硬體防火牆選購指南

來源:互聯網
上載者:User
隨著Internet的飛速發展,電子商務、電子政務的推出,越來越多網路與Internet連網,在網上設定提供公眾服務的主機系統,如:WEB Server、EMAIL Server、FTP Server等。同時,越來越多的使用者利用Web擷取、發布資訊,使Internet上的資訊量迅速增長。然而,一些非法侵入他人系統、竊取機密、破壞系統等惡性行為也悄然而至,如果不採取必要的安全措施加以自我保護,後果不堪設想。 人們採用了許多安全技術來提高網路的安全性,最具代表性的安全技術有:資料加密、容錯技術、連接埠保護與主體驗證及防火牆(Firewall)技術。其中,防火牆技術是近年來提出並推廣的一項網路安全技術。
  一、防火牆的分類及其特點
  目前我們將之分為軟體防火牆(又稱基於通用作業系統的防火牆)、硬體防火牆(又稱基於路由器的包過濾防火牆)和標準伺服器形式的防火牆(又稱基於專用安全作業系統的防火牆)三大類。由於要說明它們之間的特性還是很多的內容,所以在裡我只作簡單的對比。
  軟體防火牆、硬體防火牆和標準伺服器防火牆對照表:
軟體防火牆 硬體防火牆 標準伺服器防火牆
安裝 較複雜 簡單 簡單
安全性 較高
效能 依賴硬體平台
管理 簡單 較複雜 簡單
維護費用
擴充性
配置靈活性
價格 較低

  二、選購要點
  應該客觀地看到,沒有一個防火牆的設計能夠適用於所有的環境,因此企業應根據網站的特點來選擇合適的防火牆:
  (1)安全性
  大多數企業在選擇防火牆時都將注意力放在防火牆如何控制串連以及防火牆支援多少種服務,但往往忽略了最重要的這一點,防火牆也是網路上的主機之一,也可能存在安全問題,防火牆如果不能確保自身安全,則防火牆的控制功能再強,也終究不能完全保護內部網路。 談到防火牆的安全性就不得提一下防火牆的配置。防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。 Dual-homed方式最簡單。Dual-homed Gateway放置在兩個網路之間,這個Dual-homed Gateway又稱為bastionhost。這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受駭客攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。Screened-host方式中的Screeningrouter為保護Bastionhost 的安全建立了一道屏障。它將所有進入的資訊先送往Bastionhost,並且只接受來自Bastionhost的資料作為出去的資料。這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。
  Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公用網路和私人網路之間構成了一個隔離網,稱之為"停火區"(DMZ,即DemilitarizedZone),Bastionhost放置在"停火區"內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
  (2)高效性
  好的防火牆還應該向使用者提供完整的安全檢查功能,但是一個安全的網路仍必須依靠使用者的觀察及改進,因為防火牆並不能有效地杜絕所有的惡意封包,企業想要達到真正的安全仍然需要內部人員不斷記錄、改進、追蹤。防火牆可以限制唯有合法的使用者才能進行串連,但是否存在利用合法掩護非法的情形仍需依靠管理者來發現。 防火牆與Proxy 伺服器最大的不同在於防火牆是專門為了保護網路安全而設計的,而一個好的防火牆不但應該具備包括檢查、認證、警告、記錄的功能,並且能夠為使用者可能遇到的困境,事先提出解決方案,如IP不足形成的IP轉換的問題,資訊加密/解密的問題,大企業要求能夠透過Internet集中管理的問題等,這也是選擇防火牆時必須考慮的問題。
  (3)配置便利性
  硬體防火牆系統具有強大的功能,但是其配置安裝也較為複雜,需要網管員對原網路設定進行較大的改動。支援透明通訊的防火牆在安裝時不需要對網路設定做任何改動。目前在市場上,有些防火牆只能在透明方式下或者網關方式下工作,而另外一些防火牆則可以在混合方式下工作。能工作於混合方式的防火牆顯然更具方便性。配置方便性還表現為管理方便。使用者在選擇防火牆時也應該看其是否支援串口終端管理。如果防火牆沒有終端管理方式,就不容易確定故障所在。一個好的防火牆產品必須符合使用者的實際需要。對於國內使用者來說,防火牆最好是具有中文介面,既能支援命令列方式管理,又能支援GUI和集中式管理。

  (4)管理的難易度
  防火牆管理的難易度是防火牆能否達到目的的主要考慮因素之一。一般企業之所以很少以已有的網路裝置直接當作防火牆的原因,除了先前提到的包過濾,並不能達到完全的控制之外,設定工作困難、須具備完整的知識以及不易除錯等管理問題,更是一般企業不願意使用的主要原因。 因此防火牆的管理最好要適合網管員的管理習慣,設有遠程Telnet登入管理以及管理命令的線上協助等。GUI類管理器作為防火牆的管理工具,為網管員提供了有效、直觀的管理方式。
  (5)可靠性
  對於防火牆來說,其可靠性直接影響受控網路的可用性,它在重要行業及關鍵業務系統中的重要作用是顯而易見的。提高防火牆的可靠性通常是在設計中採取措施,具體措施是提高組件的強健性、增大設計閥值和增加冗餘組件。此外防火牆應對作業系統應提供安全強化功能,最好完全不需要人為操作,就能確實強化作業系統。這項功能通常會暫時停止不必要的服務,並修補作業系統的安全弱點,雖然不是百分之百有效,但起碼能防止外界一些不必要的幹擾。
  (6)可擴充性
  對於一個好的防火牆系統而言,它的規模和功能應該能夠適應網路規模和安全性原則的變化。理想的防火牆系統應該是一個可隨意伸縮的模組化解決方案,包括從最基本的包過濾器到帶加密功能的VPN型包過濾器,直至一個獨立的應用網關,使使用者有充分的餘地構建自己所需要的防火牆體系。目前的防火牆一般標配三個網路介面,分別串連外部網、內部網和SSN。使用者在購買防火牆時必須弄清楚是否可以增加網路介面,因為有些防火牆無法擴充。
  (7)其它考慮要素
  企業安全政策中往往有些特殊需求(如網路位址轉譯(NAT)、雙重DNS 、掃毒等功能)不是每一個防火牆都會提供的,這方面常會成為選擇防火牆的考慮因素之一。
  此外防火牆的維護費用也是一個要考慮的問題,一般安全性越高,實現越複雜,裝置費用相應的越高,日後的維護費用相對來說也是越高。
  建議:
  對於ISP、網站等使用者來說,由於其資料流量大,對速度和穩定性要求較高,如果這些使用者需要在外部網路發布Web(將Web伺服器置於外部),同時需要保護資料庫或應用伺服器(置於防火牆內),這就要求所採用的防火牆具有傳送SQL資料的功能,而且必須具有較快的傳送速度,建議這些使用者採用高效的包過濾型並且只允許外部Web伺服器和內部傳送SQL資料使用、100M及以上頻寬的硬體防火牆。
  中小企業接入Internet的目的一般是為了方便內部使用者瀏覽Web、收發E-mail以及發布首頁。這類使用者在選購防火牆時,要注意考慮保護內部(敏感)資料的安全,要格外注重安全性,對服務合約的多樣性以及速度等可以不作特殊要求。建議這類使用者選用一般的代理型防火牆,具有http、mail等代理功能即可。
  對於大中型企業、金融、保險、政府等機構,共同之處在於網路流量不是很大,與外部聯絡較多,且內部資料比較重要。因此在選購防火牆時首先要考慮的就是安全性問題。從整體規划上,防火牆至少要能夠將內部網分成兩部分,即內部存放重要資料的網路與存放可提供外部存取資料的網路的分離。對於重要資料的傳送,防火牆必須要提供加密的VPN通訊。這類使用者選購10M或100M的防火牆就足夠了。

  三、硬體防火牆產品一覽
  1、東方龍馬硬體防火牆
  東方龍馬防火牆是東方龍馬公司結合當前最新的網路安全技術,自行開發的網路安全產品。它的準系統有:即時的串連狀態監控功能;動態設定過濾規則的功能;雙向的網路位址轉譯功能;對ftp、telnet、http、smtp、pop3應用的透明代理訪問方式;提供應用程式層url級的統計、屏蔽功能;安全的體繫結構;安全的網路結構、採用內部網,DMZ區,控制區分離的網路結構;支援透明模式運行方式;MAC地址綁定功能;抗攻擊和自我保護能力;通過雙機熱備份,提供可靠容錯/熱待機功能;具有審計日誌功能;網路工作情況事後分析和查詢功能;提供報表功能;提供對通過防火牆使用網路資源的終端身份認證的功能,提供操作簡單的圖形化使用者介面,物件導向的可視化規則編輯以及監控和管理防火牆。
  硬體設定指標 :網路介面,四個10/100M自適應網卡介面,或千兆網卡介面; 外設介面,終端介面(RS-232)。
  2、清華紫光NISECURE UF3500 防火牆
  清華紫光NISECURE UF3500 防火牆採用基於SSL的瀏覽器管理介面,允許通過流行的WEB瀏覽器使用https協議管理和配置防火牆,保證了防火牆管理的安全性和易用性。支援網路瀏覽器逾時退出的功能,保證了管理員離開管理電腦後的安全。具有網路位址轉譯、流量控制、使用者認證、支援虛擬私人網路(VPN)和網路管理等功能,結合了網路級包過濾(Network-level Packet Filter)和應用級Proxy 伺服器(Application-level Proxy Server)的功能。

  廣泛的網路服務支援:支援ARP、DNS、FINGER、FTP、GOPHER、HTTP、HTTPS、ICMP、IRC、MAIL、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS和其它協議。
  硬體設定指標:3個乙太網路RJ-45連接埠(10/100Mbps自適應,全雙工系統),每個乙太網路介面有兩個LED指示燈,電源LED指示燈,LCD液晶顯示屏系統狀態,串列控制口。
  3、NetScreen防火牆
  NetScreen公司的NetScreen防火牆產品可以說是硬體防火牆領域內的新貴。NetScreen的產品完全基於硬體ASIC晶片,它就像個盒子一樣安裝使用起來很簡單。同時它還是一種集防火牆、VPN、流量控制三種功能於一體的網路產品。NetScreen把多種安全功能整合在一個ASIC晶片上,將防火牆、虛擬私人網路(VPN)、網路流量控制和寬頻接入這些功能全部整合在專有的一體硬體中,該項技術能有效消除傳統防火牆實現資料加密時的效能瓶頸,能實現最進階別的Ipsec。NetScreen防火牆的配置可在網路上任何一台帶有瀏覽器的機器上完成,NetScreen的優勢之一是採用了新的體繫結構,可以有效地消除傳統防火牆實現資料加盟時的效能瓶頸,能實現最進階別的IP安全保護。下面我簡單介紹其主要產品中的三個系列:
  (1)NetScreen-100
  NetScreen-100是一個專門為網路安全方面設計的Internet安全裝置,它為電子商務網站、ASP/ISP 資料中心和公司應用程式中心網站提供專門最佳化的防火牆、VPN流量控制(頻寬監控)功能NetScreen-100包括了一個專門設計的ASIC以加速加密工程和防火牆功能,一個高效能的多匯流排結構,高速RISCCPU和專用的軟體。它的專利--獨特的體繫結構消除了傳統系統中由於在通用處理器、PC或工作站上運行軟體的防火牆、VPN、加密所導致的效能瓶頸、NetScreen在消除了效能瓶頸的同時依然提供了ICSA認證的全狀態監測防火牆安全和最進階的3DESIPSec加密的資料安全。
  應用領域:電子商務網站、ASP網站、應用服務提供者、公司應用程式中心網站。
  (2)NetScreen-200
  由於增加的連接埠可以將網路劃分為多個監控地區,NetScreen-200系列能夠在多個監控地區之間即網路內部建立VPN通道,NetScreen-200系列具有採用ASIC安全機制、提供多個介面 、所有介面皆具防火牆防禦功能 、所有的介面皆有VPN通道、集中星型VPN(Hub-and-Spoke)的中心網站、高可靠性(裝置的冗餘性HA)等特性。NetScreen-200系列包括NetScreen-204和NetScreen-208產品,兩者的區別在於10/100兆乙太網路介面數量。NetScreen-208和NetScreen-204支援1000個 IPSec VPN通道和128000個並發會話,具有每秒鐘處理10000多個新會話的能力,能夠有效防止拒絕服務的攻擊。NetScreen-208防火牆和VPN的傳輸速率分別為550 Mbps和200 Mbps。NetScreen-204防火牆和VPN的傳輸速率分別為400 Mbps和200 Mbps。同時提供的多個乙太網路口,每個乙太網路口都可靈活設定為信任區,非信任區或DMZ。NetScreen-200系列裝載了最新版本的ScreenOS 3.1作業系統。ScreenOS 3.1的最佳化功能使使用者能夠更加容易設定和配置網路內的安全區域。
  應用領域:大、中型企業,服務提供者。

  (3)NetScreen-1000
  NetScreen-1000防火牆,是一種面向大多數資料中心環境需求的互連網安全系統,其中包括:電子商務網站、Web主機託管網站和ASP。NetScreen防火牆結合了防火牆和VPN安全加密的功能並擁有千兆乙太網路的吞吐處理能力。並發進程與硬體加速相結合的NetScreen GigaScreen ASIC體繫結構,使其具有了高速傳輸和有效加密加速引擎的特性,NetScreen的高效傳輸能滿足寬頻資料的應用,NetScreen-1000的可升級的體繫結構不斷的滿足客戶需求,如業務的增長,NetScreen-1000能滿足絕大多數環境的需求。
  4、Cisco PIX500系列防火牆
  美國Cisco系統公司PIX500系列防火牆採用了專用的作業系統,減少了駭客利用作業系統BUG攻擊的可能性,其核心採用的是基於適用的安全性原則(Adaptive Security Algorithm)的保護機制,ASA把內部網路與未經認證的使用者完全隔絕。每當一個內部網路的使用者訪問Internet,PIX防火牆從使用者的IP資料包中卸下IP地址,用一個儲存在PIX防火牆內已登記的有效IP地址代替它,把真正的IP地址隱藏起來。PIX防火牆還具有審計日誌功能,並支援SNMP協議,使用者可以利用防火牆系統的包含即時警示功能的網路瀏覽器,產生警示報告。PIX500防火牆通過一個cut-through代理要求使用者最初類似一個Proxy 伺服器,在應用程式層工作,但是使用者一旦被認證,PIX防火牆切換會話流和所有的通訊流量,保持工作階段狀態的雙方就會快速和直接地進行通訊。
  適用範圍:

適用範圍 當客戶需要以下這些特性時
Cisco Secure PIX防火牆515R
  • 適合小型辦公室專用防火牆裝置;
  • 50,000個同時串連;
Cisco Secure PIX防火牆515UR
  • 適合中型企業的專用防火牆裝置;
  • 100,000個同時串連;
Cisco Secure PIX防火牆520
  • 適合大型企業的專用防火牆裝置;;
  • 128、1024或250,000多個同時;



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。