当一个企业决定用防火墙来实施组织的安全策略后,下一步要做的就是选择一个安全、实惠、合适的防火墙。选择防火墙时,要考虑以下几方面问题。
一、选择防火墙的要求
1防火墙应具备的基本功能
支持“除非明确允许,否则就禁止”的设计策略,即使这种策略不是最初使用的策略;本身支持安全策略,而不是添加上去的;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理,以便先进的认证手段就可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;
如果用户需要NNTP(网络消息传输协议),X window,HTTP和Gopher等服务,防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能,以减少SMTP服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问。防火墙应把信息服务器和其他内部服务器分开。
2其他功能
防火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。此外,为了使日志具有可读性,防火墙应具有精简日志的能力。如果防火墙使用UNIX操作系统,则应提供一个完全的UNIX操作系统和其他一些保证数据完整的工具,应该安装所有的操作系统的补丁程序。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。
防火墙的强度和正确性应该可被验证。防火墙的设计应该简单,以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。
正像前面提到的那样,因特网每时每刻都在发生着变化,新的易攻击点随时可能会产生。当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的适应性是很重要的。
二、购买还是自己构筑
一些企业具有自己组装防火墙的能力,他们使用可用的软件组件和设备或自己编写一个防火墙程序。另外一些企业利用经销商提供的防火墙技术服务,例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。
企业自己构筑防火墙的优势是内部人员了解防火墙设计的细节从而能够方便应用。但自制防火墙需要长时间的修建、记录文档和维护,费用较高。相比之下,从销售商那里购买防火墙是较为经济的。
企业决定是否构筑并成功地运行一个防火墙需要考虑如下问题:
防火墙应该怎样被测试?
怎么证明防火墙按需工作?
谁可以做日常的防火墙工作,如备份和修复?
谁会对防火墙进行升级更新,如安装新的代理服务器、补丁程序和其他的升级程序?
安全漏洞可以定期被更正吗?
谁会对用户进行技术支持和培训?
许多销售商不但提供安装服务,而且提供防火墙的维护,所以如果一个企业没有能力做上述之事,就应考虑使用销售商提供的服务。无论采用何种方法,公司都应把防火墙的维护看作一种极为重要的工作,尽可能在上面多花时间。在一些小公司中,做这项工作可能不需要一个专职的人员,但这项工作应比其他的工作更有优先权。
只有有效地维护一个防火墙,才能使它有效地工作。一个维护不当的防火墙可能会给人一种安全的假象,而实际上却存在着很多安全漏洞。安全策略应清楚地反应有效地进行防火墙维护的重要性。在公司的管理上应给予防火墙维护足够的支持,如优先提供人员、资金和其他必要的资源。
有了防火墙,也不能放松对站点的管理。事实上,如果一个防火墙被突破,一个管理不善的站点会倍受侵扰并遭受更严重的损失。一个防火墙的存在并不意味着可以减少对高素质管理的需求。一个防火墙可以让一个站点在系统维护上处于主动的位置,因为防火墙提供了一种屏障,所以人们就可以在系统维护上花更多的时间,而不是把大部分时间花在事故的处理上。
一个站点在防火墙的维护中应做以下工作:
标准化操作系统的版本和软件,以便安装补丁程序和安全修补程序;
应在全站点内开展有效的新程序和补丁程序的安装活动;
使用各种服务来帮助管理系统,如果一些服务可以带来更好的管理和更好的安全,那么使用这些服务;
对主机系统进行周期性的扫描检查,以发现配置上的错误和弱点,及时改正;
确保系统管理员和安全管理员可以及时地通信,对站点的安全问题做出警告。
三、进一步的建议
没有一个防火墙的设计能够适用于所有的环境,所以建议选择防火墙时,应根据站点的特点来选择合适的防火墙。如果站点是一个机密性机构,但对某些人提供入站的FTP服务,则需要有强大认证功能的防火墙。
另外,不要把防火墙的等级看得过重。在各种报纸杂志中的等级评选中,防火墙的速度占有很大的比重。如果站点通过T1线路或更慢的线路连接到因特网上,大多数防火墙的速度完全能满足站点的需要。
下面是选购一个防火墙时,应该考虑的其他因素:
网络受威胁的程度;
若入侵者闯入网络,将要受到的潜在的损失;
其他已经用来保护网络及其资源的安全措施;
由于硬或软件失效,或防火墙遭到“拒绝服务侵袭”,而导致用户不能访问因特网,造成的整个机构的损失;
机构所希望提供给因特网的服务,以及希望能从因特网得到的服务;可以同时通过防火墙的用户数目;
站点是否有经验丰富的管理员;
今后可能的要求,如要求增加通过防火墙的网络活动或要求新的因特网服务。
四、防火墙的局限
我们在利用防火墙的各种益处的同时也应该意识到防火墙的局限,有时防火墙会给人一种虚假的安全感,导致在防火墙内部放松安全警惕。而许多攻击正是内部犯罪,这是任何基于隔离的防范措施都无能为力的。同样,防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对用户的系统进行破坏。随着Java、JavaScript和ActiveX控件及其相应浏览器的推广,这一问题变得更加突出和尖锐。防火墙的另一个缺点是易用性不够,大多数产品还需要网络管理员手工建立。当然,这一问题马上会得到改观。
防火墙在当今Internet上的存在是有生命力的,但它不能替代墙内的安全措施,因此,它不是解决所有网络安全问题的功能较多药方,只是网络安全政策和策略中的一个组成部分。