企业信息作为企业生存发展最重要的资源之一,其机密性和安全性都是企业用户最为关心的问题。如何在迅速发展的网络科技世界中不受各种各样病毒的侵略和防止黑客对企业网络的恶意攻击、泄露企业信息等阻碍企业发展的问题,是企业用户迫切需要解决的,这就对企业网络环境的安全性提出了高要求。
提高网络环境的非常好的方案就是增添防火墙设备。首先来了解一下防火墙的定义:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。而对于企业网络环境的实际应用,更为常见的是硬件防火墙,这也是我们今天要介绍的,它拥有更全面、更高效、更完整的安全性能。
硬件防火墙选购因素
防火墙本身的安全性
由于防火墙本身会暴露在网路访问之下,所以其自身的安全性是一个应该优先被考虑的问题。产品本身所采用的系统架构是否健壮、是否存在安全漏洞、是否有被拒绝服务攻击击溃的历史等,功能和配置上是否可以处理IP欺骗、口令猜测等常见的攻击手段,这些都是衡量标准。另外还需注意的是考察防火墙所支持的认证方式,支持方式较为广泛、与网内认证措施协同较好的产品无疑具有更高的安全性。
数据处理性能
作为选购的最重要参考项目,硬件防火墙的数据处理性能的核心主要是防火墙处理数据包的能力。吞吐率、转发率、丢包率、缓冲能力和延迟等都是衡量硬件性能的标准。当然,防火墙在包处理时采用的算法等因素也会在很大程度上影响防火墙在实际使用中的性能表现,这也是选购应考虑的因素。
可管理性
一款防火墙的配置管理是否容易直接决定了安全管理员的工作量,也是防火墙产品能否很好应用的重要保障。非常复杂凌乱的配置很容易造成安全策略实现上的错误,埋下安全隐患,要是在这样复杂的信息环境下,管理成本和维护成本的增加会消耗掉企业很大的开支。
日志能力
任何安全系统都有被攻破的可能,对于攻击者来说,最大的安全威慑不是部署何种安全装备,而是在攻击行为发生后,被攻击方是否有足够的证据和信息提出法律诉讼,所以在关心了功能和性能方面的参数之后,一定不要忽略防火墙产品的日志处理能力,一款日志功能强大的防火墙,记录的项目应比较全面,可以有效的防范日志被窜改,并能利用多种途径将日志数据定期备份到指定机器;同时,要考察防火墙产品的日志查看能力,包括查看途径的多少、信息显示的合理性等。
产品兼容性
信息安全的保障需要依赖设计良好功能完整的体系,单单靠一种产品是无法解决所有问题的,所以在选购安全产品的时候应注意该产品与其它安全部件以及现有设备之间的兼容性,否则购买之后如果在整体环境中造成冲突,将极大浪费宝贵的安全投资。象防火墙这种通用的产品,在行业内通常都有很多开放式接口,用于产品开发者处理不同厂商和不同类型产品的互连问题。绝对不是一种产品就能全部解决问题的,很多厂商在开发不同的产品时根本就没有考虑系统互操作的问题。
防火墙基础原理
防火墙技术
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。透明,传输性能高的包过滤技术是一种简单、有效的安全控制技术。包过滤技术通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。由于采用了记录生成状态表的做法,检测时可直接通过散列算法检测后续数据包,使得性能得到了较大提高,加上状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
防火墙工作原理
包过滤防火墙
包过滤防火墙是用以简单的过滤用户定义的内容,如IP地址。包过滤防火墙系统只在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但作为系统对应用层信息无感知,无法识别通信的内容,可能被黑客所攻破,因此,包过滤防火墙的安全性有一定的缺陷。
应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙的可伸缩性差,他是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。还有,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,并在此基础上在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理,不仅仅考察进出网络的数据包。可以说,状态检测包过滤防火墙规范了网络层和传输层行为,大大提高了安全性。
复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
比较四类防火墙,包过滤防火墙和应用网关防火墙还属于初级防火墙,对应规模不大的中性企业使用,而状态检测防火墙和复合型防火墙则拥有更强的安全性,大规模的企业或其他部署使用。
硬件防火墙产品推荐
中怡数宽PROcon5 参考价:5000元
面对价格高高在上的专业级的硬件防火墙产品,PROcon5是中怡数宽专门推出的针对于普通中小企业应用的硬件防火墙产品。产品全线防火墙都采用了红色的设计,颜色非常夺目,金属的外壳使防火墙更好地散热。可分为SAFEcon和PROcon,区别在于SAFEcon多了VPN的功能。
PROcon5拥有一个WAN口和四个LAN口,RESET口用于还原设备出厂设置,设备着手感觉较重。产品定位于中小企业,具有专业、稳定、高速三大特点。带机数量最多为200台电脑,最高吞吐量高达100M,可对蠕虫等病毒的攻击进行有效防御;另外,其利用Stateful Packet Inspection (状态分组检查)技术对传输的数据进行监测,可有效提高数据的安全性。其内建的SPI、DoS防火墙,在阻止绝大多数黑客攻击的同时,也保证了自身的安全,并且拥有完善的日志功能。新版本还多了以下功能,专用的网络核心M3E,提升速度功效3倍多;深层检测防火墙技术,多正反双向网页过滤;分时段组别封闭QQ,商用控管MSN使用;MAC严格绑定验证,40组地址列表型管理。