如何鉴别硬件防火墙的好坏
网络防火墙排查与解决网络故障的方法(四)
网络防火墙排查与解决网络故障的方法随着互联网的迅速发展,网络安全问题日益凸显。
为了确保网络的安全与稳定,网络防火墙成为了必不可少的一种防护设备。
然而,网络防火墙也不是绝对完美的,有时候也会发生故障,给网络运维人员带来一些困扰。
本文将探讨网络防火墙排查与解决网络故障的方法,以期为网络运维人员提供一些参考。
一、排查网络防火墙故障的方法1.检查硬件设备:首先要确定网络防火墙的硬件设备是否正常工作。
检查电源、风扇、接口等物理部分是否存在故障,同时还需检查硬件设备的配置是否正确。
2.审查日志记录:网络防火墙一般都会记录重要事件和警报信息,通过审查防火墙的日志记录可以发现潜在的故障或异常情况。
关注系统错误、连接中断以及异常数据流量等问题,以便进一步排查。
3.验证安全策略:网络防火墙的安全策略是决定哪些网络流量允许通过的重要依据。
排查网络防火墙故障时,需要验证安全策略是否正确、完整。
检查访问控制列表(ACL)和规则集等配置,确保没有误配置或遗漏。
4.检查网络连接:网络防火墙作为网络的关键环节,需要确保其与其他设备的连接正常。
检查网络线缆连接是否松动或损坏,并测试是否能够与其他设备建立稳定的连接。
5.升级软件和固件:网络防火墙的软件和固件升级可能会修复一些已知的故障或漏洞。
在排查防火墙故障时,可以尝试升级软件和固件,以解决潜在的问题。
二、解决网络故障的方法1.重启设备:重启网络防火墙设备是解决一些常见故障的常用方法。
通过重启设备,可以清除一些临时缓存、刷新相关服务,从而恢复设备的正常工作。
2.修改配置:对于已排查出来的故障,可以尝试适当修改网络防火墙的配置。
例如,更新安全策略、调整访问控制列表或重新配置接口。
但在修改配置之前,建议先备份当前的配置,以防万一。
3.联系技术支持:对于一些复杂的网络故障,可能需要专业的技术支持进行协助。
如果经过自己排查和解决仍无法解决问题,可以联系网络防火墙设备提供商的技术支持团队,寻求专业的帮助。
选择适合自己的网络防火墙品牌和型号的窍门(十)
网络防火墙是保护我们的网络安全的重要装置,不仅能够阻止不良软件的入侵,还能提供网络浏览的匿名保护和保障个人隐私的安全。
然而,面对市面上琳琅满目的网络防火墙品牌和型号,我们并不容易选择到适合自己的产品。
下面我将分享一些选择适合自己网络防火墙品牌和型号的窍门。
1. 确定需求:在选择网络防火墙之前,首先需要明确自己的需求。
不同的人和不同的场景对网络安全的需求会有所不同。
例如,如果是个人用户,可能更关注匿名保护和隐私安全;而对于企业用户来说,可能更关注网络流量的监控和管理。
所以,在选择防火墙前,务必要明确自己的需求,以帮助你更准确地选择适合的品牌和型号。
2. 品牌信誉:在选择防火墙品牌时,品牌的信誉是一个重要的考虑因素。
一些知名的品牌如思科、赛门铁克等都有较高的声誉和市场份额,其产品质量和性能也相对可靠。
在选择品牌时,可以参考一些专业评测和用户评价,了解品牌的口碑和用户使用体验。
3. 性能与功能:网络防火墙品牌和型号的好坏,还与其性能和功能有关。
网络防火墙的性能指标包括处理速度、并发连接数、硬件资源利用率等。
而功能通常包括入侵检测和预防、流量管理、虚拟专用网络(VPN)支持等。
在选择时,可以根据自己的需求,选择性能和功能比较适合的产品。
4. 兼容性和易用性:如今,我们的网络环境复杂多变,拥有多种设备和操作系统。
因此,在选择防火墙时,还需考虑其兼容性和易用性。
网络防火墙需要能够与我们的设备和操作系统相兼容,并且设置和管理起来简单直观。
在选择时,可以选择支持多种设备和操作系统的产品,并参考用户评价了解其使用体验。
5. 价格与售后服务:当然,价格也是我们选择网络防火墙时需要考虑的重要因素之一。
市面上的网络防火墙产品价格相差很大,有些产品价格昂贵,而有些则相对便宜。
在选择时,需要根据自己的预算选择适合的产品。
此外,售后服务也是我们需要考虑的因素之一。
网络防火墙是一个重要的安全设备,如果出现问题需要及时得到品牌厂商的支持和解决。
如何鉴别硬件防火墙性能的差异
件 。 能否 对 w w w 访 问进 行细 粒 度 的
控 制 反映 了 一 个 防火 墙 的技 术 实 力 。 2 .是 否 提 供 S MTP协 议 的 内容 过 滤?
对 电 子 邮件 的攻 击越 来越 多:邮 件 炸弹 、 件病 毒 、 漏 机 密 信 息 等 等 , 邮 泄 能 否提 供基 于 S P协 议 的 内容 过滤 以及 MT 过滤 的粒 度 粗细 成 了用 户关 注 的焦 点 。 3 是 否 提 供 F P协 议 的 内容 过 滤 ? . T
目前 企 业 网络 环 境 中 . 主 要 的 两 最 种 应 用 是 w w w 访 问 和 收 发 电 子 邮
口 令 , 客 很 容 易 猜 测 到 口令 . 增 加 黑 这
了安 全 威 胁 。 G 是 目 前 绝 大 多 数 防 火 墙 普 遍 UI 采 用 的方 式 。这 种 方 式 的特 点 是 专 业 , 可 以提 供 丰富 的管 理 功 能 , 于管 理 员 便 对 防 火 墙 进行 配 置 。 缺 点是 需 要 专门 但 的管 理 端 软 件 . 时在 远 程 和 集 中管 理 同 方 面 没 有 wuI 管理 方 式灵 活 。
只要 防 火墙 配 置 一 个 可达 的 I 可 实现 P, 在 美 国管 理位 于 中国 分公 司 的防 火 墙 。
wuI形 式 的 防 火 墙 也 有 缺 点 :首 先 。
知名 品牌 极 其 相 似 。面 对 这 种 情 况 , 该
如 何 鉴 别 ?描 述 得 十 分 类 似 的产 品 , 即
硬 件 世 界
1 0 计 算 机 与 潮 络 创 新 生 活
如 何 鉴 别 硬 件 防火 墙 性 能 的 差 异
衡量防火墙性能的参数指标有哪些
衡量防火墙性能的参数指标有哪些导读:我根据大家的需要整理了一份关于《衡量防火墙性能的参数指标有哪些》的内容,具体内容:防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
对于防火墙的性能,我们应该怎么衡量比较呢?这篇文章主要介绍了衡量防火墙性能的几个重要参数指标,需要的...防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
对于防火墙的性能,我们应该怎么衡量比较呢?这篇文章主要介绍了衡量防火墙性能的几个重要参数指标,需要的朋友可以参考下防火墙主要参考以下3种性能指标:整机吞吐量:指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量防火墙对报文的处理能力。
最大并发连接数:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。
该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络攻击防范能力差。
并发连接数并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
并发连接数是衡量防火墙性能的一个重要指标。
在目前市面上常见防火墙设备的说明书中大家可以看到,从低端设备的500、1000个并发连接,一直到高端设备的数万、数十万并发连接,存在着好几个数量级的差异。
那么,并发连接数究竟是一个什么概念呢?它的大小会对用户的日常使用产生什么影响呢?要了解并发连接数,首先需要明白一个概念,那就是"会话"。
信息安全技术—防火墙安全技术要求和测试评价方法
信息安全技术—防火墙安全技术要求和测试评价方法防火墙是一种网络安全设备,用于保护网络免受未经授权的访问和恶意攻击。
为了确保防火墙的安全性和功能性,需要遵循一些安全技术要求,并进行相应的测试评价。
下面将详细介绍防火墙安全技术要求和测试评价方法。
防火墙安全技术要求:1.访问控制:防火墙应具备访问控制功能,能够识别和控制网络流量。
要求能够实现细粒度的访问控制策略,包括根据源IP地址、目的IP地址、端口号等进行过滤。
2.用户认证和授权:防火墙应支持用户认证和授权机制,只有授权的用户才能使用防火墙进行配置和管理。
可以通过用户账号、口令或其他认证方式来验证用户身份。
3.审计和日志记录:防火墙应具备审计和日志记录功能,能够记录所有的事件和操作信息。
要求能够记录网络流量信息、用户登录信息以及防火墙配置和管理操作等,以便进行后续的审计和分析。
4.安全策略管理:防火墙应提供安全策略管理功能,可以对防火墙配置和管理进行集中管理。
要求能够实现策略的添加、修改、删除等操作,并能够对策略进行分类和分组管理。
5.防御功能:防火墙应具备多种防御功能,包括流量过滤、阻断非法入侵、检测和阻止恶意代码等。
要求能够及时识别和应对各类网络攻击,并及时更新和维护防火墙的防御规则。
防火墙安全测试评价方法:1.功能测试:通过验证防火墙的各项功能是否正常运行来评价其安全性。
例如,测试访问控制策略的实际效果,验证认证和授权机制是否可靠,检查日志记录和审计功能是否完善等。
2.性能测试:评估防火墙的性能和响应速度。
可以进行压力测试,模拟高负载环境下的流量情况,观察防火墙的性能表现。
还可以测试防火墙对于各种攻击的反应速度和效果。
3.安全漏洞扫描:通过使用漏洞扫描工具,对防火墙进行扫描,检测是否存在已知的安全漏洞。
可以通过定期的漏洞扫描来及时发现并修复安全漏洞,提高防火墙的安全性。
4.审计和日志分析:对防火墙的审计和日志进行分析,以判断是否存在异常行为和安全事件。
如何鉴别硬件防火墙的好坏
如何鉴别防火墙的实际功能差异有一些问题常令用户困惑:在产品的功能上,各个厂商的描述十分雷同,一些“后起之秀”与知名品牌极其相似。
面对这种情况,该如何鉴别?描述得十分类似的产品,即使是同一个功能,在具体实现上、在可用性和易用性上,个体差异地十分明显。
一、网络层的访问控制所有防火墙都必须具备此项功能,否则就不能称其为防火墙。
当然,大多数的路由器也可以通过自身的ACL来实现此功能。
1、规则编辑对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则,是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?2、IP/MAC地址绑定同样是IP/MAC地址绑定功能,有一些细节必须考察,如防火墙能否实现IP 地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用,如果防火墙不能提供IP地址和MAC地址的自动搜集,网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址,这将是一件非常乏味的工作。
3、NAT(网络地址转换)这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。
但对此一项功能,各厂家实现的差异非常大,许多厂家实现NAT功能存在很大的问题:难于配置和使用,这将会给网管员带来巨大的麻烦。
我们必须学习NAT 的工作原理,提高自身的网络知识水平,通过分析比较,找到一种在NAT 配置和使用上简单处理的防火墙。
二、应用层的访问控制这一功能是各个防火墙厂商的实力比拼点,也是最出彩的地方。
因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测),但是对应用层的控制却无法实现“拿来主义”,需要实实在在的编程。
对应用层的控制上,在选择防火墙时可以考察以下几点。
1、是否提供HTTP协议的内容过滤?目前企业网络环境中,最主要的两种应用是WWW 访问和收发电子邮件。
检查代理服务器和防火墙的方法
检查代理服务器和防火墙的方法代理服务器和防火墙是网络安全的重要组成部分,它们能够提供额外的保护层以防止未经授权的访问和恶意活动。
以下是检查代理服务器和防火墙的方法:1. 确认代理服务器配置:检查代理服务器的配置是否正确,并确保代理服务器与网络设备之间的连接正常。
确保代理服务器已经部署在需要保护的网络环境中,并且已经进行了相应的配置。
2. 检查访问控制列表(ACL):验证代理服务器上的访问控制列表是否有效。
ACL可以限制特定IP地址或特定端口与代理服务器的通信。
确保ACL配置正确,只允许授权的用户或IP地址进行访问。
3. 定期审计代理服务器日志:定期审计代理服务器的日志记录,以便检测任何异常活动。
检查登录尝试、访问请求等,以确定是否有任何未经授权的访问或异常行为。
4. 更新代理服务器软件和补丁:确保代理服务器的软件和补丁处于最新状态。
及时更新以确保代理服务器能够及时识别和阻止最新的安全威胁。
5. 防火墙配置检查:检查防火墙的配置,并确保其规则能够有效地过滤和阻止未经授权的访问。
确保防火墙规则适当地设置了允许和拒绝的访问,以及应用了适当的网络安全策略。
6. 进行入侵检测:使用入侵检测系统(IDS)和入侵防御系统(IPS)等工具,对代理服务器和防火墙进行定期检测。
这些系统可以及时发现和阻止恶意行为,保护网络免受攻击。
7. 整体安全策略评估:定期评估和审查整体网络安全策略,包括代理服务器和防火墙的配置和使用。
确保策略符合最佳实践,并根据需要进行更新和改进。
定期检查代理服务器和防火墙的配置、日志和安全策略,并确保其处于最新状态,是保持网络安全的重要步骤。
通过这些方法,可以最大程度地减少潜在的安全风险并保护网络资源的安全。
win7如何检查防火墙
win7如何检查防火墙我的win7想要检查下防火墙有没有故障,那么要用什么方法去检查呢?下面由店铺给你做出详细的win7检查防火墙方法介绍!希望对你有帮助!win7检查防火墙方法一:一般来说,硬件防火墙的例行检查主要针对以下内容:硬件防火墙的配置文件不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。
硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。
作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。
所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。
在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。
安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。
详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。
2.硬件防火墙的磁盘使用情况如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。
如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。
保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。
在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。
因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。
硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。
3.硬件防火墙的CPU负载和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如何鉴别防火墙的实际功能差异有一些问题常令用户困惑:在产品的功能上,各个厂商的描述十分雷同,一些“后起之秀”与知名品牌极其相似。
面对这种情况,该如何鉴别?描述得十分类似的产品,即使是同一个功能,在具体实现上、在可用性和易用性上,个体差异地十分明显。
一、网络层的访问控制所有防火墙都必须具备此项功能,否则就不能称其为防火墙。
当然,大多数的路由器也可以通过自身的ACL来实现此功能。
1、规则编辑对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则,是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?2、IP/MAC地址绑定同样是IP/MAC地址绑定功能,有一些细节必须考察,如防火墙能否实现IP地址和MAC 地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用,如果防火墙不能提供IP地址和MAC地址的自动搜集,网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址,这将是一件非常乏味的工作。
3、NAT(网络地址转换)这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。
但对此一项功能,各厂家实现的差异非常大,许多厂家实现NAT功能存在很大的问题:难于配置和使用,这将会给网管员带来巨大的麻烦。
我们必须学习NAT的工作原理,提高自身的网络知识水平,通过分析比较,找到一种在NAT配置和使用上简单处理的防火墙。
二、应用层的访问控制这一功能是各个防火墙厂商的实力比拼点,也是最出彩的地方。
因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测),但是对应用层的控制却无法实现“拿来主义”,需要实实在在的编程。
对应用层的控制上,在选择防火墙时可以考察以下几点。
1、是否提供HTTP协议的内容过滤?目前企业网络环境中,最主要的两种应用是WWW访问和收发电子邮件。
能否对WWW 访问进行细粒度的控制反映了一个防火墙的技术实力。
2、是否提供SMTP协议的内容过滤?对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等,能否提供基于SMTP 协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。
3、是否提供FTP协议的内容过滤?在考察这一功能时一定要细心加小心,很多厂家的防火墙都宣传说具备FTP的内容过滤,但细心对比就会发现,其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。
好的防火墙应该可以对FTP其他所有的命令进行控制,包括CD、LS等,要提供基于命令级控制,实现对目录和文件的访问控制,全部过滤均支持通配符。
三、管理和认证这是防火墙非常重要的功能。
目前,防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。
各种管理方式中,基于命令行的CLI方式最不适合防火墙。
WUI和GUI的管理方式各有优缺点。
WUI的管理方式简单,不用专门的管理软件,只要配备浏览器就行;同时,WUI的管理界面非常适合远程管理,只要防火墙配置一个可达的IP,可实现在美国管理位于中国分公司的防火墙。
WUI形式的防火墙也有缺点:首先,WEB界面非常不适合进行复杂、动态的页面显示,一般的WUI界面很难显示丰富的统计图表,所以对于审计、统计功能要求比较苛刻的用户,尽量不要选择WUI方式;另外,它将导致防火墙管理安全威胁增大,如果用户在家里通过浏览器管理位于公司的防火墙,信任关系仅仅依赖于一个简单的用户名和口令,黑客很容易猜测到口令,这增加了安全威胁。
GUI是目前绝大多数防火墙普遍采用的方式。
这种方式的特点是专业,可以提供丰富的管理功能,便于管理员对防火墙进行配置。
但缺点是需要专门的管理端软件,同时在远程和集中管理方面没有WUI管理方式灵活。
四、审计和日志以及存储方式目前绝大多数防火墙都提供了审计和日志功能,区别是审计的粒度粗细不同、日志的存储方式和存储量不同。
很多防火墙的审计和日志功能很弱,这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显,有些甚至没有区分事件日志和访问日志。
如果需要丰富的审计和日志功能,就需要考察防火墙的存储方式,如果是DOM、DOC等Flash电子盘的存储方式,将可能限制审计和日志的功能效果。
目前绝大多数防火墙审计日志采用硬盘存储的方式,这种方式的优点是可以存储大量的日志(几个G到几十个G),但是在某些极端的情况下,如异常掉电,硬盘受到的损坏往往要比电子盘的损坏严重。
好的防火墙应该提供多种存储方式,便于用户灵活选择和使用。
五、如何区分包过滤和状态监测一些小公司为了推销自己的防火墙产品,往往宣称采用的是状态监测技术; 从表面上看,我们往往容易被迷惑。
这里给出区分这两种技术的小技巧。
1、是否提供实时连接状态查看?状态监测防火墙可以提供查看当前连接状态的功能和界面,并且可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双方的IP、端口、连接状态、连接时间等等,而简单包过滤却不具备这项功能。
2、是否具备动态规则库?某些应用协议不仅仅使用一个连接和一个端口,往往通过一系列相关联的连接完成一个应用层的操作。
比如FTP协议,用户命令是通过对21端口的连接传输,而数据则通过另一个临时建立的连接(缺省的源端口是20,在PASSIVE模式下则是临时分配的端口)传输。
对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为20的访问。
状态监测防火墙则可以支持动态规则,通过跟踪应用层会话的过程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求。
对于FTP来说,只需防火墙中设定一条对21端口的访问规则,就可以保证FTP传输的正常,包括PASSIVE方式的数据传输。
这一功能不仅使规则更加简单,同时消除了必须开放所有20端口的危险。
【分享】防火墙的好坏的(专业)标准呵呵-大家可以看看[move]防火墙的好坏的(专业)标准呵呵-大家可以看看[/move]防火墙作为网络安全体系的基础和核心控制设备,它贯穿于受控网络通信主干线,对通过受控干线的任何通信行为进行安全处理,如控制、审计、报警、反应等,同时也承担着繁重的通信任务。
由于其自身处于网络系统中的敏感位置,自身还要面对各种安全威胁,因此,选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。
■注意一:防火墙自身是否安全防火墙自身的安全性主要体现在自身设计和管理两个方面。
设计的安全性关键在于操作系统,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。
而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。
防火墙安全指标最终可归结为以下两个问题:1.防火墙是否基于安全(甚至是专用)的操作系统;2.防火墙是否采用专用的硬件平台。
只有基于安全(甚至是专用)的操作系统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。
■注意二:系统是否稳定就一个成熟的产品来说,系统的稳定性是最基本的要求。
目前,由于种种原因,国内有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场,这样一来其稳定性就可想而知了。
相信没有一个网管人员愿意把自己的网络作为防火墙的测试平台。
防火墙的稳定性情况从厂家的宣传材料中是看不出来的,但可以从以下几个渠道获得:1.国家权威的测评认证机构,如公安部计算机安全产品检测中心和中国国家信息安全测评认证中心。
2.与其它产品相比,是否获得更多的国家权威机构的认证、推荐和入网证明(书)。
3.实际调查,这是最有效的办法,考察这种防火墙是否已经有了使用单位,其用户量也至关重要,特别是用户们对于该防火墙的评价。
如有可能,最好咨询一下那些对稳定性要求较高的重要单位的用户,如政府机关、国家部委、证券或银行系统、军队用户等。
4.自己试用,先在自己的网络上进行一段时间的试用(一个月左右),如果在试用期间时常有宕机现象的话,这种产品就可以完全不用考虑了。
5.厂商开发研制的历史,这也是一个重要指标,通过以往的经验,一般来说,如果没有两年以上的开发经历恐怕难保产品的稳定性。
6.厂商的实力,这一点也应该着重考虑,如资金、技术开发人员、市场销售人员和技术支持人员多少等等。
相信一家注册资金几百万。
人员不过二三十人的公司是不可能保证产品的稳定性的。
■注意三:是否高效高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性,也体现了用户使用防火墙所需付出的安全代价。
如果由于使用防火墙而带来了网络性能较大幅度地下降的话,就意味着安全代价过高,用户是无法接受的。
一般来说,防火墙加载上百条规则,其性能下降不应超过5%(指包过滤防火墙)。
支持多少个连接也可以计算出一个指标,虽然这并不能完全定义或控制。
■注意四:是否可靠可靠性对防火墙类访问控制设备来说尤为重要,其直接影响受控网络的可用性。
从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件,这要求有较高的生产标准和设计冗余度,如使用工业标准、电源热备份、系统热备份等。
■注意五:功能是否灵活对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。
控制注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等,体现着控制注意的高效和质量。
例如对普通用户,只要对IP地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问;如果还有移动用户如出差人员的话,还要求能根据用户身份进行过滤。
■注意六:配置是否方便在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置,还得面对由于运行不稳定而遭至的铺天盖地的责难。
其实有时并不是设备有问题,而是网络经过长期运行后,内部情况极端复杂,做任何改动都需要一段整合期。
防火墙有没有比较简洁的安装方法呢?有!那就是支持透明通信的防火墙,它依旧接在网络的入口和出口处,但是在安装时不需要对原网络配置做任何改动,所做的工作只相当于接一个网桥或Hub。
需要时,两端一连线就可以工作;不需要时,将网线恢复原状即可。
目前市场上支持透明方式的防火墙较多,在选购时需要仔细鉴别。
大多数防火墙只能工作于透明方式或网关方式,只有极少数防火墙可以工作于混合模式,即可以同时作为网关和网桥,后一种防火墙在使用时显然具有更大的方便性。
配置方便性的另一个方面是管理的方便性。
网络设备和桌面设备不同,界面的美观不代表方便性(当然这也是很重要的),90%的Cisco路由器就是通过命令行进行管理的。