防火墻選購(gòu)必讀

當(dāng)一個(gè)企業(yè)或組織決定采用防火墻來(lái)實(shí)施保衛(wèi)自己內(nèi)部網(wǎng)絡(luò)的安全策略之后，下一步要做的事情就是選擇一個(gè)安全、實(shí)惠、合適的防火墻。目前，市場(chǎng)上防火墻琳瑯滿目，例如思科、華堂等等，售價(jià)也極為懸殊，從幾萬(wàn)元到數(shù)十萬(wàn)元，甚至到百萬(wàn)元。那么面對(duì)種類如此繁多的防火墻產(chǎn)品，用戶需要考慮的因素有哪些?應(yīng)該如何進(jìn)行取舍呢?

一、企業(yè)的具體要求

企業(yè)安全策略中往往有些具體需求不是每一個(gè)防火墻都會(huì)滿足的。這方面常會(huì)成為選擇防火墻的考慮因素之一，常見的需求如下：

1網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)

進(jìn)行地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，這也是筆者之所以要強(qiáng)調(diào)防火墻自身安全性問題的主要原因；另一個(gè)好處是可以讓內(nèi)部使用保留的IP，這對(duì)許多IP不足的企業(yè)是有益的。

2雙重DNS

當(dāng)內(nèi)部網(wǎng)絡(luò)使用沒有注冊(cè)的IP地址，或是防火墻進(jìn)行IP轉(zhuǎn)換時(shí)，DNS也必須經(jīng)過(guò)轉(zhuǎn)換，因?yàn)?，同樣的一個(gè)主機(jī)在內(nèi)部的IP與給予外界的IP將會(huì)不同，有的防火墻會(huì)提供雙重DNS，有的則必須在不同主機(jī)上各安裝一個(gè)DNS。

3虛擬專用網(wǎng)絡(luò)(vPN)

VPN可以在防火墻與防火墻或移動(dòng)的客戶端之間對(duì)所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個(gè)虛擬通道，讓兩者感覺是在同一個(gè)網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。

4掃毒功能

大部分防火墻都可以與防病毒軟件搭配實(shí)現(xiàn)掃毒功能，有的防火墻則可以直接集成掃毒功能，差別只是掃毒工作是由防火墻完成，或是由另一臺(tái)專用的計(jì)算機(jī)完成。

5特殊控制需求

有時(shí)候企業(yè)會(huì)有特別的控制需求，如E-mail，F(xiàn)TP只能下載文件不能上傳文件，限制同時(shí)上網(wǎng)人數(shù)，限制使用時(shí)間或阻塞Java、Ac-tiveX控件等，依需求不同而定。

二、與用戶網(wǎng)絡(luò)結(jié)合

1管理的難易度

防火墻管理的難易度是防火墻能否達(dá)到目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻，除了包過(guò)濾，并不能達(dá)到完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易出錯(cuò)等管理問題，更是一般企業(yè)不愿意使用的主要原因。

2自身的安全性

大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)上，但往往忽略了一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。

大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、NT系統(tǒng)等。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來(lái)自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻主機(jī)上所執(zhí)行的軟件出現(xiàn)安全漏洞時(shí)。防火墻本身也將受到威脅。此時(shí)，任何的防火墻控制機(jī)制都可能失效，因?yàn)楫?dāng)一個(gè)黑客取得了防火墻上的控制權(quán)以后，黑客幾乎可為所欲為地修改防火墻上的訪問規(guī)則。進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的安全保護(hù)。

3完善的售后服務(wù)

我們認(rèn)為。用戶在選購(gòu)防火墻產(chǎn)品時(shí)，除了從以上的功能特點(diǎn)考慮之外，還應(yīng)該注意好的防火墻應(yīng)該是企業(yè)整體網(wǎng)絡(luò)的保護(hù)者，并能彌補(bǔ)其他操作系統(tǒng)的不足，使操作系統(tǒng)的安全性不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)的整體安全造成影響。防火墻應(yīng)該能夠支持多種平臺(tái)，因?yàn)槭褂谜卟攀峭耆目刂普撸褂谜叩钠脚_(tái)往往是多種多樣的，應(yīng)選擇一套符合現(xiàn)有環(huán)境需求的防火墻產(chǎn)品。由于新產(chǎn)品的出現(xiàn)，就會(huì)有人研究新的破解方法，所以好的防火墻產(chǎn)品應(yīng)擁有完善及時(shí)的售后服務(wù)體系。

4完整的安全檢查

好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制只有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來(lái)發(fā)現(xiàn)。

通過(guò)了解以上幾點(diǎn)，企業(yè)需要哪種防火墻、需要防火墻的哪些功能，都會(huì)有一個(gè)初步的判斷。有了這些判斷之后，再?gòu)臄?shù)量繁多的產(chǎn)品目錄中去挑選，會(huì)輕松得多。