非常大,如Synflooding等。
要求防火墙解决第一类攻击显然是强人所难。系统缺陷和病毒不同,没有病
毒码可以作为依据,因此在判断到底是不是攻击时常常出现误报现象,目前国内外的入侵检测产品对这类攻击的检测至少有50%的误报率。而且这类攻击检测产品不能装在防火墙上,否则防火墙可能把合法的报文认为是攻击。防火墙能做的是对付第二类攻击,当然要彻底解决这类攻击也是很难的。抵抗拒绝服务攻击应该是防火墙的基本功能之一,目前有很多防火墙号称可以抵御拒绝服务攻击,实际上严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。因此在采购防火墙时,网管人员应该详细考察这一功能的真实性和有效性。
■注意九:
是否可以针对用户身份进行过滤
防火墙过滤报文时,最基础的是针对IP地址进行过滤。大家都知道,IP地址是非常容易修改的,只要打听到内部网里谁可以穿过防火墙,那么将自己的IP地址改成和他的一样就可以了。这就需要一个针对用户身份而不是IP地址进行过
滤的办法。目前防火墙上常用的是一次性口令验证机制,通过特殊的算法,保证用户在登录防火墙时,口令不会在网络上泄露,这样防火墙就可以确认登录上来的用户确实和他所声称的一致。这样做的好处有两个:
一,用户可以随便找一台机器,登录防火墙,防火墙也可以判断他的权限,进行适当地过滤;二,用户出差时,可以通过登录公司的防火墙访问公司内部的服务
器,不用担心在电话网上泄露口令。这种方法在没有加密手段或加密成本较高时还是比较实用的。
■注意十:
是否具有可扩展、可升级性
用户的网络不是一成不变的,现在可能主要是在公司内部网和外部网之间做过滤,随着业务的发展,公司内部可能具有不同安全级别的子网,这就需要在这些子网之间做过滤。
目前市面上的防火墙一般标配三个网络接口,分别接外部网、内部网和SSN因此,在购买防火墙时必须问清楚,是否可以增加网络接口,因为有些防火墙设计成只支持三个接口的,不具有扩展性。
和防病毒产品类似,随着网络技术的发展和黑客攻击手段的变化,防火墙也必须不断地进行升级,此时支持软件升级就很重要了。如果不支持软件升级的话,为了抵御新的攻击手段,用户就必须进行硬件上的更换,而在更换期间您的网络是不设防的,同时您也要为此花费更多的钱。
以上就是我们认为您在选购防火墙时需要注意的十个问题,如果您能全面考虑到这些问题,防火墙的选购就不会成为难题了。