论文部分内容阅读
我们是一家大型国有企业,目前正面临着完善企业信息安全系统的难题。要完善信息安全系统,就必须配置或升级防火墙。那么,选择防火墙产品时需要考虑哪些方面的因素?有哪些方面是应该重点考量的呢?
——辽宁 胡卫东
一般来说,防火墙的选型跟其他网络设备的选型类似,主要是考虑产品的品牌和性能。比较有名的品牌,大家可能都知道一些,但是在防火墙的性能方面,不同品牌、不同型号差别较大,这是在选择防火墙产品时需要特别注意的。
产品类型
防火墙的产品分类标准较多,这里主要介绍硬件防火墙,而且只考虑传统边界防火墙。在边界防火墙中,从硬件结构来看,基本上有两大类:路由器集成式和硬件独立式。路由器集成式防火墙是在边界路由器基础上辅以软件,再添加一些包过滤功能,通常称为包过滤防火墙,如Cisco IOS防火墙等。独立式硬件防火墙则通常是基于应用级网关、自动代理等较先进的过滤技术。各种过滤技术有不同的优点和适用环境,要注意选择。
协议支持
防火墙要对各种数据包进行过滤,就必须对相应的数据包通信方式提供支持。除了受广泛支持的TCP/IP协议外,好的防火墙产品还有必要提供对AppleTalk、DECnet、IPX及NetBEUI等协议的支持。当然,这需要根据具体的应用环境加以选择。如果需要支持VPN通信,则一定要选择支持VPN隧道协议(PPTP和L2TP),及IPSec安全协议的防火墙。协议的选择与内部网络所用操作系统关系密切。
自身可靠性
防火墙本身是一个用于安全防护的设备,所以其自身的安全性也就显得更加重要。防火墙的安全性能主要取决于防火墙是否采用了安全的操作系统和是否采用了专用的硬件平台。由于目前的第二代防火墙产品通常已不再依靠用户的操作系统,而是采用自已单独开发的操作系统,所以就必须关注防火墙本身采用的操作系统的安全性。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的,所以应用系统自身的安全实现也直接影响到整个系统的安全性。
厂商实力
防火墙领域市场竞争激烈,小公司可能难以经受市场风险而很快倒闭。对于用户而言,厂商的长久服务非常重要,因为黑客技术在不断发展,防火墙技术和软件需要随时升级,一旦公司倒闭,产品的后期服务就成了问题。所以,笔者建议在选择某公司的防火墙产品时,先了解一下公司的经营历史,考察一下厂商实力。
产品认证
目前国家对防火墙的认证有许多种,通过了某种认证意味着该产品通过了相应的检测。目前主要有三方面的认证:中国信息安全产品测评认证中心的认证(针对企业应用)、国家保密局测评认证中心的认证(针对政府涉密网应用)以及军队的测评认证(针对军队使用)。
产品服务
对于企业的使用者来说,防火墙已经不是一种陌生事物,但对于新产品,初学者仍然需要厂商的相关培训和服务支持,尤其是售后的培训和升级服务。试想,如果防火墙配置不好,就无法起到预期的作用,这就好比买了一扇门却忘记配锁一样。所以,关注一下产品的服务条款就显得很有必要。
编读往来启事
为了更好地与读者交流互动,也为了更好地发挥本报作为IT综合媒体平台的优势,为广大读者服务,欢迎各位读者将自己实际工作中遇到的选型难点、采购难题提供给我们,我们将第一时间约请专家为你解答。
联系方式:
ciw_gxq@ciw.com.cn
——辽宁 胡卫东
一般来说,防火墙的选型跟其他网络设备的选型类似,主要是考虑产品的品牌和性能。比较有名的品牌,大家可能都知道一些,但是在防火墙的性能方面,不同品牌、不同型号差别较大,这是在选择防火墙产品时需要特别注意的。
产品类型
防火墙的产品分类标准较多,这里主要介绍硬件防火墙,而且只考虑传统边界防火墙。在边界防火墙中,从硬件结构来看,基本上有两大类:路由器集成式和硬件独立式。路由器集成式防火墙是在边界路由器基础上辅以软件,再添加一些包过滤功能,通常称为包过滤防火墙,如Cisco IOS防火墙等。独立式硬件防火墙则通常是基于应用级网关、自动代理等较先进的过滤技术。各种过滤技术有不同的优点和适用环境,要注意选择。
协议支持
防火墙要对各种数据包进行过滤,就必须对相应的数据包通信方式提供支持。除了受广泛支持的TCP/IP协议外,好的防火墙产品还有必要提供对AppleTalk、DECnet、IPX及NetBEUI等协议的支持。当然,这需要根据具体的应用环境加以选择。如果需要支持VPN通信,则一定要选择支持VPN隧道协议(PPTP和L2TP),及IPSec安全协议的防火墙。协议的选择与内部网络所用操作系统关系密切。
自身可靠性
防火墙本身是一个用于安全防护的设备,所以其自身的安全性也就显得更加重要。防火墙的安全性能主要取决于防火墙是否采用了安全的操作系统和是否采用了专用的硬件平台。由于目前的第二代防火墙产品通常已不再依靠用户的操作系统,而是采用自已单独开发的操作系统,所以就必须关注防火墙本身采用的操作系统的安全性。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的,所以应用系统自身的安全实现也直接影响到整个系统的安全性。
厂商实力
防火墙领域市场竞争激烈,小公司可能难以经受市场风险而很快倒闭。对于用户而言,厂商的长久服务非常重要,因为黑客技术在不断发展,防火墙技术和软件需要随时升级,一旦公司倒闭,产品的后期服务就成了问题。所以,笔者建议在选择某公司的防火墙产品时,先了解一下公司的经营历史,考察一下厂商实力。
产品认证
目前国家对防火墙的认证有许多种,通过了某种认证意味着该产品通过了相应的检测。目前主要有三方面的认证:中国信息安全产品测评认证中心的认证(针对企业应用)、国家保密局测评认证中心的认证(针对政府涉密网应用)以及军队的测评认证(针对军队使用)。
产品服务
对于企业的使用者来说,防火墙已经不是一种陌生事物,但对于新产品,初学者仍然需要厂商的相关培训和服务支持,尤其是售后的培训和升级服务。试想,如果防火墙配置不好,就无法起到预期的作用,这就好比买了一扇门却忘记配锁一样。所以,关注一下产品的服务条款就显得很有必要。
编读往来启事
为了更好地与读者交流互动,也为了更好地发挥本报作为IT综合媒体平台的优势,为广大读者服务,欢迎各位读者将自己实际工作中遇到的选型难点、采购难题提供给我们,我们将第一时间约请专家为你解答。
联系方式:
ciw_gxq@ciw.com.cn