全面透視防火牆

來源:互聯網
上載者:User

  目前,安全產品品牌很多,一個廠家也有多款不同的防火牆。產品的售價也極為懸殊,從幾千元到數十萬元,甚至上百萬元不等。同時,關於防火牆的新技術新概念層出不窮,讓人眼花繚亂,一般使用者很難作出正確的選擇。本文對防火牆進行了深入分析,希望能夠協助使用者看清真正需要的是什麼。

  功能、效能需要綜合評價

  功能和效能一直是使用者評價防火牆的主要方面,尤其是效能由於可量化,更是對比的重點,但真正搞明白這兩個問題卻不容易。

  為了適應使用者的複雜環境和需求,也為了擁有“賣點”,現在的防火牆一般具有很多功能,這些功能單獨看都沒什麼問題,比如雙機熱備功能已經通過測試,H.323Live App支援也測試通過,但在實際環境中,我們可能需要在雙機熱備情況下使用H.323視頻會議,並要求切換時視頻不中斷,可能有的防火牆就不行了,而類似的組合功能卻是使用者真正需要的。此外,防火牆的功能和效能一般會獨立評估,分為功能測試和效能測試兩部分,功能測試關心單個功能有無,效能測試關心二、三層簡單應用的效能,結果導致功能效能“兩層皮”,不能真正反映防火牆能力:測試中效能很高,但很多功能不能用,在實際使用中,當把常用的功能都開啟後,效能變得很低。因此,必須把效能和功能評估結合起來才能真實評價防火牆。具體的評價應從以下幾方面入手:

  ◆2~7層存取控制功能,尤其是應用程式層深度過濾,應能與下列功能任意組合使用:地址映射、連接埠映射、VLAN Trunk支援、使用者認證、動態包過濾、流量控制等;

  ◆安全功能,重點是抗Synflood。防火牆作為網路的單一通道,要保證受保護網路的安全,需要重點考察安全防護功能能否在過濾攻擊的同時保證正常訪問,是否對偽造源地址攻擊和真實源地址攻擊同時有效,能否保護伺服器免受衝擊。該功能應能和地址映射、連接埠映射、VLAN Trunk支援、使用者認證、動態包過濾、流量控制等同時或任意組合使用;

  ◆ 實用效能。效能測試一般包括6個主要方面:輸送量、延遲、丟包率、背靠背、並發串連數、建立串連速率。實用效能即考察在接近使用者真實使用方式下的效能;

  ◆ 建立串連速率,由於網路應用具有波動性大,即不同時間訪問量差異很大的特點,要求防火牆也能適應這種情況,相應的考量指標即建立串連速率。考慮到使用者網路和應用的複雜性,還需要開啟常用功能,例如:包過濾、內容過濾、抗攻擊,在這種情況下測試建立串連速率。

  好的管理是安全的關鍵

  因為無法要求每個網路系統管理員都是網路安全專家,所以管理是網路安全的關鍵。除去許可權管理、通訊加密外,還需要重點考察單機管理方便性和集中管理這兩個方面。

  就單機管理方便性來說,防火牆應能提供多種管理方式,供管理員在不同場合使用,例如:串口命令列方式適合水平較高的管理員對防火牆進行全面管理;SSH方式適合遠程維護管理;Web方式適合遠程配置;GUI方式適合遠程配置和監控。其中,Web方式因為不用安裝用戶端軟體比較方便靈活;GUI安裝比較麻煩,但靈活性較強。

  另外,防火牆的大客戶、行業客戶很多,管理成本可能非常高,能否對防火牆進行集中管理也很重要,包括安全性原則集中定製和下發、日誌集中管理與分析、裝置級聯管理與即時監控等。其中,策略的集中管理最重要,因為需要保證整個單位的策略一致和安全。

  如果只是看防火牆的宣傳來做事前評估是遠遠不夠的,必須深入瞭解、仔細對比,根據實際需求進行評估才是有效。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。