鑑別硬體防火牆效能優劣的幾個標準(轉載)

leon830216發表於2015-01-31
有一些問題常令使用者困惑:在產品的功能上,各個廠商的描述十分雷同,一些“後起之秀”與知名品牌極其相似。面對這種情況,該如何鑑別?描述得十分類似的產品,即使是同一個功能,在具體實現上、在可用性和易用性上,個體差異也十分明顯。


  一、網路層的訪問控制


  所有防火牆都必須具備此項功能,否則就不能稱其為防火牆。當然,大多數的路由器也可以透過自身的ACL來實現此功能。


  1.規則編輯


  對網路層的訪問控制主要表現在防火牆的規則編輯上,我們一定要考察:對網路層的訪問控制是否可以透過規則表現出來?訪問控制的粒度是否足夠細?同樣一條規則,是否提供了不同時間段的控制手段?規則配置是否提供了友善的介面?是否可以很容易地體現網管的安全意志?


  2.IP/MAC地址繫結


  同樣是IP/MAC地址繫結功能,有一些細節必須考察,如防火牆能否實現IP地址和MAC地址的自動蒐集?對違反了IP/MAC地址繫結規則的訪問是否提供相應的報警機制?因為這些功能非常實用,如果防火牆不能提供IP地址和MAC地址的自動蒐集,網管可能被迫採取其他的手段獲得所管轄使用者的IP與MAC地址,這將是一件非常乏味的工作。


  3.NAT(網路地址轉換)


  這一原本路由器具備的功能已逐漸演變成防火牆的標準功能之一。但對此一項功能,各廠家實現的差異非常大,許多廠家實現NAT功能存在很大的問題:難於配置和使用,這將會給網管員帶來巨大的麻煩。我們必須學習NAT的工作原理,提高自身的網路知識水平,透過分析比較,找到一種在NAT配置和使用上簡單處理的防火牆。


  二、應用層的訪問控制


  這一功能是各個防火牆廠商的實力比拼點,也是最出彩的地方。因為很多基於免費


  作業系統實現的防火牆雖然可以具備狀態監測模組(因為Linux、FreeBSD等的核心模組已經支援狀態監測),但是對應用層的控制卻無法實現“拿來主義”,需要實實在在的程式設計。


  對應用層的控制上,在選擇防火牆時可以考察以下幾點。


  1.是否提供HTTP協議的內容過濾


  目前企業網路環境中,最主要的兩種應用是WWW訪問和收發電子郵件。能否對WWW訪問進行細粒度的控制反映了一個防火牆的技術實力。


  2.是否提供SMTP協議的內容過濾


  對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、洩漏機密資訊等等,能否提供基於SMTP協議的內容過濾以及過濾的粒度粗細成了使用者關注的焦點。


  3.是否提供FTP協議的內容過濾


  在考察這一功能時一定要細心加小心,很多廠家的防火牆都宣傳說具備FTP的內容過濾,但細心對比就會發現,其中絕大多數僅實現了FTP協議中兩個命令的控制:PUT和GET。好的防火牆應該可以對FTP其他所有的命令進行控制,包括CD、LS等,要提供基於命令級控制,實現對目錄和檔案的訪問控制,全部過濾均支援萬用字元。


  三、管理和認證


  這是防火牆非常重要的功能。目前,防火牆管理分為基於WEB介面的WUI管理方式、基於圖形使用者介面的GUI管理方式和基於命令列CLI的管理方式。


  各種管理方式中,基於命令列的CLI方式最不適合防火牆。


  WUI和GUI的管理方式各有優缺點


  WUI的管理方式簡單,不用專門的管理軟體,只要配備瀏覽器就行;同時,WUI的管理介面非常適合遠端管理,只要防火牆配置一個可達的IP,可實現在美國管理位於中國分公司的防火牆。


  WUI形式的防火牆也有缺點:首先,WEB介面非常不適合進行復雜、動態的頁面顯示,一般的WUI介面很難顯示豐富的統計圖表,所以對於


  審計、統計功能要求比較苛刻的使用者,儘量不要選擇WUI方式;另外,它將導致防火牆管理安全威脅增大,如果使用者在家裡透過瀏覽器管理位於公司的防火牆,信任關係僅僅依賴於一個簡單的使用者名稱和口令,駭客很容易猜測到口令,這增加了安全威脅。


  GUI是目前絕大多數防火牆普遍採用的方式。這種方式的特點是專業,可以提供豐富的管理功能,便於管理員對防火牆進行配置。但缺點是需要專門的管理端軟體,同時在遠端和集中管理方面沒有WUI管理方式靈活。


  四、審計和日誌以及儲存方式


  目前絕大多數防火牆都提供了審計和日誌功能,區別是審計的粒度粗細不同、日誌的儲存方式和儲存量不同。


  很多防火牆的審計和日誌功能很弱,這一點在那些以DOM、DOC等電子盤(並且不提供網路資料庫支援)為儲存介質的防火牆中體現得尤為明顯,有些甚至沒有區分事件日誌和訪問日誌。如果需要豐富的審計和日誌功能,就需要考察防火牆的儲存方式,如果是DOM、DOC等Flash電子盤的儲存方式,將可能限制審計和日誌的功能效果。


  目前絕大多數防火牆審計日誌採用硬碟儲存的方式,這種方式的優點是可以儲存大量的日誌(幾個G到幾十個G),但是在某些極端的情況下,如異常掉電,硬碟受到的損壞往往要比電子盤的損壞嚴重。


  好的防火牆應該提供多種儲存方式,便於使用者靈活選擇和使用。


  五、如何區分包過濾和狀態監測


  一些小公司為了推銷自己的防火牆產品,往往宣稱採用的是狀態監測技術; 從表面上看,我們往往容易被迷惑。這裡給出區分這兩種技術的小技巧。


  1.是否提供實時連線狀態檢視


  狀態監測防火牆可以提供檢視當前連線狀態的功能和介面,並且可以實時斷掉當前連線,這個連線應該具有豐富的資訊,包括連線雙方的IP、埠、連線狀態、連線時間等等,而簡單包過濾卻不具備這項功能。


  2.是否具備動態規則庫


  某些應用協議不僅僅使用一個連線和一個埠,往往透過一系列相關聯的連線完成一個應用層的操作。比如FTP協議,使用者命令是透過對21埠的連線傳輸,而資料則透過另一個臨時建立的連線(預設的源埠是20,在PASSIVE模式下則是臨時分配的埠)傳輸。對於這樣的應用,包過濾防火牆很難簡單設定一條安全規則,往往不得不開放所有源埠為20的訪問。


  狀態監測防火牆則可以支援動態規則,透過跟蹤應用層會話的過程自動允許合法的連線進入,禁止其他不符合會話狀態的連線請求。


  對於FTP來說,只需防火牆中設定一條對21埠的訪問規則,就可以保證FTP傳輸的正常,包括PASSIVE方式的資料傳輸。這一功能不僅使規則更加簡單,同時消除了必須開放所有20埠的危險。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/22558114/viewspace-1422280/,如需轉載,請註明出處,否則將追究法律責任。

相關文章