鑑別硬體防火牆效能優劣的幾個標準(轉載)
有一些問題常令使用者困惑:在產品的功能上,各個廠商的描述十分雷同,一些“後起之秀”與知名品牌極其相似。面對這種情況,該如何鑑別?描述得十分類似的產品,即使是同一個功能,在具體實現上、在可用性和易用性上,個體差異也十分明顯。
一、網路層的訪問控制
所有防火牆都必須具備此項功能,否則就不能稱其為防火牆。當然,大多數的路由器也可以透過自身的ACL來實現此功能。
1.規則編輯
對網路層的訪問控制主要表現在防火牆的規則編輯上,我們一定要考察:對網路層的訪問控制是否可以透過規則表現出來?訪問控制的粒度是否足夠細?同樣一條規則,是否提供了不同時間段的控制手段?規則配置是否提供了友善的介面?是否可以很容易地體現網管的安全意志?
2.IP/MAC地址繫結
同樣是IP/MAC地址繫結功能,有一些細節必須考察,如防火牆能否實現IP地址和MAC地址的自動蒐集?對違反了IP/MAC地址繫結規則的訪問是否提供相應的報警機制?因為這些功能非常實用,如果防火牆不能提供IP地址和MAC地址的自動蒐集,網管可能被迫採取其他的手段獲得所管轄使用者的IP與MAC地址,這將是一件非常乏味的工作。
3.NAT(網路地址轉換)
這一原本路由器具備的功能已逐漸演變成防火牆的標準功能之一。但對此一項功能,各廠家實現的差異非常大,許多廠家實現NAT功能存在很大的問題:難於配置和使用,這將會給網管員帶來巨大的麻煩。我們必須學習NAT的工作原理,提高自身的網路知識水平,透過分析比較,找到一種在NAT配置和使用上簡單處理的防火牆。
二、應用層的訪問控制
這一功能是各個防火牆廠商的實力比拼點,也是最出彩的地方。因為很多基於免費
作業系統實現的防火牆雖然可以具備狀態監測模組(因為Linux、FreeBSD等的核心模組已經支援狀態監測),但是對應用層的控制卻無法實現“拿來主義”,需要實實在在的程式設計。
對應用層的控制上,在選擇防火牆時可以考察以下幾點。
1.是否提供HTTP協議的內容過濾
目前企業網路環境中,最主要的兩種應用是WWW訪問和收發電子郵件。能否對WWW訪問進行細粒度的控制反映了一個防火牆的技術實力。
2.是否提供SMTP協議的內容過濾
對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、洩漏機密資訊等等,能否提供基於SMTP協議的內容過濾以及過濾的粒度粗細成了使用者關注的焦點。
3.是否提供FTP協議的內容過濾
在考察這一功能時一定要細心加小心,很多廠家的防火牆都宣傳說具備FTP的內容過濾,但細心對比就會發現,其中絕大多數僅實現了FTP協議中兩個命令的控制:PUT和GET。好的防火牆應該可以對FTP其他所有的命令進行控制,包括CD、LS等,要提供基於命令級控制,實現對目錄和檔案的訪問控制,全部過濾均支援萬用字元。
三、管理和認證
這是防火牆非常重要的功能。目前,防火牆管理分為基於WEB介面的WUI管理方式、基於圖形使用者介面的GUI管理方式和基於命令列CLI的管理方式。
各種管理方式中,基於命令列的CLI方式最不適合防火牆。
WUI和GUI的管理方式各有優缺點
WUI的管理方式簡單,不用專門的管理軟體,只要配備瀏覽器就行;同時,WUI的管理介面非常適合遠端管理,只要防火牆配置一個可達的IP,可實現在美國管理位於中國分公司的防火牆。
WUI形式的防火牆也有缺點:首先,WEB介面非常不適合進行復雜、動態的頁面顯示,一般的WUI介面很難顯示豐富的統計圖表,所以對於
審計、統計功能要求比較苛刻的使用者,儘量不要選擇WUI方式;另外,它將導致防火牆管理安全威脅增大,如果使用者在家裡透過瀏覽器管理位於公司的防火牆,信任關係僅僅依賴於一個簡單的使用者名稱和口令,駭客很容易猜測到口令,這增加了安全威脅。
GUI是目前絕大多數防火牆普遍採用的方式。這種方式的特點是專業,可以提供豐富的管理功能,便於管理員對防火牆進行配置。但缺點是需要專門的管理端軟體,同時在遠端和集中管理方面沒有WUI管理方式靈活。
四、審計和日誌以及儲存方式
目前絕大多數防火牆都提供了審計和日誌功能,區別是審計的粒度粗細不同、日誌的儲存方式和儲存量不同。
很多防火牆的審計和日誌功能很弱,這一點在那些以DOM、DOC等電子盤(並且不提供網路資料庫支援)為儲存介質的防火牆中體現得尤為明顯,有些甚至沒有區分事件日誌和訪問日誌。如果需要豐富的審計和日誌功能,就需要考察防火牆的儲存方式,如果是DOM、DOC等Flash電子盤的儲存方式,將可能限制審計和日誌的功能效果。
目前絕大多數防火牆審計日誌採用硬碟儲存的方式,這種方式的優點是可以儲存大量的日誌(幾個G到幾十個G),但是在某些極端的情況下,如異常掉電,硬碟受到的損壞往往要比電子盤的損壞嚴重。
好的防火牆應該提供多種儲存方式,便於使用者靈活選擇和使用。
五、如何區分包過濾和狀態監測
一些小公司為了推銷自己的防火牆產品,往往宣稱採用的是狀態監測技術; 從表面上看,我們往往容易被迷惑。這裡給出區分這兩種技術的小技巧。
1.是否提供實時連線狀態檢視
狀態監測防火牆可以提供檢視當前連線狀態的功能和介面,並且可以實時斷掉當前連線,這個連線應該具有豐富的資訊,包括連線雙方的IP、埠、連線狀態、連線時間等等,而簡單包過濾卻不具備這項功能。
2.是否具備動態規則庫
某些應用協議不僅僅使用一個連線和一個埠,往往透過一系列相關聯的連線完成一個應用層的操作。比如FTP協議,使用者命令是透過對21埠的連線傳輸,而資料則透過另一個臨時建立的連線(預設的源埠是20,在PASSIVE模式下則是臨時分配的埠)傳輸。對於這樣的應用,包過濾防火牆很難簡單設定一條安全規則,往往不得不開放所有源埠為20的訪問。
狀態監測防火牆則可以支援動態規則,透過跟蹤應用層會話的過程自動允許合法的連線進入,禁止其他不符合會話狀態的連線請求。
對於FTP來說,只需防火牆中設定一條對21埠的訪問規則,就可以保證FTP傳輸的正常,包括PASSIVE方式的資料傳輸。這一功能不僅使規則更加簡單,同時消除了必須開放所有20埠的危險。
一、網路層的訪問控制
所有防火牆都必須具備此項功能,否則就不能稱其為防火牆。當然,大多數的路由器也可以透過自身的ACL來實現此功能。
1.規則編輯
對網路層的訪問控制主要表現在防火牆的規則編輯上,我們一定要考察:對網路層的訪問控制是否可以透過規則表現出來?訪問控制的粒度是否足夠細?同樣一條規則,是否提供了不同時間段的控制手段?規則配置是否提供了友善的介面?是否可以很容易地體現網管的安全意志?
2.IP/MAC地址繫結
同樣是IP/MAC地址繫結功能,有一些細節必須考察,如防火牆能否實現IP地址和MAC地址的自動蒐集?對違反了IP/MAC地址繫結規則的訪問是否提供相應的報警機制?因為這些功能非常實用,如果防火牆不能提供IP地址和MAC地址的自動蒐集,網管可能被迫採取其他的手段獲得所管轄使用者的IP與MAC地址,這將是一件非常乏味的工作。
3.NAT(網路地址轉換)
這一原本路由器具備的功能已逐漸演變成防火牆的標準功能之一。但對此一項功能,各廠家實現的差異非常大,許多廠家實現NAT功能存在很大的問題:難於配置和使用,這將會給網管員帶來巨大的麻煩。我們必須學習NAT的工作原理,提高自身的網路知識水平,透過分析比較,找到一種在NAT配置和使用上簡單處理的防火牆。
二、應用層的訪問控制
這一功能是各個防火牆廠商的實力比拼點,也是最出彩的地方。因為很多基於免費
作業系統實現的防火牆雖然可以具備狀態監測模組(因為Linux、FreeBSD等的核心模組已經支援狀態監測),但是對應用層的控制卻無法實現“拿來主義”,需要實實在在的程式設計。
對應用層的控制上,在選擇防火牆時可以考察以下幾點。
1.是否提供HTTP協議的內容過濾
目前企業網路環境中,最主要的兩種應用是WWW訪問和收發電子郵件。能否對WWW訪問進行細粒度的控制反映了一個防火牆的技術實力。
2.是否提供SMTP協議的內容過濾
對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、洩漏機密資訊等等,能否提供基於SMTP協議的內容過濾以及過濾的粒度粗細成了使用者關注的焦點。
3.是否提供FTP協議的內容過濾
在考察這一功能時一定要細心加小心,很多廠家的防火牆都宣傳說具備FTP的內容過濾,但細心對比就會發現,其中絕大多數僅實現了FTP協議中兩個命令的控制:PUT和GET。好的防火牆應該可以對FTP其他所有的命令進行控制,包括CD、LS等,要提供基於命令級控制,實現對目錄和檔案的訪問控制,全部過濾均支援萬用字元。
三、管理和認證
這是防火牆非常重要的功能。目前,防火牆管理分為基於WEB介面的WUI管理方式、基於圖形使用者介面的GUI管理方式和基於命令列CLI的管理方式。
各種管理方式中,基於命令列的CLI方式最不適合防火牆。
WUI和GUI的管理方式各有優缺點
WUI的管理方式簡單,不用專門的管理軟體,只要配備瀏覽器就行;同時,WUI的管理介面非常適合遠端管理,只要防火牆配置一個可達的IP,可實現在美國管理位於中國分公司的防火牆。
WUI形式的防火牆也有缺點:首先,WEB介面非常不適合進行復雜、動態的頁面顯示,一般的WUI介面很難顯示豐富的統計圖表,所以對於
審計、統計功能要求比較苛刻的使用者,儘量不要選擇WUI方式;另外,它將導致防火牆管理安全威脅增大,如果使用者在家裡透過瀏覽器管理位於公司的防火牆,信任關係僅僅依賴於一個簡單的使用者名稱和口令,駭客很容易猜測到口令,這增加了安全威脅。
GUI是目前絕大多數防火牆普遍採用的方式。這種方式的特點是專業,可以提供豐富的管理功能,便於管理員對防火牆進行配置。但缺點是需要專門的管理端軟體,同時在遠端和集中管理方面沒有WUI管理方式靈活。
四、審計和日誌以及儲存方式
目前絕大多數防火牆都提供了審計和日誌功能,區別是審計的粒度粗細不同、日誌的儲存方式和儲存量不同。
很多防火牆的審計和日誌功能很弱,這一點在那些以DOM、DOC等電子盤(並且不提供網路資料庫支援)為儲存介質的防火牆中體現得尤為明顯,有些甚至沒有區分事件日誌和訪問日誌。如果需要豐富的審計和日誌功能,就需要考察防火牆的儲存方式,如果是DOM、DOC等Flash電子盤的儲存方式,將可能限制審計和日誌的功能效果。
目前絕大多數防火牆審計日誌採用硬碟儲存的方式,這種方式的優點是可以儲存大量的日誌(幾個G到幾十個G),但是在某些極端的情況下,如異常掉電,硬碟受到的損壞往往要比電子盤的損壞嚴重。
好的防火牆應該提供多種儲存方式,便於使用者靈活選擇和使用。
五、如何區分包過濾和狀態監測
一些小公司為了推銷自己的防火牆產品,往往宣稱採用的是狀態監測技術; 從表面上看,我們往往容易被迷惑。這裡給出區分這兩種技術的小技巧。
1.是否提供實時連線狀態檢視
狀態監測防火牆可以提供檢視當前連線狀態的功能和介面,並且可以實時斷掉當前連線,這個連線應該具有豐富的資訊,包括連線雙方的IP、埠、連線狀態、連線時間等等,而簡單包過濾卻不具備這項功能。
2.是否具備動態規則庫
某些應用協議不僅僅使用一個連線和一個埠,往往透過一系列相關聯的連線完成一個應用層的操作。比如FTP協議,使用者命令是透過對21埠的連線傳輸,而資料則透過另一個臨時建立的連線(預設的源埠是20,在PASSIVE模式下則是臨時分配的埠)傳輸。對於這樣的應用,包過濾防火牆很難簡單設定一條安全規則,往往不得不開放所有源埠為20的訪問。
狀態監測防火牆則可以支援動態規則,透過跟蹤應用層會話的過程自動允許合法的連線進入,禁止其他不符合會話狀態的連線請求。
對於FTP來說,只需防火牆中設定一條對21埠的訪問規則,就可以保證FTP傳輸的正常,包括PASSIVE方式的資料傳輸。這一功能不僅使規則更加簡單,同時消除了必須開放所有20埠的危險。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/22558114/viewspace-1422280/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 硬體防火牆選購指南(轉載)防火牆
- 看不懂的硬體防火牆(轉)防火牆
- 軟體防火牆與硬體防火牆詳解防火牆
- 選擇硬體防火牆應注意的幾點事宜防火牆
- 企業選擇硬體防火牆的一點建議(轉載)防火牆
- 防火牆埠(下)(轉載)防火牆
- 防火牆埠(中)(轉載)防火牆
- 防火牆埠(上)(轉載)防火牆
- 選購防火牆時需要關注的5個效能(轉)防火牆
- 防火牆、UTM產品硬體平臺架構詳細解析(轉)防火牆架構
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 硬體防火牆的技術演變及發展趨勢防火牆
- 透過對TOS的最佳化來提高防火牆的整體效能(轉)防火牆
- docker vm 效能優劣Docker
- 防火牆應具備的17個特性(轉)防火牆
- 轉載: 總結:oracle穿過防火牆的問題Oracle防火牆
- 最多 200 美元,黑客就能用微型晶片破解硬體防火牆黑客晶片防火牆
- ORACLE標準版與企業版的差別(轉載)Oracle
- 國內二代防火牆標準釋出引領安全大潮防火牆
- 利聯科技:高防伺服器的機房硬體防火牆型別和主要功能伺服器防火牆型別
- 選用單防火牆DMZ還是雙防火牆DMZ(轉)防火牆
- 效能調優學習之硬體調優
- 安全網路防火牆的十二個注意事項(轉)防火牆
- 肖sir___效能之nmon(效能硬體指標)指標
- 優秀的mac防火牆工具:Scudo for MacMac防火牆
- CSS效能優化的幾個技巧CSS優化
- Juniper防火牆簡介(轉)防火牆
- 防火牆介紹(1)(轉)防火牆
- 防火牆介紹(2)(轉)防火牆
- 動態 iptables 防火牆(轉)防火牆
- NAT iptables防火牆(script)(轉)防火牆
- 防火牆軟體:Snail for mac防火牆AIMac
- 開源的firewall(防火牆) SINUS (轉)防火牆
- 淺析Windows防火牆的缺陷(轉)Windows防火牆
- 防火牆三大體系架構前景分析(轉)防火牆架構
- 八種防火牆產品評測(企業級防火牆)(轉)防火牆
- 軟體防火牆引起的問題防火牆
- 建立防火牆的主動性網路安全體系(轉)防火牆