网络安全 频道

硬件防火墙选购指南

(4)管理的难易度

  防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因,除了先前提到的包过滤,并不能达到完全的控制之外,设定工作困难、须具备完整的知识以及不易除错等管理问题,更是一般企业不愿意使用的主要原因。 因此防火墙的管理最好要适合网管员的管理习惯,设有远程Telnet登录管理以及管理命令的在线帮助等。GUI类管理器作为防火墙的管理工具,为网管员提供了有效、直观的管理方式。

  (5)可靠性

  对于防火墙来说,其可靠性直接影响受控网络的可用性,它在重要行业及关键业务系统中的重要作用是显而易见的。提高防火墙的可靠性通常是在设计中采取措施,具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。此外防火墙应对操作系统应提供安全强化功能,最好完全不需要人为操作,就能确实强化操作系统。这项功能通常会暂时停止不必要的服务,并修补操作系统的安全弱点,虽然不是百分之百有效,但起码能防止外界一些不必要的干扰。

  (6)可扩展性

  对于一个好的防火墙系统而言,它的规模和功能应该能够适应网络规模和安全策略的变化。理想的防火墙系统应该是一个可随意伸缩的模块化解决方案,包括从最基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。目前的防火墙一般标配三个网络接口,分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。

  (7)其它考虑要素

  企业安全政策中往往有些特殊需求(如网络地址转换(NAT)、双重DNS 、扫毒等功能)不是每一个防火墙都会提供的,这方面常会成为选择防火墙的考虑因素之一。

  此外防火墙的维护费用也是一个要考虑的问题,一般安全性越高,实现越复杂,设备费用相应的越高,日后的维护费用相对来说也是越高。

  建议:

  对于ISP、网站等用户来说,由于其数据流量大,对速度和稳定性要求较高,如果这些用户需要在外部网络发布Web(将Web服务器置于外部),同时需要保护数据库或应用服务器(置于防火墙内),这就要求所采用的防火墙具有传送SQL数据的功能,而且必须具有较快的传送速度,建议这些用户采用高效的包过滤型并且只允许外部Web服务器和内部传送SQL数据使用、100M及以上带宽的硬件防火墙。

  中小企业接入Internet的目的一般是为了方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时,要注意考虑保护内部(敏感)数据的安全,要格外注重安全性,对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙,具有http、mail等代理功能即可。

  对于大中型企业、金融、保险、政府等机构,共同之处在于网络流量不是很大,与外部联系较多,且内部数据比较重要。因此在选购防火墙时首先要考虑的就是安全性问题。从整体规划上,防火墙至少要能够将内部网分成两部分,即内部存放重要数据的网络与存放可提供外部访问数据的网络的分离。对于重要数据的传送,防火墙必须要提供加密的VPN通讯。这类用户选购10M或100M的防火墙就足够了。

0
相关文章