防火墙采购计划的四点建议

80酷酷网    80kuku.com

  

  防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。如何选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。用户在选购时,应主要从以下五个方面仔细分析和比较。

  第一 投资保护

  考查开发商实力

  随着安全技术的快速发展,防火墙软硬件需要经常升级和维护,因此,厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性,在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史、该产品的销售纪录,并通过多种渠道了解产品的应用状况。

  考查产品认证

  通过了某种认证,意味着该产品通过了相应的检测。在选择产品时,要注意检查所购产品通过了哪些认证,而且在可能的情况下,要向厂商索取测试文档,以便确切了解产品的各项指标,作为产品选型的依据。目前主要的认证有四种:中国信息安全产品测评认证中心的认证(针对企业应用)、国家保密局测评认证中心的认证(针对政府涉密网应用)、公安部计算机信息安全产品质量监督检验中心(获得销售许可)以及中国人民解放军信息安全测评认证中心(针对军队使用)。

  考查厂商服务

  防火墙的合理配置和使用是防火墙能够发挥预定作用的关键所在,因此厂商的培训和服务支持,尤其是售后的培训和升级服务非常重要。在购买产品前,不仅要询问厂商是否具备技术支持电话和网上在线支持,是否能对产品的安装、配置及使用予以明确指导,更为重要的是考察厂商的快速响应能力:一旦使用中遇到用户解决不了的问题或故障时,厂商能否及时响应、快速解决问题。

  考查与其他产品的互融和开放性

  网络安全不是一两个厂商的一两个产品就能解决的问题,因此,如何保证网络中的多个安全产品能够很好地共融、联动、集成,就成为保护用户投资的非常重要的因素。在产品选型时,需要考察该产品能够与哪些厂商的哪些产品实现联动和集成,是否对其他厂商开放应用接口,是否加入开放性的安全联盟,如OPSEC、TOPSEC等。

  第二 产品功能

  确定所需类型

  按工作机制的不同,防火墙可分为包过滤型、服务代理型以及复合型防火墙。从适用对象来划分,可分为企业级防火墙与个人防火墙。同时,按平台的不同,防火墙产品可以分为软件防火墙和硬件防火墙。由于这两种类型的防火墙在不同的方面各有优势,用户在选购的时候还是需要根据自己的需求考虑,在这里只作简单的对比。

  包过滤

  用户在选购时,应该分析所选产品的规则框架,考察其访问控制的粒度是否足够细;对于同样一条规则,是否提供了不同时间段的控制手段;规则配置是否提供了友善的界面;是否可以很容易地体现网管的安全意志。

  软件防火墙和硬件防火墙比较

  

衡量指标软件防火墙硬件防火墙
安装较复杂简单
安全性较高
性能依赖硬件平台
管理简单较复杂
维护费用
扩展性
配置灵活性
价格

  应用代理

  一般来说,针对HTTP协议、POP3/SMTP协议、FTP协议、TELNET协议的过滤和过滤粒度是选择该产品最为重要的指标,同时也是每一款代理型防火墙都必须具备的功能。好的防火墙应可支持基于时间的访问控制功能。另外,有些防火墙还可支持内容过滤,安全级别较高的防火墙还可根据主机IP地址或用户名控制访问信息的最大流量。

  安全管理

  用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,所以安全管理是选购时需要关注的重点环节。 安全审计功能

  安全审计是防火墙的一个十分重要的功能,它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。

  第三 产品性能

  作为影响网络性能的瓶颈,防火墙性能是用户在选购时必须重点考察的指标。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率,通常将它作为衡量防火墙性能的最重要的指标,我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。对性能的考察需要专业的测试,用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面,更为重要的还是权威测评机构出具的性能测试报告。

  第四 安全性

  防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,故其自身的安全性十分重要。防火墙自身的安全性主要体现在自身设计和管理两个方面。

  支撑平台

  因此,在选购时应考察防火墙的支撑平台,一般来说,防火墙至少应构建于安全操作系统之上,有些产品采用的专用操作系统甚至是专用的硬件平台,其安全性可以得到更好的保证。

  抗攻击性

  防火墙因为是网络中名副其实的众矢之的,所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击:拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击、抗扫描。

  防火墙自身的安全

  为了防止冒用,防火墙应该采取密码、电子钥匙等设置,并采用强用户认证机制。即管理员必须通过双因子认证,才能登录,对配置和访问权限进行修改。同时,管理主机与防火墙之间的通信一般采用加密传输。好的防火墙会具有双机备份功能,在实现上不应存在高中风险的安全漏洞。这一点,用户可以参照权威测试部门的测试报告。

  防火墙采购一览表

  

  基本信息

  配置

  功能

  报警

  公司名称

  产品名称

  产品类型

  并发连接数

  接口类型

  最大lan接口数

  支持的非ip协议

  内置ids

  内置vpn

  支持nat

  查杀病毒

  内容过滤

  联动

  远程管理

  带宽管理

  自动报表

  警告通知机制

  提供简要报表

  提供实时统计

  soho防火墙

  check point

  soho

  防火墙

  硬件

  快速以太网

  4

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  实时告警

  支持

  支持

  百兆防火墙

  3com

  super

  stack 3

  硬件

  30k

  快速以太网

  3

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  ca

  etrust firewall

  软件

  无限制

  以太网

  无限制

  支持

  支持

  支持

  支持

  e-mail、snmp、传真等

  支持

  支持

  check point

  企业级

  防火墙

  软硬结合

  1.5m

  快速以太网等

  无限制

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  d-link

  dfl-2000

  硬件

  150k

  快速以太网

  3

  支持

  支持

  支持

  支持

  支持

  e-mail、snmp、

  声音提示

  支持

  支持

  netgear

  fvs318

  硬件

  10k

  快速以太网

  8

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  e-maill、实时报警

  支持

  支持

  netscreen

  netscr

  een-200

  硬件

  128k

  快速以太网

  8

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  snmp、e-mail、global pro

  支持

  nokia

  ip30

  硬件

  快速以太网

  1+4

  支持

  支持

  支持

  支持

  支持

  管理界面报警

  支持

  symantec

  veloci

  raptor

  硬件

  500k

  快速以太网等

  4

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  e-mail、snmp

  、告

  警灯等

  支持

  支持

  阿姆瑞特

  f300

  硬件

  300k

  快速以太网

  5

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  安软

  ever

  link

  软件

  26535

  快速以太网、modem

  2

  支持

  支持

  支持

  支持

  图标闪烁、消息报警

  支持

  支持

  安氏

  link

  trust cybe

  rwall

  -100

  硬件

  200k

  快速以太网

  4

  ipx、net

  beui

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  东软

  neteye

  fw 4032

  软硬结合

  32k

  快速以太网

  8

  所有的以太网协议

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  蜂鸣、邮件、snmp

  支持

  支持

  方正

  方通2000

  硬件

  100k

  快速以太网、串口

  1

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  冠群金辰

  secue100

  硬件

  60k

  快速以太网

  3

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  e-mail

  支持

  支持

  联想

  网御2000

  百兆防

  火墙

  硬件

  300k

  快速以太网

  6

  ipx、net

  beui

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  清华得实

  netst

  1000

  硬件

  50k

  rj-45

  3

  ipx

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  在线报警

  支持

  支持

  瑞星

  瑞星企

  业级防

  火墙

  硬件

  50k

  以太网

  3

  支持

  支持

  支持

  支持

  支持

  支持

  e-mail

  支持

  支持

  三星

  secuiw

  all100c

  软硬结合

  100k

  rj-45

  5

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  e-mail、短信等

  支持

  支持

  上广电应确信

  u-trust sf300

  硬件

  128k

  快速以太网

  3

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  苏富特 

  soft

  wall

  硬件

  300k

  以太网 

  8

  ipx

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  天融信

  ngfw

  4000

  硬件

  500k

  以太网

  12

  ipx、net

  beui

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  千兆防火墙

  check point

  千兆

  防火墙

  软硬结合

  1.5m

  千兆以太网

  无限制

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  netscreen

  netsc

  reen-

  5000

  硬件

  1m

  快速以太网、ge

  72+6

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  snmp、e-mail、global pro

  支持

  nokia

  ip740

  硬件

  1m

  快速/千兆以太网等

  6+20

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  e-mail、报警、snmp等

  支持

  支持

  sonicwall

  gx 650

  硬件

  500k

  千兆以太网

  3+2

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  stonesoft

  stone

  gate

  软件

  1m

  千兆以太网

  无限制

  icmp

  支持

  支持

  支持

  支持

  e-mail、snmp、对话框等

  支持

  支持

  阿姆瑞特

  f600+

  硬件

  300k

  快速/千兆以太网

  2

  支持

  支持

  支持

  支持

  支持

  支持

  安氏

  link

  trust cyber

  wall

  -1000

  硬件

  1m

  快速/千兆以太网等

  3+12

  ipx、net

  beui

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  冠群金辰

  secue

  2000

  硬件

  500k

  gbic、gb、以太网

  4

  支持

  支持

  支持

  支持

  支持

  支持

  e-mail

  支持

  支持

  联想

  网御2000千兆防火墙

  硬件

  500k

  千兆以太网

  3

  ipx、net

  beui等

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  清华得实

  nets

  t5000

  硬件

  500k

  千兆以太网

  8

  ipx

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  在线报警

  支持

  支持

  天网

  天网防火墙

  硬件

  500k

  rj-45

  6

  常见协议

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持

  支持



分享到
  • 微信分享
  • 新浪微博
  • QQ好友
  • QQ空间
点击: