设为首页 | 加入收藏 | 联系我们
乐虎体育app下载新闻 INFO SHOW
您的当前位置:首页 » 乐虎体育app下载新闻 » 详细内容

如何选择防火墙产 品

发布时间:2015-6-24 8:32:10    被阅览数: 676 次 来自:乐虎体育app下载

  在人们建 筑和使用木制结构房屋的时候,为了使"城门失火"不致"殃及池鱼",将坚固的石块堆砌在房屋周围作为屏障进一步防止火灾的发生和蔓延,这  种防护构筑物被称之 为防火墙。在今日的信息世界里,人们借助了这个概念,使用 防火墙来保护敏感的 数据不被窃取和篡改,不过这些防火墙是由先进的计算机硬件或软件系统构成的。

  简单的说,防火墙是位于两个 信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两 个网络之间的通信进行控制, 通过强制实施统一 的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系 统安全的目的。

  防火墙通常是运行在一台单 独计算机之上的一个特别的服务软件,用来保护由许多台计算机 组成的内部网络,它使企业的网络规 划清晰明了,它可以识别并屏蔽非法请求,有效防止跨越 权限的数据访问。它既可以是 非常简单的过滤器,也可能是精心配 置的网关,但它 们的原 理是一样的,都是监测并过滤 所有内部网和外部网之间 的信息交换。防火墙保护着内 部网络的敏感数 据不被窃取和破坏,并记录内外通信的有关状态信 息日 志,如通信 发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。企业在把公司的局域网 联入Internet时,肯定不希望让全世界的人随意翻阅 公司内部的工资单、个人 资料或是客户数据库。即使在公司内部,同样也存在这种 数据非法存取的可能性。例如一些对公 司不满 的员工可能会修改工资表和财务报告。而在 设置了 防火墙以后,就可以对网络数 据的流动实现有效地管理:允许公司内部员工使用电子邮件、进行Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同 样还可 以限制公司中不同部门之 间互相访问,将局域网络放置于防火墙之后可以有 效阻止来自外界的攻击。

  防火墙产品是当前网络安全产品 线中最为琳琅满目的一种,仅在美国1995年发货量便在10万套, 年均增长率为173%,而 防火墙 的价格却在不断下跌,由1995年的平均单价1.6万美元降至2000年的几千美元,但由于市场销 量剧增,因此其销售额 仍然会有大幅度的增 长。

   防火墙应具备的基本功能

  在市场上,防火墙的售价极为悬殊,从几万元到 数十万元,甚至到百万元。因为 各企业用户使用的安全程度不尽相同, 因此厂商所推出的产品也有所区分,甚至有些公司还推出类似模块化的功能产品,以符合 各种不同企业的安全要求。

  当一个企业或组织决定采用防火墙来实施保卫自 己内部网络的安全策 略之后,下一步要做的事情就是选择一个安全、实惠、合适的防火墙。那么面对种 类如此繁 多的防火墙产品, 用户应该如何进 行 取舍呢?

  防火墙系统可以说是网络的第一道防线,因此一个企业在决定使用防火墙保护内部网络的安全时,它首先需要了解一个防火墙 系统应具 备的基本 功能,这是用户选择防火墙产品的依据和 前提。一个 成功的防火墙产品应该具有下述基本功能:

  · 防火墙的设计策略应遵循 安全防范的基 本原则--"除非明确允许,否则就禁止";

  · 防火墙本身支持安全策略,而不 是添加上去的;

  · 如果组织机构的安全策略发生 改变,可以加入新的服务;

  · 有先进的认证手段或有挂 钩程序,可 以安装先进的认证方法;

  · 如果需要,可以运用过滤技术允许和禁止服务;

  · 可以使用FTP和Telnet等服务代理,以便先进的认 证手段可以被安 装和 运行在防火墙上;

  · 拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性 质 进行包 过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网 络接口等。

  如果用户需要NNTP(网络消息传输协议)、XWindow、HTTP和Gopher等服务,防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件 的功能,以减少SMTP服务器和 外界服务器的直接连接,并可 以集 中处理 整个站点的电子邮件。防火墙应允许公众对站点的访问,应 把信息 服务器和其他内部服务器分开。

  防火墙应该能够集中和过滤拨入访问,并可以记 录网络流量和可疑的活动。此外,为了使日志具有可读性,防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内 部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和 正确性应该可被验证,设计尽量简单,以便管理员理解和维护。防火 墙和相应的操作系统 应该用补丁程序进行升级且升  级 必须定期进行。

  正像 前面提到的那样,Internet每时每刻 都在 发生着变化,新的易攻击点随时可能会 产生。当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此 防火墙的可适应性 是 很重要的。

  防火墙几种形式的不同特点

  当挑选防火墙时,必须理解防火墙的工作方式才能评估它是否能够 真正满足自己的需要。为了找出适合用户所在组织的最佳防火 墙产品,用户必须将自己的需求映射到特定的防火墙类型上。 一旦你挑选了正确的体系,琳琅满目的防火墙产品也就变得不再令人眼花缭乱了。防火墙有许多种形式,有的以软件形式运 行在普通计算机 之上,有的以硬 件形 式单独实现,也有的以固件形式设计在路由器之中。总的来 说防火墙分为三种:包过滤防火墙、应用级 网关和状态监视器。

  包过滤防火墙

  在Internet这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中 包含发送者 的IP地址和接收者的IP地址信息。当这些信息包被送上Internet时,路由器会读取接收者的IP并选择一条合适 的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的 包 抵达目的地后 会重新组装还原。包过滤式的防 火墙会检查所有通过的信息包中的IP地址,并按 照系统管理员所给定的过滤规则进行 过滤。如果防火墙设定某一IP地 址的站点为不适宜访问的话,从这个地 址来的所有信息都会被防火墙屏蔽掉。

  包过滤防火 墙的优点是它对于用户 来说是 透明的,处理速 度快而且易于维护,通常作为第一道防线。包过滤 路由器 通常没有用户的 使用 记录,这样我们就不能得到入侵者的攻 击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。"IP地址欺骗"和"同步风暴" 便是黑客用于攻击包过滤防火墙比较常用的手段。另外,包过滤防火墙 还具有配置繁琐的缺点。它 阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内 部进入Internet。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就 是不能在用户级别上进行过滤,即不能鉴别不同 的用户和防止IP地址盗用。

  应用级网关

  应用级网 关也就是通常我们提到的代理服务器。它 适用于特定的Internet服务,如HTTP、 FTP等等。代理服务器通常运行在两个网络之间,它  对于客户来说像是一台真的服务器,而 对于 外界的服务器来说,它又是一 台客户机。当代理服务器接收到用户对某站点的 访问请求后会检查该请求是否符合规定,如果规则允许用户访问该站 点的话,代理服务器会像一个客户一样去那个站点取回所需信 息再 转发给客户。代理服务器通常都  拥 有一个高速缓存,这个缓存存储用户经 常访问的站点内容, 在下一 个用户要访问 同一站点时, 服务器就不 用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。应用级网关比单一的 包过滤更为可靠,而且会详 细地记录所有的 访问状态信息。

  但是 应 用级网关也存在一些不足之处:首先它会使访问速 度变慢,因为它不允许用户直接访问网络,而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服 务要使用特殊的客户端软件,尤其是,并非所有的Internet应用软件都可以使用代理服务器。

  状态监测防火墙

  这种防火墙具有 非常好的安全特 性,它使 用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正 常运行的前提下,采用抽取有关数据的方 法对 网络通信的各层 实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。 监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。

  这种防 火墙的优点 是一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态 作日志记录。状态 监测防火墙的另一个优点是它会监测 无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口 信息,而包过滤和应用网关防火墙都 不支持此类应用。这种防火墙无疑是非常坚固的。但是它会 降低网络的速度, 而且配置也比较复杂。当然有关防火墙 厂商 已注意到这一问题,有些 防火墙产品 的安全策略规则是通过面向对象的图形用户界面(GUI)来定义以简化配置过程。

  用户可能考虑的特殊功 能要求

   企业安全政策中往往有些特 殊需求不是每一个防火墙都会提供的,这方面常会成为选择防火墙的 考虑因素之一,常见的需求如 下:

  1. 网络地址转换功能(NAT)

  进行地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内 部网络,这也是笔者之所以要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部使用保留的IP,这对许多IP不足的企业是有益的。

  2. 双重DNS

  当内部网络使 用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP与给予外界的IP将会不同, 有 的防火墙会提 供双重DNS,有的则必须在不同主机上各安装一个DNS。

  3. 虚拟专用网络(VPN)

  VPN 可以在防火 墙与防火墙或移动的客 户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。

  4. 扫毒功能

  大部分防火墙都可以与防病毒软件搭配实现扫毒功能,有的防火墙则可以直 接集成扫毒功能,差别只是扫毒工作是 由防火墙完成,或是由 另一台专用的计算机完成。

  5. 特殊控制需求

  有时候企业会有特别的控制需求,如限制特定使用者才能发送E mail,FTP只能下载文件不能上传文 件,限制同时上网人数,限制使用时间或阻塞Java、ActiveX控件等,依需求不同而定。

  选择防火墙不容忽视的两个要素

  1. 防火墙管理 的难易度

  防火墙管理 的难易度是防火 墙能否达到目 的的主要考虑因素 之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因,除了先前提到的包过滤,并不能达到完 全的控 制之外,设定工作困难、须具备完整的 知识以及不 易除错等管理问 题,更是一般企业不愿意使用的主要原因。

  2. 防火墙自身的安全性

  大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略了一点,防火墙也是 网络上的主机之一,也可能存在安 全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。

  大部分防火墙都安装在一般的操作系统上,如Unix、NT系统等。在防火墙 主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙主机上所执行 的 软件出现安全漏洞时,防火墙本身也将受到威胁。此时, 任何的防火墙 控 制机制 都可能失效,因为当一个黑 客取得了 防火墙 上的控制权以后,黑客几乎可为所欲为地修改防火 墙上的访问规则,进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。

  选择防火墙需要综合考虑的问题

  我们认为,用户在选购防火墙产品时,除了从以上的功能特点考虑之外,还应该注意好 的防火墙应该是企业整体网络的保护者,并能弥补 其它 操作系统的 不足,使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够 支持多种平台,因 为使用者才是完全的控制者,而使用者的平台往往是多种多样的,它们应选择一套符合现有环境需求的 防火墙产品。由于新产品的出现,就会有人研究新的破解方法,所以好的防火墙产品应拥有 完善及时的售后服务 体系。

  好的防火墙还应该向 使用者提 供完整的安全检查功能,但是一个安全的网络仍必须 依靠使用 者的观察及改 进,因为防火墙并不能有效地杜绝所有 的恶意封包,企业想 要 达到真正的安全仍然需要内部人员不 断 记录、改进、追踪。防火墙可以限 制唯有合法的使用者才能进 行连接,但是否存在利用合法掩护非法的情形 仍需依靠管理者来发现。

  防火 墙与代理服务器最大的不同在于防火墙是专门为 了保护网络安 全而设计的,而 一个好的防火墙不但 应该具备包括检查、认证、警告、记录的功能,并且能够为使用者可能遇到的困境,事先提出解决 方案,如IP不足形成的IP转换的问题,信息加密/解密的问题,大企业要求能够透过Internet集中管理的 问题等,这也是选择防火墙时必须考虑的问题。

  没有 一个防火墙的 设计能够适用 于所有的环境,所以建议选择防火墙时,还应根据站点 的特点来选择合适的防火墙。另外,不要把防火墙的等级看得过重。 在各种 报纸杂志中的等级评选中,防火墙的速度占有很大的比重。如果站点通过T1线路或更慢的线路连接到Internet上,大多 数防火墙的速度完全能满足站点的需要。

  下面是选购 一个防火 墙时,用户应 该从自身考 虑的因素:

   网络 受威胁的程度;

  若入侵者闯入网络,将要受到的潜 在的损失;

   其他已经用 来保护网络及其资源 的安全措施;

  由于硬件或软件失效,或防火墙遭到"拒绝服务攻?quot;, 而导致用户不能访问Internet,造成的整个机构的损失;

  机构所希望提供给Internet的服务,希望能从Internet得到的服务以及可以同时 通过防火墙的用户数目;

  站点是否 有经验丰富的管理员;

  今 后可能的要求,如要求增加通过防火墙的网 络活动或要求新的Internet服务。

  防火墙技 术发展动态和趋势

  从美国生产厂家的观点来看,防火墙技术不用加密,因而 在出口上不受限制。但是,目前提供的大多数防火墙产品确实支持这种 或那种 的IP层加密功能,从而在这 方面受到美 国出 口政策的控制。目前,国内也有不少研究单位和公司开展了对防火墙技术的研究,并且也开发出不少推向市场的产品。

  经过考察和分析,我们认为防火墙产品正向以下趋势发 展:

  1.优良的性能

  新 一代的防火墙系统不仅应该能够更好地保护防 火墙后面内部网络的安全,而且应该具有更为优良的整体性能。 传统的代理型防火墙虽然可以提 供较高级别的安全保护,但是同时它也成为限制网络带宽的瓶颈,这极大地制约了在网络 中的实际应用。数据 通过率是表示防火 墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。自然,数据通过率越高,防火 墙性能越 好。现在大多数的防 火墙产品都支持NAT功能,它可以让防火墙受保护的一边的IP地址不至于暴露在没有保 护的另一边,但是启用NAT后 势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也 成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正 的线速运行,否则将成为网络通信的瓶颈。

  特别是采用复杂的加密算法(如3DES)时,其性能 尤为重要。总之,未 来 的防 火墙系统将会把高速的性能和最大限度的安全性有机结合在 一起,有效地消除制约传统防火墙的性能瓶颈。

  2.可扩展的结 构和功能

  对于一个好的 防火墙系统而言,它的规模和功能应该 能够适应内部网络的规模和安全策略 的变化。选择哪种防火墙,除了应考虑它的基本性能之外,毫无疑问, 还应考虑用户的实际需求与未来网络的升级。

  因此防火墙除了具有 保护网络安全的基本功能外,还提供对VPN的支持, 同时还应该具有可扩展的内 驻应 用层代 理,除了支持常见 的网络服 务以外,还应该能够按照用户的 需求提供相应的代理服务,例如,如果用户需要NNTP(网络消息传输协议),X Window,HTTP和Gopher等服务,防火墙就应该包含相应的代理服务程序。

  未来的防火墙系统应是一 个可随意伸缩 的模块化解决方案,从最为基本的包过滤器 到带加 密功能的VPN型包过滤器,直至一 个独立的应用网关,使用户 有充分的余 地构建自己所需要的防火墙体系。

  3.简化的安装与管理

  防火 墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配 置和管理的难易程度是防火墙能否达到目的 的主要考虑因素之一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时,若 防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功能。因此未来的防火墙将具有非 常易于 进行配置的图形用户 界面。NT防火墙市场的发展证 明了这种趋势。Windows NT提供 了一种易于安装和易于 管理的基础。尽管基于NT的防火墙 通常 落后于基于Unix的防火墙,但NT平台的简单性以 及它方便的可用性大大推动了基于NT的防火墙的销售。 同时,像DNS 这类一直难于与防火墙恰当使用的关键应用程序正引 起有意简化操作的厂商越来 越多的关注。

  4.主动过滤

  Internet数据流的简化和优 化使 网络管理员将注意力集中在Web数据流进入他们的网络之前需要在数据流上完成的更多的事务之上。

  防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如,许多防 火墙具有内置病毒和 内容扫描功能或允许用户与病毒 与内容扫描程序进行集成。今天,许多防火墙都包括对过滤 产品的支持,并可以与第三方 过滤服务连接,这些服务提供了不受欢迎Internet站点的分类清单。防火墙还在它们的Web代 理中包括时间限制功能,允许非工作时间的冲浪 和登录,并提供冲浪活动的报告。

  5. 防病 毒与防黑客

  尽管防火墙在防止不良分子进 入上发挥 了很好的作用,但TCP/IP 协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中,攻击者试 图使企业Internet服务饱和或使与它连接的 系统崩溃,使Internet无法供企业使用。防 火墙市场已经对此做出了反应。 虽然没有防火墙可以防止所有的拒绝服务攻击,但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像序列号 预测和IP欺骗这类简单攻击,这些年来已经成为了防火墙工具箱的一部分。像SYN 泛滥这类更复杂的拒绝服务攻击需要厂商部署更先进的检测 和避免方案来对付。SYN泛滥可以锁死Web和邮件服务,这样没有数据流可以进入。

  综上所述,未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安 全、用户的安全、数据的安全,五者综合应用。此外,网络 的防火墙产品还将把网络前沿技术,如Web页面超高速缓存、虚 拟 网 络和带宽管理等与其自身结合 起来。

 
上一篇:电子巡更系统的选购注意事项及安装方法介绍
下一篇:ICF防火墙知识
© 2013 乐虎体育app下载 版权所有 吉ICP备13050868号
地址:白城市湖 滨新区 保险小镇E区202  电话0436-88881688 13515281688 E-mail:runzecom@163.com
乐虎体育app下载
乐虎体育app下载