防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。如何选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。思科PIX安全设备系列在经济有效、便于部署的解决方案中,提供了强大的用户和应用策略实施、多因素攻击防御以及安全连接服务功能。
首先要明确,防火墙不是路由器、交换机或者服务器。(虽然看起来比较象)所以不能用那些产品的指标来选择防火墙。那么选择防火墙应该注意哪些方面呢?
第一、安全性
安全第一,这不仅是建筑行业的警示语,同样这也是一个企业保持正常运行的重中之重。安全性不高的防火墙,其他性能再好也是空谈。安全性包括几个方面,自身安全性、访问控制能力和抗攻击能力。
自身安全性主要是指防火墙系统的健壮性,也就是说防火墙本身应该是难以被攻入的。还有防火墙的管理方式也很重要。管理员采用什么方式管理防火墙,是telnet还是web,有没有加密和认证等等。
访问控制能力是防火墙的核心功能。访问控制能力包括控制细度,也就是能控制哪些内容,比如地址、协议、端口、时间、用户、命令、附件等等。还要注意的就是控制强度,也就是说应该限制的内容必须全部阻断,应该通过的内容不应该有任何阻断。
抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类,数量。特别是对DOS和DDOS攻击的抵抗力。目前对于DDOS攻击还没有什么完善的解决办法。因此对DDOS攻击主要看能抵御的强度有多大。
用户在选择防火墙的时候,自己来判断以上这些性能是很困难的。因为用户没有专门的测试工具和手段。用户可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军队认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336,等级越高越好,一共7级。(不过现在最好的好像也就是EAL3 )
第二、性能
防火墙是个网络设备。在保证安全的基础上,应该最大程度减少对网络性能的影响。对于网络性能,主要就是看最大带宽、并发连接数、每秒新增连接数、丢包和延迟。这些指标和交换机、路由器都是相同的,这里就不多说了。但是有一点要注意。防火墙在策略起作用和全通策略的状态下,上述指标都是不一样的。用户一定要考虑实际环境。比如先按照用户的要求添加多少条策略(全通策略在最后)然后再测试。传说中有的百兆防火墙小包(64字节)通过率能达到70%以上,甚至90%,我觉得在实际使用中一定不可能。之所以能够测试出这样的数据只有两个可能:一是采用高性能硬件, 比如采用了千兆网卡芯片,二是在测试机的内核做手脚。
第三、网络功能
这里包括的内容就多了,什么地址转换、IP/MAC绑定、静态和动态路由 、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。
在这些眼花缭乱的功能里,用户应该有一双明亮的眼睛。因为并不是每一个功能用户都需要的,用户也不需要为了一些不需要的功能花冤枉钱。当然,价钱相等的情况下功能越多越好啊,呵呵。用户应该首先明确自己都需要什么功能,并且要确定这些功能都要达到什么效果。然后再寻找相应的设备。有些功能在不同厂家的定义是不同的。实现的效果也不一样。
第四、管理功能
管理方面用户应该注意界面的友好性,设置选项应该通俗易懂。日志特别重要,好的日志系统应该有详细的记录,包括连接的状态和内容,应该便于分类和排序,应该方便存入数据库并有syslog等标准的接口。远程管理对用户来说要注意管理命令的加密和认证,是否支持策略远程导入导出等等。至于管理的界面是否好看,那就看个人喜好了。
第五、质量
防火墙的质量表现可不是做工精细不精细啊,而是防火墙是否能经久耐用。现在比较先进的防火墙普遍采用的是贴板技术。也就是将所有的原件都采用贴片的工艺。这样整个防火墙都是一体的,自然不容易出故障。如果防火墙的内存,网口还采用插槽的方式,甚至还采用普通硬盘作为系统内核存储设备,那系统的稳定性就可想而知了。另外在高稳定性要求的环境里要看有没有双电源,大功率风扇等等。虽然看上去是细节,但是我可是知道很多防火墙室内温度一高就死机的。
思科PIX安全设备的适用范围从面向小型和家庭办公环境的小巧型、“即插即用”桌面设备到面向要求出色投资保护的企业和电信运营商环境的模块化千兆设备,为各种规模的网络环境提供强大的安全性、性能和可靠性。
高级防火墙服务
深层检测防火墙服务,如HTTP、FTP和ESMTP;即时消息;对等和隧道化应用阻拦;采用基于流量的安全策略的思科模块化策略框架;虚拟防火墙服务;第二层透明防火墙;3G移动无线安全服务
强大的IPSec VPN 服务
VPN 客户端安全状态实施;自动VPN 客户端软件升级;VPN 隧道上的OSPF动态路由
高可用性服务
屡获大奖的主用/ 备用或更为先进的主用/ 主用故障切换,支持不对称路由;远程接入和站点间VPN 状态化故障切换;无需停机的软件升级
智能网络服务
PIM 组播路由;服务质量(QoS);IPv6 网络
灵活的管理解决方案
SSHv2 和SNMPv2c;配置回退;可用性增强;基于Web 的自适应安全设备管理器(ASDM)
编者按
PIX-515E-UR-BUN防火墙属于思科的PIX系列,具有经济高效,安装容易的特点,可以为用户提供多方面的攻击防御和安全连接服务,是组建高效安全网络的理想选择。
这款防火墙可对HTTP、FTP和ESMTP等进行深层检测,并可对流量等进行控制,为整个网络提供智能化的服务,管理起来非常方便。PIX-515E-UR-BUN可轻松的进行升级,保证用户的投资可以获得长久的回报。
推荐经销商:
