翻新时间:2023-03-27
刍议防火墙的选购
刍议防火墙的选购 刍议防火墙的选购 信息技术论文 更新:2006-4-8 阅读: 刍议防火墙的选购
刍议防火墙的选购
张民 张友华(电子工程学院)
防火墙为网络安全体系的基础和核心控制设备,其切断受控网络通信主干线,对通过受控干线的任何通信行为进行安全处理,如控制、报警、反应等,同时,也承担了繁重的通信任务。由于自身处于网络中的敏感位置,还要面对针对自身的各种安全威胁。但目前防火墙功能都相差不大,无非就是包过滤,地址转换,应用层过滤,攻击检验等等。那么用户采购防火墙时应把握以下几点:
1、安全性
安全性主要表现在:是否基于安全的操作系统?是够采用专用的硬件平台?设计的安全性根本在操作系统,具有完整信任关系的操作系统才有系统安全性评价。应用系统的安全以操作系统的安全性为基础,同时,自身的安全实现也直接影响整体系统的安全性。安全管理为系统安全的重要外因,其直接影响安全设备的控制行为。
2、高效性
性能指标为防火墙的重要指标,其直接体现防火墙的可用性能,也体现防火墙对用户的安全代价,过高的安全代价用户无法接受。
3、灵活性
对通信行为的有效控制,要求防火墙设备有一系列不同级别满足不同用户的各类安全控制需求的控制策略,控制策略的有效性、多样性,级别目标清晰性,制定难易性,经济性等,体现控制策略的质量。
4、管理方便性
网络技术发展很快,各种安全事件不断涌现,这要求安全管理员经常性调整网络安全策略。对于防火墙类访问控制设备,除安全控制策略的不断调整外,业务系统的访问控制的调整也很频繁,这些要求防火墙的管理在充分考虑安全需要的前提下,提供方便灵活的管理方式和方法,通常体现为如下方面:管理途径、管理工具、管理权限。防火墙设备首先为网络通信设备,管理途径的提供要兼顾通常网络的设备的管理方式,现实情况下,安全管理员还由网管人员兼顾,管理方式还要适合网管人员的一般管理行为习惯,如远程telnet登录管理及管理命令的在线帮助等。管理工具主要为GUI类管理器,用它管理很直观,这对于设备的初期管理和不太熟悉的管理人员提供了有效的管理方式。权限管理为管理本身的基础,严格的权限认证可能会带来管理方便性的降低,从合理的综合方式中找出最佳点。
5、可靠性
可靠性对防火墙类访问控制设备尤为重要,其直接影响受控网络的可用性,其在重要行业及关键业务系统中的作用和重要性是显然的。从系统设计上,提高可靠性的措施一般提高本身部件的强健性、增大设计阀值和增加冗余部件,这要求有高的生产标准和设计冗余度,如使用工业标准、电源热备份、系统热备份等。
6、是否可针对用户身份进行过滤
防火墙过滤报文时,最基础的是针对IP地址进行过滤,大家都知道,IP地址是非常容易修改的,只要我打听到公司里谁可以穿过防火墙,那么我将我的IP地址改成和他的一样,我也可以穿过防火墙。这里需要一个针对用户身份而不是IP地址进行过滤的办法。目前防火墙上常用的是一次性口令验证机构,通过特殊的算法,保证用户在向防火墙登录时,口令不会在网络上泄漏,这样,防火墙可以确认登录上来的用户确实和他所生成的一致。这样做的好处由两个:一用户可以随便找一台计算机器,向防火墙登录,防火墙就可判断他的权限,进行合适的过滤,二用户出差时,可以通过登录回公司的防火墙访问公司内部自己的服务器,不用担心在电话网上泄漏口令,在没有加密手段或加密成本较高时还是比较实用的。
7、抗拒绝服务功能
在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法,YAHOO等网站遭受的就是拒绝服务攻击,只不过是发起攻击的点比较多,称之为分布式拒绝服务攻击。拒绝服务攻击可分成两类:一类由于操作系统或应用软件本身设计或编程上的缺陷而造成,种类繁多,只有通过打补丁的办法解决,一类是由于协议本身的缺陷,只有有数的几种,但造成的危害非常大,如SYNFLOODING。
要防火墙解决第一类问题显然是力不从心,系统缺陷和病毒不同,没有病毒马可以作为依据,在判断到底是不是攻击上常常误报,现有的国内外地对这类攻击的检测至少有50%的误报,大家如果用过IIS的real secure就有认识,这类攻击检测不能装在防火墙上,否则可能把合法的报文认为是攻击。防火墙能做的是对付第二类攻击,如针对SYN-FLOODING,可以限制服务器接受连接请求的速度,最大的半连接数和最大已建立连接数实现。
8、可扩展和可升级性
用户的网络不是一成不变的,现在可能只要在公司内部网络和外部网络之间做过滤,随着业务的发展,公司内部可能具有不同安全级别的子网,此时就需要在这些子网之间做过滤。目前市面上的防火墙一般标配是三个网络接口分别接外部网,内部网和SSN,在购买时必须问清楚是否可以增加网络接口,因为有些防火墙设计成支持三个接口,无法扩展,和防病毒产品类似,随着网络技术的发展和黑客攻击手段的变化,防火墙也必须不断地进行升级,此时支持软件升级就更加重要了。如果不支持软件升级,为了抵御新的攻击手段,必须进行硬件上的更换,在更换期间你的网络是不设防的。以上就是防火墙的采购方法,选购防火墙时,如能做到以上几点,防火墙的选购就不会成为难题了。
下载文档
网友最新关注
- 6年中考满分作文:挫折四问
- 6年中考满分作文:爸爸的选择
- 6年中考满分作文:告别=新的开始
- 6年中考满分作文:门其实开着
- 6年中考满分作文:爸爸的机遇
- 6年中考满分作文:我理想中的学习生活
- 6年中考满分作文:美丽的苹果
- 6年中考满分作文:门其实开着
- 6年中考满分作文:门其实开着
- 把握机遇
- 6年中考满分作文:门其实开着
- 爱就像阳光
- 6年中考满分作文:不经风雨,怎见彩虹
- 6年中考满分作文:我理想中的农村生活
- 6年中考满分作文:门其实开着
- 协会秘书处工作制度
- 公司计算机网络系统使用规定
- 农民科学素质教育大纲
- 资产经营管理有限公司子公司财务管理办法
- 监理试验室及试验仪器管理措施
- 公司党委工作标准
- 县关于重点招商引资项目考核奖励办法
- 公司大学毕业生实习管理办法
- 药监局领导干部联系基层工作制度
- 机关干部新闻写作奖励办法
- 有限责任公司章程
- 同学联谊会章程
- 镇治安巡防队员工作制度全集
- 牛场防疫操作规程
- 办事公开制度
- 土木工程专业实习报告
- 探索NTFS
- 略谈养老保险档案管理
- 全终端计算机通信网络可靠性模型及算法研究
- 社会保险优化管制举措
- 计算机病毒与反病毒技术研究
- CATV光缆设计
- 基于声卡的数据采集及波形发生器设计
- 土建基本知识(基本要点归纳)
- 对商业养老年金发展动力探究
- 螺旋钻灌注桩工程技术交底
- 2011年市政施工员年终总结
- 钢结构设计、施工常见小问题
- 电梯安装工程基础知识
- 办公室装修从细节注意开始
- 《凡卡》教学目标
- 《凡卡》重点问题探究
- 《卖火柴的小女孩》训练素材
- 《凡卡》随堂练习 巩固篇
- 《卖火柴的小女孩》考点练兵(一)积累篇
- 《卖火柴的小女孩》教学重点
- 《凡卡》重点字词意思
- 《卖火柴的小女孩》考点练兵(二)阅读篇
- 《卖火柴的小女孩》教学难点
- 《卖火柴的小女孩》教学目标
- 《卖火柴的小女孩》范文习作
- 《凡卡》整体阅读感知
- 《卖火柴的小女孩》随堂练习 巩固篇
- 《凡卡》教学重点
- 《卖火柴的小女孩》随堂练习 提高篇