| 出版日期:2005-06-27 总期号:1423 本年期号:46 |
|
 |
防火墙选型之我见
防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。选择安全性较差的防火墙,黑客可以通过技术绕过它,直接威胁到组织的信息安全;选择了性能较低的防火墙,可能最终网络的瓶颈就在这次采购的产品当中。那么,如何选购一款称心如意的防火墙呢? 防火墙“软硬兼施” 软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的操作系统作为支持。一般来说,这台计算机就是整个网络的网关。 假“硬件”防火墙 它与软件防火墙最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙。他们都基于PC架构。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有Linux和FreeBSD系统。从管理界面上也可以看到,在这些产品的命令行模式下,几乎和linux的基本命令没有任何区别。在升级方面非常简单,直接升级内核文件,然后更新策略既可。 “芯片级”防火墙 它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。专有的ASIC芯片,促使这一类型的防火墙速度更快,处理能力更强。专用硬件和软件强大的结合提供了线速处理深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化。不会在网络流量的处理上出现瓶颈。不过提醒各位在选择之前,购买价格和升级费用要做好充分的心理准备。 防火墙功能列表 在防火墙的选型中离不开那些性能指标与参数。我们就通用的几个重点参数作一简单介绍。 ● 处理性能 防火墙的性能对于防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位。千兆防火墙需要达到几个G的性能。 ● 并发会话数 并发会话连接数指的是防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点会话连接的最大数目,它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数。一定要注意产品介绍中的词汇,普通会话数会与并发会话数有着本质的区别。另外,在需求分析的时候也不要以为一台客户端就代表一个会话。例如,P2P下载中的BT软件,通常一个客户端就会有几十个网路会话连接。根据以往的经验,这里最容易出现问题的就是低估用户的连接数量。如果估计错误,将会使防火墙成为网速变慢的最直接原因。 ● 工作模式 一般的防火墙都会具备三种不同的工作模式:路由模式、NAT模式、透明模式。 ● 策略设置 简单来说,防火墙应该具有灵活的策略设置,针对源和目的IP地址、网络服务以及时间几个方面实施不同的安全策略。能够对内网、外网用户设置不同的安全策略,能够通过这些策略充分体现出对于DMZ区域的管理。 ● 虚拟专用网VPN 支持的最大VPN数目,支持的加密方式(手工密钥、IKE、PKI、DES、3DES和AES加密等),是否支持完全的正反向加密,是否有冗余的VPN网关等。个人认为,也许某些成熟的产品(如Cisco PIX等),厂商在这方面的考虑要比用户想得周全。 ● 内容过滤 面对当前互联网上的各种有害信息,有些软件防火墙在牺牲性能的同时增加了URL阻断、关键词检查、Java Apple、ActiveX和恶意脚本过滤等。 这一点对于今天的网络现状来说是比较重要的一个特性之一,但是对于“纯粹”的硬件防火墙来说确实是一件难事。我们有的时候还真不能“鱼和熊掌兼得”。 NP防火墙大势所趋 NP是网络处理器的简称,顾名思义,NP是专门设计用于网络封包处理的一种处理器。在面对千兆防火墙这一巨大市场时,国内的大部分重量级防火墙厂商纷纷推出了自己的NP架构防火墙产品。为了在处理能力上提高,现在的NP产品通常都拥有多个RISC处理器及协处理器,并采用分布式的存储系统,最大限度地突破存储瓶颈,使得不同的应用操作可以由这些处理器并发执行,从而获得逼近AISC的效能。 |
||||||||||||||||||||||||
