当一个企业决定用防火墙来实施组织的安全策略后,下一步要做的就是选择一个安全、实惠、合适的防火墙。选择防火墙时,要考虑以下几方面问题。
一、选择防火墙的要求
1、防火墙应具备的基本功能
支持“除非明确允许,否则就禁止”的设计策略,即使这种策略不是最初使用的策略;本身支持安全策略,而不是添加上去的;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理,以便先进的认证手段就可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;
如果用户需要NNTP(网络消息传输协议),X window,HTTP和Gopher等服务,防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能,以减少SMTP服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问。防火墙应把信息服务器和其他内部服务器分开。
2、其他功能
防火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。此外,为了使日志具有可读性,防火墙应具有精简日志的能力。如果防火墙使用UNIX操作系统,则应提供一个完全的UNIX操作系统和其他一些保证数据完整的工具,应该安装所有的操作系统的补丁程序。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。
防火墙的强度和正确性应该可被验证。防火墙的设计应该简单,以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。
正像前面提到的那样,因特网每时每刻都在发生着变化,新的易攻击点随时可能会产生。当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的适应性是很重要的。
二、购买还是自己构筑
一些企业具有自己组装防火墙的能力,他们使用可用的软件组件和设备或自己编写一个防火墙程序。另外一些企业利用经销商提供的防火墙技术服务,例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。
企业自己构筑防火墙的优势是内部人员了解防火墙设计的细节从而能够方便应用。但自制防火墙需要长时间的修建、记录文档和维护,费用较高。相比之下,从销售商那里购买防火墙是较为经济的。
天融信“擎天”系列产品继承网络卫士防火墙系统的功能优势,采用业界领先的TMC架构,可以实现性能上的多级扩展,随需扩展安全动力,整机性能超100G,真正实现安全网关处理性能从超万兆到超百G的跨越。再加上动态自适应负载均衡保障服务的连续性,完备的全网安全控制功能构建完整可信的网络平台,通畅的无缝切换降低断网几率和故障恢复时间,绿色、节能、可持续应用等特点更节省数据中心空间,真正实现了低成本购买产品高回报反馈用户的设计思路。“擎天”系列产品可以在不增加设备的情况下,以整机多接口卡,单安全处理卡等端口输出,既节省了交换投入,又在不增加设备的同时,构建绿色环保网络,达到节省电耗、空间、节省投资及冷却等IT成本,满足节能减排的政策要求。
TMC架构是具备无阻塞的超百G传输能力和更强扩展能力。针对这一问题,在内部架构设计上,安全基础平台TOS内部架构核心,是可行的超百G安全传输技术,它解决侵防御系统、VPN、NIDS等安全服务引擎提供一个良好的体系框架,并支持多种高性价比的硬件平台,使得上述安全功能能够在TOS下高效、灵活的协同工作。因此,天融信将分布式Crossbar技术引入防火墙,形成了超百G网络安全架构,并在以擎天 TG9500系列为代表的超百G存储网络安全产品中得到充分体现。
针对数据中心的集中化情况下,网络安全设备的性能和可靠性遇到了前所未有的挑战,且网络应用越来越多,如何提升安全产品的性能,提高可靠性是当务之急。但是早期的安全产品技术使得在提升空间受到很大限制,不能满足用户的需求。同时,随着虚拟化应用整合,势必对网络安全设备的扩展能力和高适应性提出了要求。
kk
随着网络规模不断扩充,链路、连网用户、各种应用业务的持续增多,再加上云计算时代的来临,众多的企业网和园区网正走
[nickname] ([date])
[content]