搭建系统安全:手把手教你选购防火墙
防火墙的分类及特点
对于市面上种类品牌繁多的防火墙,选购者们是不是会很头疼呢?究竟是看重这个防火墙厂商的知名度还是它的功能?到底国内防火墙好还是国外防火墙更优秀?他们都各自有什么优势呢?
不同环境的网络,对于防火墙的要求各不一样。比如说IDS功能、VPN功能,对于一些小型的公司来说就不需要这些功能。再比如说流量和性能、处理能力之间的关系,究竟多大规模的网络,多大的流量需要多大的性能和多强的处理能力才算是合适呢?那么就需要选购者对于防火墙的选型方面仔细考虑了。
首先大概说一下防火墙的分类。就防火墙的组成结构而言,可分为以下三种:
第一种:软件防火墙
这里指的是网络版的软件防火墙而不是个人防火墙。个人防火墙在网上有很多可以免费下载的,不需要花钱买。软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。
第二种:硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
第三种:芯片级防火墙
它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。
对防火墙的分类有了初步的了解之后,选购者比较关心的就是下面所说的――这三种防火墙各自的优缺点以及这几种防火墙对于不同的网络环境的应用有何不同。弄清楚这些才能对防火墙本身有个比较好的了解,对于选购也是及其有帮助的。
在防火墙的应用上,除了防火墙的基本功能之外,还根据企业用户的需要添加了许多其他的扩展功能。
通常有NAT、DNS、VPN、IDS等。由于软件防火墙和硬件防火墙是运行于一定操作系统上的特定软件,所以一些防火墙所需要实现的功能就可以像大家普遍使用的软件一样,分成许多个模块。一些防火墙的厂商也是这样做的,他们将一些扩展的功能划分出来,如果需要使用则另行购买安装。例如IDS功能,有些公司已经购买了专业的IDS产品,那么防火墙上单加了一个IDS的功能则显得有些多余。那么就可以不再购买防火墙中IDS的部分。
芯片级防火墙的核心部分就是ASIC芯片,所有的功能都集成做在这一块小小的芯片上,可以选择这些功能是否被启用。由于有专用硬件的支持,在性能和处理速度上高出前两种防火墙很多,在拥有全部功能后处理速度还是比较令人满意的。
大多数人在选购防火墙的时候会着重于这个防火墙相对于其他防火墙都多出什么功能,性能高多少之类的问题。但对于防火墙来说,自身的安全性决定着全网的安全性。
由于软件防火墙和硬件防火墙的结构是软件运行于一定的操作系统之上,就决定了它的功能是可以随着客户的实际需要而做相应调整的,这一点比较灵活。当然了,在性能上来说,多添加一个扩展功能就会对防火墙处理数据的性能产生影响,添加的扩展功能越多,防火墙的性能就越下降。
由于前两种防火墙运行于操作系统之后,所以它的安全性很大程度上决定于操作系统自身的安全性。无论是UNIX、Linux、还是FreeBSD系统,它们都会有或多或少的漏洞,一旦被人取得了控制权,整个内网的安全性也就无从谈起了,黑客可以随意修改防火墙上的策略和访问权限,进入内网进行任意破坏。由于芯片级防火墙不存在这个问题,自身有很好的安全保护,所以较其他类型的防火墙安全性高一些。
芯片级防火墙专有的ASIC芯片,促使它们比其他种类的防火墙速度更快,处理能力更强。专用硬件和软件强大的结合提供了线速处理深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化。不会在网络流量的处理上出现瓶颈。
防毒对于一个企业来说也是必不可少的。芯片级防火墙的后起之秀Fortinet就可以在网关处结合FortiContent技术为各种网络数据交易和企业网络进行高级别的病毒安全防护,保护内部网络的安全。大部分防火墙都可以与防病毒软件搭配实现扫毒功能,而扫毒功能通常是由其他的server来实现处理的。如此互动,与在防火墙在进行流量处理的同时就完成的扫毒功能相比自然是差了许多。
在小型且不需要其他特殊功能的网络来说,硬件防火墙无非是比较好的选择。由于不需要扩展功能,或者扩展功能用的比较少,另行购买的模块就少,在价格上和使用方面就比芯片级要合算。
在了解了防火的种类以及它们各自的优缺点之后,在具体进行选购时,还应该就每台防火墙的各项参数指示进行对比,从众多的型号中选出真正适合自己企业的防火墙,这将是我们下一部分所要讲述的内容。
防火墙选型中的关键――参数详解
在防火墙的选型中离不开那些参数,而搞懂那些参数意味着选购者能买到一款称心如意的防火墙。
并发会话数
并发会话连接数指的是防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点会话连接的最大数目,它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数。
大多数人也许不明白,普通会话数会有几千到几十万不等,那么是不是内网中的机器数量跟会话数有直接联系呢?想到这里,其实答案马上就能出来了。举例说明,一个并发会话数代表一台机器打开的一个窗口或者一个页面。那么内网中一台机器同时开很多页面,并且聊天工具或者网络游戏同时进行着,那么这一台机器占用的会话数就会有几十到几百不等。内网中同时在线的机器数量越多,需要的会话数就越多。所以,根据防火墙的型号不同,型号越大,并发会话数就会越多。
在一些防火墙中还有另外一个概念,那就是每秒新建会话数。假设在第一时间,已经占用了防火墙的全部会话数,在下一秒,就要等待防火墙处理完之前不需要的会话数才能让需要的人继续使用剩余的会话数。那么这个每秒新增会话数就很重要了。如果每秒新增会话数不够的话,剩下的人就要等待有新的会话数出来。那么就会体现为上网速度很慢。了解了这一情况,选购者就不会承担这个防火墙导致网速变慢的黑锅了。
性能
防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位。从几十兆到几百兆不等,千兆防火墙还会达到几个G的性能。关于性能的比较,参看防火墙的彩页介绍就可以比较的出来,比较明了。
工作模式
目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式还有透明模式。
透明模式时,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第2层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0,防火墙对于用户来说是可视或"透明"的。
处于"网络地址转换(NAT)"模式下时,防火墙的作用与Layer 3(第3层)交换机(或路由器)相似,将绑定到外网区段的IP封包包头中的两个组件进行转换:其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个防火墙生成的任意端口号替换源端口号。
路由模式时,防火墙在不同区段间转发信息流时不执行NAT;即,当信息流穿过防火墙时,IP封包包头中的源地址和端口号保持不变。与NAT不同,不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同,内网区段中的接口和外网区段中的接口在不同的子网中。
管理界面
管理一个防火墙的方法一般来说是两种:图形化界面(GUI)和命令行界面(CLI)。
图形界面最常见的方式是通过web方式(包括http和https)和java等程序编写的界面进行远程管理;命令行界面一般是通过console口或者telnet/ssh进行远程管理。
接口
防火墙的接口也分为以太网口(10M)、快速以太网口(10/100M)、千兆以太网口(光纤接口)三种类型。防火墙一般都预先设有具有内网口、外网口和DMZ区接口和默认规则,有的防火墙也预留了其它接口用于用户自定义其它的独立保护区域。防火墙上的RS232 Console口主要用于初始化防火墙时的进行基本的配置或用于系统维护。另外有的防火墙还有可能提供PCMCIA插槽、IDS镜像口、高可用性接口(HA)等,这些是根据防火墙的功能来决定的。
策略设置
防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表(区段间策略、内部区段策略和全局策略)产生的信息流。
策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开,以及它们进入和离开的时间和地点。
简单的说,防火墙应该具有灵活的策略设置,针对源和目的IP地址、网络服务以及时间几个方面实施不同的安全策略。
内容过滤
面对当前互联网上的各种有害信息,有的防火墙还增加了URL阻断、关键词检查、Java Apple、ActiveX和恶意脚本过滤等。
入侵检测
黑客普通攻击的实时检测。实时防护来自IP Source Routing、IP Spoofing、SYN flood、ICMP flood、UDP flood、Address sweep、Tear drop attack、Winnuke attack、Port Scan Attack、Ping of Death、Land attack、拒绝服务和许多其他的攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。
用户认证
完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多数认证方式。
对于内部网络的安全又多了一层保障。
虚拟专用网VPN
在网络之间或网络与客户端之间进行安全通讯。可以支持的最大VPN数目,支持的加密方式(手工密钥、IKE、PKI、DES、3DES和AES加密等),是否支持完全的正反向加密,是否有冗余的VPN网关。
一般异地办公的网络都会注意这点。尤其是加密方式。不过硬的加密方式会导致黑客窃取机密文件等。所以加密的方式越高级越好。
日志/监控
防火墙对受到的攻击和通过防火墙的请求应具有完备的日志功能,包括安全日志、时间日志和传输日志。最好可以通过同步分析软件同步到指定主机上,实现对日志的详尽审计。
高可用性
提高可*性和负载分配。HA端口:专用于两点间通讯连接。分两种工作方式:一是两台防火墙同时工作,共同负担网络流量,在其中一台防火墙中断的同时,另外一台自动接管所有任务,保证不会发生网络中断;另外一种是在同一时间只使用其中一台防火墙,当其不能正常工作时,另外一台防火墙立刻接管当前的防火墙,不会造成网络中断。
写在最后
掌握了文章中提到的这些关键性要素对于选购防火墙的标准相信就可以有一个明确的概念了,也希望能通过本文帮助您选购到称心的防火墙产品!
QQ:39174038
hbjryh 回复于:2005-05-10 08:47:50
这么好的帖子没人理!加到精华贴吧斑竹!!
zuoyan 回复于:2005-05-10 09:46:11
好东西,谢谢了。
jefferson13 回复于:2005-05-10 10:11:06
很有热心啊
顶啊
B.net 回复于:2005-05-10 11:48:18
还有基于NP构架的吧...速度比ASIC较弱可是扩展性较强~~~
高档的有ASIC+NP的..好像天融信有这种~产品~~~
ALENG_LINUX 回复于:2005-05-11 05:04:21
jia jing,yiding yao
hbjryh 回复于:2005-05-12 11:27:59
谢谢斑竹把这个帖子加为精华帖!那位朋友缺防火墙了都可以来找我!也希望能给你们解决一些问题 QQ39174038
tanlon 回复于:2005-05-12 15:09:37
好!
yuanhu815 回复于:2005-05-13 08:02:18
非常好啊,看来楼主对防毒很有研究啊。
秋意正浓 回复于:2005-05-14 00:16:17
好文要留记号,以后找起来方便。
lxlgod 回复于:2005-05-14 15:19:38
hao好!
sunny00 回复于:2005-05-15 09:18:45
真是好东西 收下了
langtao 回复于:2005-05-15 19:50:34
顶啊
yenakata 回复于:2005-05-16 14:44:02
呵呵,不好意思的提出,里面有相当内容都是参考自Netscreen文档,因为,本人最近由于工作需要一直在看NS的墙。
不过确实总结的不错,很有使用价值。
hbjryh 回复于:2005-05-16 16:26:51
哦。楼上的朋友有机会交流一下可以吗?
QQ:39174038
lijin5678 回复于:2005-05-16 22:35:11
非常好啊!!!!!!!!!
bj_solarisfan 回复于:2005-05-20 08:51:01
我随便说两句,我估计楼主和fortinet有联系,或者卖或者用,而fortinet和NS同出一门,不过fortinet的墙确实不错,
乱顿 回复于:2005-05-22 10:03:31
的确不错.UP一下下啦:)
qiaoshadow 回复于:2005-05-23 16:24:12
好帖子,有用啊!
hbjryh 回复于:2005-05-25 11:09:21
有几天没来拉!~!!
hbjryh 回复于:2005-05-30 10:46:42
点击率还不到2000
hbjryh 回复于:2005-05-31 11:38:41
看不见这个帖了!
x3 回复于:2005-06-08 16:02:41
写的很详细,具体 非常系统
好铁
longwu54 回复于:2005-06-16 18:44:15
支持
hbjryh 回复于:2005-06-29 13:53:51
沉底拉!快救啊!
uuhs_hiei 回复于:2005-07-06 17:43:37
阅,虽然老了点
SkyBelieve 回复于:2005-07-06 23:16:59
做个记号。
suisuiyouyu 回复于:2005-07-07 12:51:32
balabala铁帖子
完颜阿骨打 回复于:2005-07-08 02:04:25
顶
冷闪 回复于:2005-07-11 17:13:12
说几句
PIX并没有在作者的视野内,不知有缘由?
还有,病毒防火墙和安全防火墙的防御机理还有运作方式都是不同的,可能有些方面有类似的情况,但因为目的和工作原理的不同,所以不要混为一谈,如果介绍也要等同视之,这篇帖应该指的是安全防火墙吧。
最后说一点,强大的网络安全仅仅靠防火墙还是不够的,还需要严密的网络管理系统和入侵检测系统。
unixzlx819 回复于:2005-07-13 11:15:12
ding
hbjryh 回复于:2005-07-22 10:00:55
网络安全,真难学啊
gj1982612 回复于:2006-04-12 08:29:18
好帖子,顶吧
viiqii 回复于:2006-06-16 09:37:16
very good
achilles168 回复于:2006-06-28 15:46:59
UP。
记号先。
zqsroot 回复于:2006-07-17 10:13:34
不懂,帮顶!
xiaochong1121 回复于:2006-07-20 16:45:51
顶顶
wming_dl 回复于:2006-07-21 11:46:45
如题。
why_not 回复于:2006-08-01 18:39:10
没觉得讲得很详细
觉得就是一个产品托
就是点了一下,概念性的,没什么意义
luzengqiu 回复于:2006-08-12 09:43:19
很有帮助。谢谢啦。
xiaoyao4005 回复于:2006-09-04 17:43:18
对阿 楼主只提到了 硬件防火墙和芯片级防火墙(asic)
怎么没提到基于np处理器的防火墙呢?基于np处理器的防火墙既有高于普通基于pc的硬件防火墙的性能,又有高于asic的灵活性和可扩展性
希望楼主更新时候 介绍全面一些阿!
depthblue_xsc 回复于:2006-09-04 18:34:49
它们基于专门的硬件平台,没有操作系统?LZ对防火墙真正了解多少?
看来LZ认为X86平台的不怎么样,加了个所谓.NP的性能LZ不知道是否测试过?NP平台上的产品(不单指防火墙)难道没有软件吗?难道ASIC的产品上没有软件平台吗?那么NETSCREEN的产品上就没有OS系统吗?LZ知道吗,X86的平台发展是最快了,在NETSCREEN的新的产品就包括这个系列,当然fortinet也有这产品.NP的利润要比X86的高很多,ASIC的确有很大优势,但是仅仅是在单纯用作防火墙的时候,如果把高层应用都打开,性能不但下降,而且很多.当然NOKIA的多总线也不错,那个IP440可以直接接键盘鼠标,显示器.而PIX有一些型号就是一个PII的系统平台.
不要迷信什么硬件,也不要看不起X86上的系统,IXIA的测试仪,上边的系统是WIN2000,三星的核心路由器用的系统的基于LINUX的,XX的战斗机上的系统用的也是LINUX的一个实时版本,还有欧洲的卫星上跑的上也是LINUX,当然不是标准的版本,CPU是SPARC,XX的数字化装备上用的也是LINUX版本.
一个优秀的产品除了需要一个优秀的硬件平台,软件的作用更加重要.
reistlin 回复于:2006-09-06 17:48:36
已经收藏,难得一篇很客观的文章。
liuyanhai 回复于:2006-09-08 14:06:44
了解了一些,谢谢!YOU!
zbhdpx 回复于:2006-11-30 16:45:46
非常不错!
kelly1011 回复于:2006-12-02 13:35:49
Bitgating系列防火墙设备是chinsec面向大中型IDC用户开发的新一代专业抗DDOS防火墙设备。
Bitgating系列防火墙结合数据挖掘技术和深度的状态检测技术,通过对连接过程和流量进行细粒度的监测,可以准确而高效的实现对恶意流量的动态过滤,实现防范大流量的基于各种协议各种DDOS攻击,包括SYN Flood攻击、ACK攻击、ICMP和UDP Flood攻击等,有效保证网络的稳定运行。对于大型用户,您还可以选择集群方案来防范大规模的DDOS攻击。
即将推出!敬请关注!
www.chinsec.com
|
