如何鉴别硬件防火墙的好坏

1、如何鉴别防火墙的实际功能差异 有一些问题常令用户困惑： 在产品的功能上，各个厂商的描述十分雷同，一些 “后起之秀 ”与知名品牌 极其相似。面对这种情况，该如何鉴别？ 描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和 易用性上，个体差异地十分明显。 一、网络层的访问控制 所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多 数的路由器也可以通过自身的 ACL来实现此功能。 1、规则编辑 对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察： 对网络层的访问控制是否可以通过规则表现出来？访问控制的粒度是否足 够细？同样一条规则，是否提供了不同时间段的控制手段？

2、规则配置是否提供 了友善的界面？是否可以很容易地体现网管的安全意志？ 2、IP/MAC地址绑定 同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP 地址和MAC地址的自动搜集？对违反了 IP/MAC地址绑定规则的访问是否提供 相应的报警机制？因为这些功能非常实用，如果防火墙不能提供IP地址和MAC 地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地 址，这将是一件非常乏味的工作。 3、NAT（网络地址转换） 这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此 一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问 题： 难

3、于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习 NAT 的 工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT 配置和 使用上简单处理的防火墙。 二、应用层的访问控制 这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多 基于免费操作系统实现的防火墙虽然可以具备状态监测模块（因为Linux、 FreeBSD等的内核模块已经支持状态监测），但是对应用层的控制却无法实现 “拿来主义 ”，需要实实在在的编程。 对应用层的控制上，在选择防火墙时可以考察以下几点。 1、是否提供HTTP协议的内容过滤？ 目前企业网络环境中，最主要的两种应用是 WWW 访问和收发电子邮件

4、。 能否对 WWW 访问进行细粒度的控制反映了一个防火墙的技术实力。 2、是否提供SMTP协议的内容过滤？ 对电子邮件的攻击越来越多： 邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内 容过滤以及过滤的粒度粗细成了用户关注的焦点。 3、是否提供FTP协议的内容过滤？ 在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备 FTP 的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命 令的控制： PUT禾口 GET 好的防火墙应该可以对FTP其他所有的命令进行控制，包括 CD LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部 过滤均支持通

5、配符。 三、管理和认证 这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI 管理方式、基于图形用户界面的 GUI管理方式和基于命令行CLI的管理方式。 各种管理方式中，基于命令行的 CLI方式最不适合防火墙。 WUI 和 GUI 的管理方式各有优缺点。 WUI 的管理方式简单，不用专门的管理软件，只要配备浏览器就行；同 时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP,可实 现在美国管理位于中国分公司的防火墙。 WUI 形式的防火墙也有缺点： 首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的 WUI界面 很难显示丰富的统计图表,所以对于审计、统计功

6、能要求比较苛刻的用户,尽 量不要选择 WUI 方式；另外,它将导致防火墙管理安全威胁增大,如果用户在 家里通过浏览器管理位于公司的防火墙,信任关系仅仅依赖于一个简单的用户 名和口令,黑客很容易猜测到口令,这增加了安全威胁。 GUI 是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业,可以 提供丰富的管理功能,便于管理员对防火墙进行配置。但缺点是需要专门的管 理端软件,同时在远程和集中管理方面没有 WUI 管理方式灵活。 四、审计和 xx 以及存储方式 目前绝大多数防火墙都提供了审计和日志功能,区别是审计的粒度粗细不 同、日志的存储方式和存储量不同。 很多防火墙的审计和日志功能很弱，这一点

7、在那些以DOM、DOC等电子盘 （并且不提供网络数据库支持）为存储介质的防火墙中体现得尤为明显,有些 甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能,就需要 考察防火墙的存储方式，如果是 DOM、DOC等Flash电子盘的存储方式，将可 能限制审计和日志的功能效果。 目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可 以存储大量的日志（几个 G到几十个G）,但是在某些极端的情况下，如异常 掉电，硬盘受到的损坏往往要比电子盘的损坏严重。 好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。 五、如何区分包过滤和状态监测 一些小公司为了推销自己的防火墙产品，往往宣称

8、采用的是状态监测技术 ; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。 1、是否提供实时连接状态查看？ 状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时 断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连 接状态、连接时间等等，而简单包过滤却不具备这项功能。 2、是否具备动态规则库？ 某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的 连接完成一个应用层的操作。比如 FTPW、议，用户命令是通过对21端口的连接 传输，而数据则通过另一个临时建立的连接（缺省的源端口是20，在 PASSIVE 模式下则是临时分配的端口）传输。

9、对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不 开放所有源端口为 20 的访问。 状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允 许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只 需防火墙中设定一条对21端口的访问规则，就可以保证 FTP传输的正常，包括 PASSIVES式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放 所有 20端口的危险。 【分享】防火墙的好坏的（专业）标准呵呵 -大家可以看看 move防火墙的好坏的（专业）标准呵呵-大家可以看看/move 防火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信

10、 主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报 警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏 感位置，自身还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防 火墙产品，其重要性不言而喻。 、/. I -，G ： 注意一： 防火墙自身是否安全 防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性 关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的 安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的 安全实现也直接影响整体系统的安全性。防火墙安全指标最终可归结为以下两 个问题： 1.防火墙是否基于安

11、全（甚至是专用）的操作系统； 2.防火墙是否采用专用的硬件平台。只有基于安全（甚至是专用）的操作系 统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。 注意二： 系统是否稳定 就一个成熟的产品来说,系统的稳定性是最基本的要求。目前，由于种种原 ,但 因，国内有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，这 样一来其稳定性就可想而知了。相信没有一个网管人员愿意把自己的网络作为 防火墙的测试平台。防火墙的稳定性情况从厂家的宣传材料中是看不出来的 可以从以下几个渠道获得： 1.国家权威的测评认证机构,如公安部计算机安全产品检测中心和中国国家 信息安全测评认证中心。 2.与其它产品相

12、比，是否获得更多的国家权威机构的认证、推荐和入网证明 （书）。 4. 自己试用，先在自己的网络上进行一段时间的试用（一个月左右），如果 在试用期间时常有宕机现象的话，这种产品就可以完全不用考虑了。 5. 厂商开发研制的历史，这也是一个重要指标，通过以往的经验，一般来 说，如果没有两年以上的开发经历恐怕难保产品的稳定性。 6. 厂商的实力，这一点也应该着重考虑，如资金、技术开发人员、市场销售 人员和技术支持人员多少等等。相信一家注册资金几百万。人员不过二三十人 的公司是不可能保证产品的稳定性的。 、/. I -，G ：， 亠 注意三： 是否高效 高性能是防火墙的一个重要指标，它直接体现了防火墙的

13、可用性，也体现 了用户使用防火墙所需付出的安全代价。如果由于使用防火墙而带来了网络性 能较大幅度地下降的话，就意味着安全代价过高，用户是无法接受的。一般来 说，防火墙加载上百条规则，其性能下降不应超过 5（指包过滤防火墙）。支 持多少个连接也可以计算出一个指标，虽然这并不能完全定义或控制。 注意 四： 是否可靠 可靠性对防火墙类访问控制设备来说尤为重要，其直接影响受控网络的可 用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大 设计阈值和增加冗余部件，这要求有较高的生产标准和设计冗余度，如使用工 业标准、电源热备份、系统热备份等。 注意五： 功能是否灵活 对通信行为的有效控制

14、，要求防火墙设备有一系列不同级别，满足不同用 户的各类安全控制需求的控制注意。控制注意的有效性、多样性、级别目标的 清晰性、制定的难易性和经济性等，体现着控制注意的高效和质量。例如对普 通用户，只要对 IP 地址进行过滤即可；如果是内部有不同安全级别的子网，有 时则必须允许高级别子网对低级别子网进行单向访问；如果还有移动用户如出 差人员的话，还要求能根据用户身份进行过滤。 注意六： 配置是否方便 在网络入口和出口处安装新的网络设备是每个网管员的恶梦 ,因为这意味着 必须修改几乎全部现有设备的配置 ,还得面对由于运行不稳定而遭至的铺天盖地 的责难。其实有时并不是设备有问题 ,而是网络经过长期运行

15、后，内部情况极端 复杂，做任何改动都需要一段整合期。 防火墙有没有比较简洁的安装方法呢？有！那就是支持透明通信的防火 墙，它依旧接在网络的入口和出口处 ,但是在安装时不需要对原网络配置做任何 改动，所做的工作只相当于接一个网桥或 Hub。需要时,两端一连线就可以工 作；不需要时，将网线恢复原状即可。 目前市场上支持透明方式的防火墙较多 ,在选购时需要仔细鉴别。大多数防 火墙只能工作于透明方式或网关方式，只有极少数防火墙可以工作于混合模式 即可以同时作为网关和网桥，后一种防火墙在使用时显然具有更大的方便性。 配置方便性的另一个方面是管理的方便性。网络设备和桌面设备不同，界 面的美观不代表方便性（

16、当然这也是很重要的），90%的Cisco路由器就是通过 命令行进行管理的。在选择防火墙时也应该考察它是否支持串口终端管理。 注意七： 管理是否简便 网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调 整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整 外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑 安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理 途径、管理工具和管理权限。 综上所述，是否具有满足以上要求的综合管理方式是网管人员在选择防火 墙时需要重点考察的内容。 注意八： 是否可以抵抗拒绝服务攻击 一类是由于操作系统或应

17、用软件本身设计或编程上的缺陷而造成的，由此 带来的攻击种类很多，只有通过打补丁的办法来解决；另一类是由于 TCP/IP协议 本身的缺陷造成的，只有有数的几种，但危害性非常大，如Synflooding等。 要求防火墙解决第一类攻击显然是强人所难。系统缺陷和病毒不同,没有病 毒码可以作为依据 ,因此在判断到底是不是攻击时常常出现误报现象，目前国内 外的入侵检测产品对这类攻击的检测至少有 50%的误报率。而且这类攻击检测 产品不能装在防火墙上 ,否则防火墙可能把合法的报文认为是攻击。防火墙能做 的是对付第二类攻击 ,当然要彻底解决这类攻击也是很难的。抵抗拒绝服务攻击 应该是防火墙的基本功能之一，目前

18、有很多防火墙号称可以抵御拒绝服务攻 击，实际上严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种 攻击。因此在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效 性。 注意九： 是否可以针对用户身份进行过滤 防火墙过滤报文时，最基础的是针对IP地址进行过滤。大家都知道，IP地址 是非常容易修改的，只要打听到内部网里谁可以穿过防火墙，那么将自己的IP地 址改成和他的一样就可以了。这就需要一个针对用户身份而不是IP地址进行过 滤的办法。目前防火墙上常用的是一次性口令验证机制,通过特殊的算法 ,保证用 户在登录防火墙时 ,口令不会在网络上泄露 ,这样防火墙就可以确认登录上来的用 户确实和他所声称的一致。这样做的好处有两个 : 一，用户可以随便找一台机器 ,登录防火墙,防火墙也可以判断他的权限 ,进行 适当地过滤；二，用户出差时 ,可以通过登录公司的防火墙访问公司内部的服务 器,不用担心在电话网上泄露口令。这种方法在没有加密手段或加密成本较高时 还是比较实用的。 注意十： 是否具有可扩展、可升级性 用户的网络不是一成不变的，现在可能主要是在公司内部网和外部网之间 做过滤，随着业务的发展，公司内部可能具有不同安全级别的子网，这