如何鑒別硬體防火牆效能的差異

來源:互聯網
上載者:User

  有一些問題常令使用者困惑:在產品的功能上,各個廠商的描述十分雷同,一些“後起之秀”與知名品牌極其相似。面對這種情況,該如何鑒別?描述得十分類似的產品,即使是同一個功能,在具體實現上、在可用性和易用性上,個體差異也十分明顯。

  一、網路層的存取控制

  所有防火牆都必須具備此項功能,否則就不能稱其為防火牆。當然,大多數的路由器也可以通過自身的ACL來實現此功能。

  1.規則編輯

  對網路層的存取控制主要表現在防火牆的規則編輯上,我們一定要考察:對網路層的存取控制是否可以通過規則表現出來?存取控制的粒度是否足夠細?同樣一條規則,是否提供了不同時間段的控制手段?規則配置是否提供了友善的介面?是否可以很容易地體現網管的安全意志?

  2.IP/MAC地址綁定

  同樣是IP/MAC地址綁定功能,有一些細節必須考察,如防火牆能否實現IP地址和MAC地址的自動搜集?對違反了IP/MAC地址綁定規則的訪問是否提供相應的警示機制?因為這些功能非常實用,如果防火牆不能提供IP地址和MAC地址的自動搜集,網管可能被迫採取其他的手段獲得所管轄使用者的IP與MAC地址,這將是一件非常乏味的工作。

  3、NAT(網路位址轉譯)

  這一原本路由器具備的功能已逐漸演變成防火牆的標準功能之一。但對此一項功能,各廠家實現的差異非常大,許多廠家實現NAT功能存在很大的問題:難於配置和使用,這將會給網管員帶來巨大的麻煩。我們必須學習NAT的工作原理,提高自身的網路知識水平,通過分析比較,找到一種在NAT配置和使用上簡單處理的防火牆。

  二、應用程式層的存取控制

  這一功能是各個防火牆廠商的實力比拼點,也是最出彩的地方。因為很多基於免費作業系統實現的防火牆雖然可以具備狀態監測模組(因為Linux、FreeBSD等的核心模組已經支援狀態監測),但是對應用程式層的控制卻無法實現“拿來主義”,需要實實在在的編程。

  對應用程式層的控制上,在選擇防火牆時可以考察以下幾點。

  1.是否提供HTTP協議的內容過濾?

  目前商業網路環境中,最主要的兩種應用是WWW訪問和收發電子郵件。能否對WWW訪問進行細粒度的控制反映了一個防火牆的技術實力。

  2.是否提供SMTP協議的內容過濾?

  對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、泄漏機密資訊等等,能否提供基於SMTP協議的內容過濾以及過濾的粒度粗細成了使用者關注的焦點。

  3. 是否提供FTP協議的內容過濾?

  在考察這一功能時一定要細心加小心,很多廠家的防火牆都宣傳說具備FTP的內容過濾,但細心對比就會發現,其中絕大多數僅實現了FTP協議中兩個命令的控制:PUT和GET。好的防火牆應該可以對FTP其他所有的命令進行控制,包括CD、LS等,要提供基於命令級控制,實現對目錄和檔案的存取控制,全部過濾均支援萬用字元。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。