芻議防火墻的選購

芻議防火墻的選購

張民 張友華（電子工程學(xué)院）

防火墻為網(wǎng)絡(luò )安全體系的基礎和核心控制設備，其切斷受控網(wǎng)絡(luò )通信主干線(xiàn)，對通過(guò)受控干線(xiàn)的任何通信行為進(jìn)行安全處理，如控制、報警、反應等，同時(shí)，也承擔了繁重的通信任務(wù)。由于自身處于網(wǎng)絡(luò )中的敏感位置，還要面對針對自身的各種安全威脅。但目前防火墻功能都相差不大，無(wú)非就是包過(guò)濾，地址轉換，應用層過(guò)濾，攻擊檢驗等等。那么用戶(hù)采購防火墻時(shí)應把握以下幾點(diǎn)：

1、安全性

安全性主要表現在：是否基于安全的操作系統？是夠采用專(zhuān)用的硬件平臺？設計的安全性根本在操作系統，具有完整信任關(guān)系的操作系統才有系統安全性評價(jià)。應用系統的安全以操作系統的安全性為基礎，同時(shí)，自身的安全實(shí)現也直接影響整體系統的安全性。安全管理為系統安全的重要外因，其直接影響安全設備的控制行為。

2、高效性

性能指標為防火墻的重要指標，其直接體現防火墻的可用性能，也體現防火墻對用戶(hù)的安全代價(jià)，過(guò)高的安全代價(jià)用戶(hù)無(wú)法接受。

3、靈活性

對通信行為的有效控制，要求防火墻設備有一系列不同級別滿(mǎn)足不同用戶(hù)的各類(lèi)安全控制需求的控制策略，控制策略的有效性、多樣性，級別目標清晰性，制定難易性，經(jīng)濟性等，體現控制策略的質(zhì)量。

4、管理方便性

網(wǎng)絡(luò )技術(shù)發(fā)展很快，各種安全事件不斷涌現，這要求安全管理員經(jīng)常性調整網(wǎng)絡(luò )安全策略。對于防火墻類(lèi)訪(fǎng)問(wèn)控制設備，除安全控制策略的不斷調整外，業(yè)務(wù)系統的訪(fǎng)問(wèn)控制的調整也很頻繁，這些要求防火墻的管理在充分考慮安全需要的前提下，提供方便靈活的管理方式和方法，通常體現為如下方面：管理途徑、管理工具、管理權限。防火墻設備首先為網(wǎng)絡(luò )通信設備，管理途徑的提供要兼顧通常網(wǎng)絡(luò )的設備的管理方式，現實(shí)情況下，安全管理員還由網(wǎng)管人員兼顧，管理方式還要適合網(wǎng)管人員的一般管理行為習慣，如遠程telnet登錄管理及管理命令的在線(xiàn)幫助等。管理工具主要為GUI類(lèi)管理器，用它管理很直觀(guān)，這對于設備的初期管理和不太熟悉的管理人員提供了有效的管理方式。權限管理為管理本身的基礎，嚴格的權限認證可能會(huì )帶來(lái)管理方便性的降低，從合理的綜合方式中找出最佳點(diǎn)。

5、可靠性

可靠性對防火墻類(lèi)訪(fǎng)問(wèn)控制設備尤為重要，其直接影響受控網(wǎng)絡(luò )的可用性，其在重要行業(yè)及關(guān)鍵業(yè)務(wù)系統中的作用和重要性是顯然的。從系統設計上，提高可靠性的措施一般提高本身部件的強健性、增大設計閥值和增加冗余部件，這要求有高的生產(chǎn)標準和設計冗余度，如使用工業(yè)標準、電源熱備份、系統熱備份等。

6、是否可針對用戶(hù)身份進(jìn)行過(guò)濾

防火墻過(guò)濾報文時(shí)，最基礎的是針對IP地址進(jìn)行過(guò)濾，大家都知道，IP地址是非常容易修改的，只要我打聽(tīng)到公司里誰(shuí)可以穿過(guò)防火墻，那么我將我的IP地址改成和他的一樣，我也可以穿過(guò)防火墻。這里需要一個(gè)針對用戶(hù)身份而不是IP地址進(jìn)行過(guò)濾的辦法。目前防火墻上常用的是一次性口令驗證機構，通過(guò)特殊的算法，保證用戶(hù)在向防火墻登錄時(shí)，口令不會(huì )在網(wǎng)絡(luò )上泄漏，這樣，防火墻可以確認登錄上來(lái)的用戶(hù)確實(shí)和他所生成的一致。這樣做的好處由兩個(gè)：一用戶(hù)可以隨便找一臺計算機器，向防火墻登錄，防火墻就可判斷他的權限，進(jìn)行合適的過(guò)濾，二用戶(hù)出差時(shí)，可以通過(guò)登錄回公司的防火墻訪(fǎng)問(wèn)公司內部自己的服務(wù)器，不用擔心在電話(huà)網(wǎng)上泄漏口令，在沒(méi)有加密手段或加密成本較高時(shí)還是比較實(shí)用的。

7、抗拒絕服務(wù)功能

在當前的網(wǎng)絡(luò )攻擊中，拒絕服務(wù)攻擊是使用頻率最高的方法，YAHOO等網(wǎng)站遭受的就是拒絕服務(wù)攻擊，只不過(guò)是發(fā)起攻擊的點(diǎn)比較多，稱(chēng)之為分布式拒絕服務(wù)攻擊。拒絕服務(wù)攻擊可分成兩類(lèi)：一類(lèi)由于操作系統或應用軟件本身設計或編程上的缺陷而造成，種類(lèi)繁多，只有通過(guò)打補丁的辦法解決，一類(lèi)是由于協(xié)議本身的缺陷，只有有數的幾種，但造成的危害非常大，如SYNFLOODING。

要防火墻解決第一類(lèi)問(wèn)題顯然是力不從心，系統缺陷和病毒不同，沒(méi)有病毒馬可以作為依據，在判斷到底是不是攻擊上常常誤報，現有的國內外地對這類(lèi)攻擊的檢測至少有50%的誤報，大家如果用過(guò)IIS的real secure就有認識，這類(lèi)攻擊檢測不能裝在防火墻上，否則可能把合法的報文認為是攻擊。防火墻能做的是對付第二類(lèi)攻擊，如針對SYN-FLOODING，可以限制服務(wù)器接受連接請求的速度，最大的半連接數和最大已建立連接數實(shí)現。

【芻議防火墻的選購】相關(guān)文章：

淺談防火墻審計12-10

淺談文化時(shí)代的防火墻03-27

審計風(fēng)險與控制芻議03-23

風(fēng)險基礎審計芻議03-21

跨文化經(jīng)濟交流芻議03-21

整合營(yíng)銷(xiāo)芻議03-21

領(lǐng)導者的魅力芻議03-09

環(huán)境成本及其控制芻議03-24

報紙與戲曲關(guān)聯(lián)的演進(jìn)芻議03-18