| 出版日期:2004-09-06 总期号:626 本年期号:33 |
|
 |
明确需求选产品 辨清主次巧折衷
耳听为虚,眼见为实。听i博士谈了半天技术、市场方面的话题,欧主管觉得很不过瘾,特别想见到一些真实的产品和方案,以对比千兆防火墙和先前单位部署的防火墙有什么改进,特别是防病毒和黑客能力方面的提高。 刚巧,几天后就有一个网络安全展览在科技会展中心举行,千兆防火墙产品和方案会是重头戏。于是,钱经理自告奋勇地搞来了几张票,拉上欧主管和i博士一起去参观。 这次参观之行,的确让三人开了眼,欧主管也因此记住了一些重要的产品。 Juniper NetScreen-5000 
Juniper NetScreen-5000系列提供了包括状态监测防火墙、DoS保护、IPSec VPN及流量管理功能。且配备了新版的ScreenOS 5.0操作系统,可提供针对应用层防护的深层监测技术,系统能对超过250种以上的应用层攻击和协议异常提供保护。 Juniper NetScreen-5000系列为多层式架构,拥有独立的管理模块与安全端口模块。每个安全端口模块可支持多个10/100Mbps和千兆以太网(GigE)端口的组合,因此可为服务提供商提供高组态弹性和效能扩展性。此外,由于管理模块是独立的,NetScreen-5000系列可在不影响正常流量的状态下,对整个系统提供管理及配置。 安氏CyberWall-1000 
安氏CyberWall-1000系列防火墙共分两种型号CyberWall-1000F和CyberWall-1000A,它们专为千兆位流量的网络服务运营商、大型数据中心等电信级骨干网络而设计,采用2U专用千兆安全服务器平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为用户提供最大的不间断运行时间。 CyberWall-1000 系列标配2个多模光纤接口,最多可扩展至6个千兆光口或10个百兆接口。1000A还将千兆防火墙和ASIC VPN相结合,内部集成千兆位VPN加速器“Security Processor GIGA”。 一般情况下,防火墙系统内部只有一根系统总线(通常为32位/33M),所有防火墙网络接口卡使用同一根总线与中央处理单元通讯。这种处理方式在数据流量非常大的时候,就会出现防火墙系统的不同网络接口卡争夺总线带宽问题,防火墙系统会发生严重丢包,双向流量严重不均衡,甚至不能进行正常响应。Cyberwall千兆防火墙系统采用高速多系统总线结构,为防火墙每个网络接口卡使用一根独立的高速系统总线(64位/66M),保证了流量很大情况下的通畅。 联想网御FWG7000 
联想网御FWG7000防火墙是国内第一款无操作系统、多机集群并基于NP的4GB千兆线速防火墙,也是真正实现数据包内容过滤的防火墙。联想拥有完全自主知识产权,并已取得国家10多项的技术专利。 性能方面,网御FWG7000采用了NP(网络处理器)芯片架构,以联想独创的并流处理技术,实现了全双工状态下的4GB的吞吐率;安全方面,独创的防火墙IPF(Intrusion Protection Filter,入侵保护过滤)技术,可以提供基于状态的数据包内容深度检测,完整实现了二至七层全面的访问控制与防护。 可用性方面,网御FWG7000采用了多重电信级冗余配备标准,支持链路冗余、电源热插拔冗余,并提供完善的自愈功能。同时,它运用国内独创的防火墙HA集群技术,最多实现4个防火墙集群的主动负载均衡;可管理性方面,网御FWG7000提供了基于硬件的带宽管理,充分保证了QoS的实现;扩展性方面,网御FWG7000具有很高的灵活性。一旦有新的攻击,联想可以通过及时修改微代码,使这个芯片具有抵抗功能。 诺基亚IP2250 
诺基亚IP2250是一种基于新型无盘网络处理器(NP)的平台,具有独特的“超路径”(ADP)技术,能为要求苛刻的边界安全场所提供较高的弹性性能。为了保证高性能和网络正常运行时间,诺基亚IP2250使用诺基亚IPSO(如VRRP)以及嵌入式硬件冗余功能(包括在一个无盘系统里的热插拔接口卡、负载共享双电源供应和冷却扇),提供冗余软件功能。 诺基亚IP2250的价值还表现在其基本系统里的双电源、冷却扇和2GB内存。诺基亚IP2250具备优良的扩展性能,可为大型、不断增长的网络基础设施,提供最高36个10/100以太网端口,或为高速VPN吞吐量提供10/100与最高8个1000Mbps以太网端口,以及一个可选的VPN加速度卡组合,包含基于Web的Nokia Network Voyager或用于单个设备管理的CLI接口。 瑞星RFW-100/5G(7G) 
瑞星企业级千兆防火墙RFW-100/5G(7G)是一款功能强大、安全高效的防火墙产品,它采用国际上领先的网络内核技术,专门为国内应用环境量身定做。 瑞星RFW-100/5G(7G)具有高效包过滤、强大状态检测和网络流量控制等基本功能,同时还具有双向NAT、代理服务器、地址绑定、双机热备份、复杂别名、审计、高级授权认证、集中管理、实时控制、日志转存、多播协议控制、VLAN TRUNK支持、SNMP管理、内容过滤等多种扩展功能。 赛门铁克Gateway Security 5400 
Gateway Security 5400系列是赛门铁克新推出的多功能网关防火墙产品,它整合了防火墙、入侵防护、入侵检测、防病毒、内容过滤、VPN及反垃圾邮件等多项技术于单一装置之内,并具备高度的可扩充性。 通过赛门铁克企业信息安全架构下的Advanced Manager外挂程序,Symantec Gateway Security 5400系列可提供集中式的策略管理。此外挂程序能够在Web-based的管理接口下,安全地集中控管成百上千的安全硬件。此外,Advanced Manager外挂程序亦具备集中式的记录、预警与报告功能。同时通过Event Manager外挂程序,它还可与赛门铁克企业信息安全架构进行紧密的结合。 Cisco Secure PIX 
Cisco Secure PIX防火墙保护机制的核心,是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确连接时,访问才被允许通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,同时保护了内部网络不会受到非授权访问的侵袭。 PIX防火墙提供了高可靠性,其平均无故障时间(MTBF)超过60000小时。即使是达到了这样高的水平,那些Internet、Intranet或Extranet连接是企业生命线的企业,还是认识到了防火墙冗余是一项关键因素。Cisco已经创建了配合PIX 515-UR/525-UR/PIX535-UR使用的故障切换捆绑程序,能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙,而其价格仅是标准PIX UR捆绑件的一小部分。 天融信“网络卫士”NGFW 4000-UF 
“网络卫士”NGFW 4000-UF系列,在结构和功能设计上充分考虑了用户的实际需求与未来网络的升级,采用了模块化的设计,以适用多变的网络环境和不断增长的应用服务。 防火墙产品本身的局限性,决定了它要与防病毒系统、入侵检测系统以及网络安全管理系统等安全产品协同配合,才能从根本上建立整个网络系统的动态安全。“网络卫士”NGFW 4000-UF系列通过使用大量独创性专利技术,完整地实现和支持了天融信的TOPSEC协议和体系,构造了一个安全、高效、可靠的安全系统。 ServGate DdgeForce Accel 
ServGate公司的DdgeForce Accel防火墙紧密整合了多项重要的安全功能,能够在网络边缘有效防御攻击。它不仅可以有效保护整个内部网络,还能将这种安全的通信机制延伸至远端现场。通过将病毒过滤、垃圾邮件过滤、网址过滤、防火墙和虚拟专用网技术整合到一个开放的安全平台上,从而可以提供一个整体安全解决方案。 DdgeForce Accel是一个1U的机架产品,采用了一种经过定制的Linux操作系统,并且系统采用了Broadcom的安全芯片来进行密钥计算。该设备采用了图形用户界面的标准管理系统,其防火墙规则设置或者E-mail报警设置都非常简单。 选购建议 建议一、明确需求。安全风险和网络应用决定了用户需求。每个网络的层次、作用、大小和结构各不同,致使这些网络所面临的安全风险不相同,安全需求自然也不相同。没有重要资产的网络没有必要选择高端防火墙,高安全需求的网络不能选择低安全性的防火墙,这是很浅显的道理。例如只有10M带宽接入互联网的办公机构没有必要去选择千兆防火墙。 建议二、在防火墙的安全功能与性能之间做出折衷。防火墙是一种以访问控制为目的的安全设备,对流经的网络流量进行控制。根据预定的安全策略,防火墙在协议栈的不同层次对流量进行检查,决定对流量的控制措施(允许通过或丢弃)。检查的层次越高,防火墙消耗的资源就越多,花费的时间就越长,性能就会越低。 同时,防火墙又是一种网络设备,是部署在信任网络(或区域)和不信任网络(或区域)之间的强制访问控制点,要求尽可能快地转发流量,因此防火墙应该尽量避免流量堵塞而成为网络瓶颈。了解了防火墙的这一基本特性,人们就能够理解其安全性与性能之间的矛盾关系。 综合考虑网络 灵活部署产品 
说到参观网络安全展的另外一大收获,就是欧主管还见识了一些有创意的解决方案以及它们的成功应用。 欧主管边参观边记录,i博士和钱经理还不时在一旁补充一些要点。因此,欧主管此行收获颇丰。 联想网御防火墙解决方案 1、 多个部门共用一个公共网络平台 联想网御FWG7000千兆线速防火墙可以为多部门的公共网络平台,提供部门级个性化的安全管理方案。即针对不同网段的部门子网,可分别配置各自的安全规则。既保证企业的关键资源能够被充分运用,又能保证不同部门具有与之相适应的安全策略。 2、多分支的大机构总部网络环境 联想网御FWG7000千兆线速防火墙可以为大机构总部的网络环境,提供千兆线速的网络边界访问控制机制,确保总部与分支机构之间安全、顺畅地进行网络通信。 3、 交换机情况下的联想网御防火墙HA系统 该防火墙集群有两个节点,集群中各防火墙节点分别通过单台交换机1和单台交换机2(或集线器),与外网和内网相连。连接外网的路由器利用VRRP构建路由器的高可用,而各防火墙节点通过LFRP协议构建的防火墙HA系统,具备负载均衡、会话保护、设备/链路状况探测功能。某一防火墙节点一旦发生问题后,其上的负载可以迅速迁移到集群中其它防火墙上,保证网络正常通信。 赛门铁克保护联网的学校 美国布莱斯顿郡公立校区总部设在西弗吉尼亚州的萨顿。该区的9个学校分布在农村地区,满足大约3000学生的教育需求。 随着高带宽连接的引入,布莱斯顿郡公立学校的技术总监Sterling Beane注意到,病毒和未经授权的网络访问也在相应增加。另一个因素是校区的网络配置。该区所有的9个学校仍在使用很久的以前的单一防火墙。而且,那时这些学校还在同一个子网内。一旦进入到这个单一的虚拟“篱笆”之内,恶意代码在学校之间就可以畅通无阻地横行。 为此,Beane一直在想办法解决。最初,Beane尝试了一种传统的方法,即防火墙用一个厂家的产品,防病毒则用另一个厂家的产品,依此类推。但问题是,本区无力购买这么多的单一产品。而且,作为校区唯一的全职IT专家,Beane也没有足够的时间在配置、管理和支持方面,面对如此之多的产品。 随后,Beane研究了赛门铁克公司的Symantec Gateway Security 5400系列安全设备。Symantec Gateway Security在一个综合的网关方案中整合了多种安全技术。这些技术包括防病毒技术、全检测防火墙技术、入侵检测和防御技术,以及内容过滤和虚拟专用网络(VPN)技术。 最后,Beane在本区的9个学校都安装了Symantec Gateway Security设备,通过一个集中控制台来进行管理。这些设备使学校之间相互安全隔离,为每个学校分别提供了深度防御,并且有效遏制了攻击和恶意代码。此外,因为所有的安全功能都整合在一个设备里,所以对该地区而言,Symantec Gateway Security也是一种经济合算的解决方案。 既有方案,又有成功实践,欧主管对此次千兆防火墙之行很是满意。而且,他对下一步如何改进单位的网络,心中也有了初步的方案。 “i博士,我少不得还要麻烦你。还有钱经理。这样吧,今天我作东,请你们喝茶去。”欧主管说道。“这么小气,搭上了我们这么多时间,还费了那么多脑细胞。”钱经理挖苦说。 “不要再抬杠了。其实每次解决一个问题,对我们也是一个学习的过程。”i博士不由分说,拉上他俩一起向三人经常聚会的茶社走去。 应用建议 企业用户在应用防火墙产品构建网络时,应该注意如下问题: 1.防火墙不是一个单独的部分,需要和网络系统其它部件协调工作; 2.准确配置防火墙; 3.严格防火墙的访问控制权限; 4.针对实际网络情况,部署严密的防火墙策略,如内外网访问的策略; 5.不要随意在实际网络中改变防火墙的策略; 6.关键业务均需要防火墙保护,而且不同业务的防护策略需要做不同的调整。 
|
||||||||||||||||||||||
