论文部分内容阅读
摘要:本文通过对防火墙产品本身作的专门介绍,从而对怎样选择防火墙有个原理性的认识,联系现实,从四个方面论述了防火墙选择误区及其原因。
关键词:防火墙选择;误区;鉴别
[中图分类号]TP393.08 [文献标识码]A [文章编号]1009-9646(2011)12-0011-02
一、首先要明确,防火墙不是路由器、交换机或者服务器
不能用那些产品的指标来选择防火墙。安全性是重中之重。安全性不高的防火墙,其他性能再好也是空谈。安全性包括自身安全性、访问控制能力和抗攻击能力。
自身安全性主要是指防火墙系统的健壮性。访问控制能力是防火墙的核心功能。抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类,数量。特别是对DOS和DDOS攻击的抵抗力。
用户在选择防火墙的时候,判断以上这些性能是很困难的,可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军队认证、中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336,等级越高越好,一共7级,最好的是EAL3。
二、网络性能
防火墙是个网络设备,在保证安全的基础上,应该最大程度减少对网络性能的影响。对于网络性能,主要就是看最大带宽、并发连接数、每秒新增连接数、丢包和延迟。这些指标和交换机、路由器都是相同的,这里就不多说了。但是有一点要注意。防火墙在策略起作用和全通策略的状态下,上述指标都是不一样的。用户一定要考虑实际环境。比如先按照用户的要求添加多少条策略(全通策略在最后)然后再测试。传说中有的百兆防火墙小包(64字节)通过率能达到70%以上,甚至90%,可能性不大。
三、网络功能
内容包括地址转换、IP/MAC绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。
四、管理功能
这里面的内容也不少。用户不要小看了这里的东西。防火墙这种设备不像交换机,安装好了50年不管。防火墙需要经常管理。日常的管理就是看日志,修订策略,添加和删除用户。更高的管理还包括第三方互动,VPN建立,远程集中管理等等。管理方面用户应该注意界面的友好性,设置选项应该通俗易懂。日志特别重要,好的日志系统应该有详细的记录,包括连接的状态和内容,应该便于分类和排序,应该方便存入数据库并有syslog等标准的接口。远程管理对用户来说要注意管理命令的加密和认证,是否支持策略远程导入导出等等。
五、质量
防火墙的质量表现可不是做工精细不精细啊,而是防火墙是否能经久耐用。现在比较先进的防火墙普遍采用的是贴板技术。也就是将所有的原件都采用贴片的工艺。这样整个防火墙都是一体的,自然不容易出故障。如果防火墙的内存,网口还采用插槽的方式,甚至还采用普通硬盘作为系统内核存储设备,那系统的稳定性就可想而知了。另外在高稳定性要求的环境里要看有没有双电源,大功率风扇等等。虽然看上去是细节,但是一般很多防火墙室内温度一高就死机的。
防火墙选择误区在哪里?
误区一:防火墙是国外的好。
解释:在网络安全领域,甚至是计算机领域,我们完全不用崇洋媚外。因为国内的研发力量已经渐渐在赶超了。当然,我们的整体实力还是有限的。但是,对于防火墙这种比较成熟的技术来说,我们完全可以做的和国外的一样好。国外品牌checkpoint为什么市场份额越来越少?主要是自己不思进取。在国内进行的多次评测中,国内的产品在性能指标上和国外的产品各有千秋。国内的防火墙在性价比上是很好的。
误区二:防火墙纯硬件的比linux架构的好。
解释:硬件还是软件,这个只是跟实现原理有关。要实现防火墙的功能还是靠软件。ASIC的防火墙是把防火墙代码做在芯片里,运行的效率当然高。但是别的呢?防火墙可不是只做包检测的设备。还有很多别的功能。要想全部集成在芯片里,难度很大。特别是如果新出现了一个功能,要添加到原有的ASIC芯片里,往往很难。有人说ASIC芯片速度快。这个问题分两个角度来考虑。第一,韩国也有ASIC芯片的防火墙。而且国内也有OEM的(是哪一家我不说了),但是都是低端产品,并发连接只有几千而已。所以不是ASIC就一定好,要看研发的水平了。第二你需要这么快的速度么?速度是重要的,但不是唯一的。现在netscreen能做到几十个G,但是有个几个用户有这么大的带宽?除了电信,没几个用得着。而linux架构的防火墙在软件上可以很容易的添加功能,甚至可以应用户的要求订制开发。
误区三:防火墙各项指标越高越好。
其实还是那句话:按需选择。可能用户有的是钱,那当然另说了。但是在用户资金有限的情况下,还是应该仔细衡量一下,哪些指标对用户来说更有用。当然,选择产品时一定要有前瞻性,产品最好能适应今后两年网络的扩展。我曾经见过用户的选型方法是这样的:因为我们的专线是电信用光纤拉过来的,所以我们要用千兆防火墙和交换机。其实这根光纤只有8M。我想,电信发展的再快,专线速度达到100M以上恐怕也是5、6年以后的事情了(租金多少还难说),因此现在就选择千兆设备还不如选个好的光电转换模块。有的用户片面追求最大并发连接数,认为并发连接越大越好。其实这也是国内一些厂商的误导。最大并发连接够用就可以了。现在的国内厂家在这个指标上玩花样,你可以对比这两年同型号产品的公开指标,会发现有些产品的并发连接突然成倍增长。当然,也可能是产品升级了,但是很多情况是厂家为了打标,故意修改的数字。反正大部分用户都没条件测试最大并发,我写个几百万你怎么知道?其实对于百兆防火墙来说,有100万的并发应该足够了,富富有余。其他的指标也一样,按需选择才是根本。
误区四:CPU越快越好,内存越大越好。
这个问题其实就像我前面说的,防火墙不是服务器,因为各家防火墙实现原理不同,所以靠CPU和内存来衡量是不对的,具体要看哪些指标,本文在此不作赘述。
[1]袁鹏飞.Intranet网络建设与应用开发[M].北京:人民邮电出版社.
[2]黄光奇.CGI编程指南[M].北京:电子工业出版社.
[3]蔡奇玉等.CGI编程指南[M].北京:机械工业出版社.
[4]戚文静主编.网络安全与管理(第二版)[M].北京:中国水利水电出版社.
关键词:防火墙选择;误区;鉴别
[中图分类号]TP393.08 [文献标识码]A [文章编号]1009-9646(2011)12-0011-02
一、首先要明确,防火墙不是路由器、交换机或者服务器
不能用那些产品的指标来选择防火墙。安全性是重中之重。安全性不高的防火墙,其他性能再好也是空谈。安全性包括自身安全性、访问控制能力和抗攻击能力。
自身安全性主要是指防火墙系统的健壮性。访问控制能力是防火墙的核心功能。抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类,数量。特别是对DOS和DDOS攻击的抵抗力。
用户在选择防火墙的时候,判断以上这些性能是很困难的,可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军队认证、中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336,等级越高越好,一共7级,最好的是EAL3。
二、网络性能
防火墙是个网络设备,在保证安全的基础上,应该最大程度减少对网络性能的影响。对于网络性能,主要就是看最大带宽、并发连接数、每秒新增连接数、丢包和延迟。这些指标和交换机、路由器都是相同的,这里就不多说了。但是有一点要注意。防火墙在策略起作用和全通策略的状态下,上述指标都是不一样的。用户一定要考虑实际环境。比如先按照用户的要求添加多少条策略(全通策略在最后)然后再测试。传说中有的百兆防火墙小包(64字节)通过率能达到70%以上,甚至90%,可能性不大。
三、网络功能
内容包括地址转换、IP/MAC绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。
四、管理功能
这里面的内容也不少。用户不要小看了这里的东西。防火墙这种设备不像交换机,安装好了50年不管。防火墙需要经常管理。日常的管理就是看日志,修订策略,添加和删除用户。更高的管理还包括第三方互动,VPN建立,远程集中管理等等。管理方面用户应该注意界面的友好性,设置选项应该通俗易懂。日志特别重要,好的日志系统应该有详细的记录,包括连接的状态和内容,应该便于分类和排序,应该方便存入数据库并有syslog等标准的接口。远程管理对用户来说要注意管理命令的加密和认证,是否支持策略远程导入导出等等。
五、质量
防火墙的质量表现可不是做工精细不精细啊,而是防火墙是否能经久耐用。现在比较先进的防火墙普遍采用的是贴板技术。也就是将所有的原件都采用贴片的工艺。这样整个防火墙都是一体的,自然不容易出故障。如果防火墙的内存,网口还采用插槽的方式,甚至还采用普通硬盘作为系统内核存储设备,那系统的稳定性就可想而知了。另外在高稳定性要求的环境里要看有没有双电源,大功率风扇等等。虽然看上去是细节,但是一般很多防火墙室内温度一高就死机的。
防火墙选择误区在哪里?
误区一:防火墙是国外的好。
解释:在网络安全领域,甚至是计算机领域,我们完全不用崇洋媚外。因为国内的研发力量已经渐渐在赶超了。当然,我们的整体实力还是有限的。但是,对于防火墙这种比较成熟的技术来说,我们完全可以做的和国外的一样好。国外品牌checkpoint为什么市场份额越来越少?主要是自己不思进取。在国内进行的多次评测中,国内的产品在性能指标上和国外的产品各有千秋。国内的防火墙在性价比上是很好的。
误区二:防火墙纯硬件的比linux架构的好。
解释:硬件还是软件,这个只是跟实现原理有关。要实现防火墙的功能还是靠软件。ASIC的防火墙是把防火墙代码做在芯片里,运行的效率当然高。但是别的呢?防火墙可不是只做包检测的设备。还有很多别的功能。要想全部集成在芯片里,难度很大。特别是如果新出现了一个功能,要添加到原有的ASIC芯片里,往往很难。有人说ASIC芯片速度快。这个问题分两个角度来考虑。第一,韩国也有ASIC芯片的防火墙。而且国内也有OEM的(是哪一家我不说了),但是都是低端产品,并发连接只有几千而已。所以不是ASIC就一定好,要看研发的水平了。第二你需要这么快的速度么?速度是重要的,但不是唯一的。现在netscreen能做到几十个G,但是有个几个用户有这么大的带宽?除了电信,没几个用得着。而linux架构的防火墙在软件上可以很容易的添加功能,甚至可以应用户的要求订制开发。
误区三:防火墙各项指标越高越好。
其实还是那句话:按需选择。可能用户有的是钱,那当然另说了。但是在用户资金有限的情况下,还是应该仔细衡量一下,哪些指标对用户来说更有用。当然,选择产品时一定要有前瞻性,产品最好能适应今后两年网络的扩展。我曾经见过用户的选型方法是这样的:因为我们的专线是电信用光纤拉过来的,所以我们要用千兆防火墙和交换机。其实这根光纤只有8M。我想,电信发展的再快,专线速度达到100M以上恐怕也是5、6年以后的事情了(租金多少还难说),因此现在就选择千兆设备还不如选个好的光电转换模块。有的用户片面追求最大并发连接数,认为并发连接越大越好。其实这也是国内一些厂商的误导。最大并发连接够用就可以了。现在的国内厂家在这个指标上玩花样,你可以对比这两年同型号产品的公开指标,会发现有些产品的并发连接突然成倍增长。当然,也可能是产品升级了,但是很多情况是厂家为了打标,故意修改的数字。反正大部分用户都没条件测试最大并发,我写个几百万你怎么知道?其实对于百兆防火墙来说,有100万的并发应该足够了,富富有余。其他的指标也一样,按需选择才是根本。
误区四:CPU越快越好,内存越大越好。
这个问题其实就像我前面说的,防火墙不是服务器,因为各家防火墙实现原理不同,所以靠CPU和内存来衡量是不对的,具体要看哪些指标,本文在此不作赘述。
[1]袁鹏飞.Intranet网络建设与应用开发[M].北京:人民邮电出版社.
[2]黄光奇.CGI编程指南[M].北京:电子工业出版社.
[3]蔡奇玉等.CGI编程指南[M].北京:机械工业出版社.
[4]戚文静主编.网络安全与管理(第二版)[M].北京:中国水利水电出版社.