防火墙是主要的网络安全设备,一个配置良好的防火墙,能够有效地防止外来的入侵,控制进出网络的信息流向和信息包,提供使用和流量的日志和审计,隐藏内部IP地址及网络结构的细节,以及提供VPN功能等等。
对于企业网络而言,一个没有配备防火墙的网络无异于“开门揖盗”,安全性无从谈起。那么,如何选择合适的防火墙呢?本文从技术角度出发,谈谈企业级防火墙的选购要点。
防火墙种类
在选购之前,企业用户首先需要弄清防火墙的种类。目前,市场有六种基本类型的防火墙,分别是嵌入式防火墙、 基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。
嵌入式防火墙 : 就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。
嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样, 所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、 蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。
基于软件的防火墙 : 指能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统,购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来, 添加一个基于软件的防火墙就是合理之举。
基于硬件的防火墙 : 多捆绑于“交钥匙”系统(Turnkey system)中,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。
特殊防火墙 : 侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的,MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙, 但也具有防火墙类规则和应用防范禁闭功能。
防火墙“软”与“硬”的折衷
一般说来,软件防火墙具有比硬件防火墙更灵活的性能,但是安装软件防火墙需要用户选择硬件平台和操作系统。而硬件防火墙经过厂商的预先包装,启动及运作要比软件防火墙快得多。
购买硬件设备防火墙,往往意味着获得了一个捆绑在硬盒子里的“交钥匙”系统。如果用户对防火墙运行的硬件平台没有特殊要求,硬件防火墙则是这类用户理想的选择。另一个适用硬件防火墙的场合是,用户希望隔离防火墙服务,不把防火墙安装在其他应用中。
防火墙的功能与性能考虑
用户节点数
在选购防火墙时,用户需要考虑保护的节点数。从最简单的分类上来说,要加以保护的结点数决定了采用企业级防火墙还是采用SOHO防火墙。大多数情况下,SOHO防火墙能够应付50个以内的用户连接请求,如果需要保护50个以上用户,就必须采用企业防火墙。
企业防火墙往往具有管理多个防火墙的功能,即企业防火墙能够与中央管理控制台进行通信。生产企业防火墙的供应商大都提供作为选件的中央管理控制台。此外,安全信息管理(SIM)设备也可以作为第三方管理控制台使用。 大多数防火墙都标明了用户连接数。
NAT
如今,几乎所有防火墙都捆绑了网络地址转换(NAT)功能。NAT使用户能够把专用或非法IP地址转换成合法的公共地址。 NAT结构可分为四类:一对一寻址、多对一寻址、一对多寻址和多对多寻址。
一对一寻址是NAT最基本的形式,可以把内部IP地址映射到不同的外部公共IP地址。 多对一寻址意味着多个内部IP地址可以映射到一个外部IP地址,如果用户有一个内部DHCP作用域,并想把它映射到一个外部IP地址,建议这类用户采用多对一寻址。多对多寻址将其他网络上几组不同的IP地址映射成内部或外部的IP地址。如果用户准备把一组DHCP作用域映射到另一组DHCP作用域,这就需要采用多对多NAT寻址。一对多寻址则使用于需要把一个IP地址分成两个地址的负载均衡场合。如果用户需要部署一个庞大、复杂的电信级网络,这就需要使用NAT的高级特性。
对简单网络而言,一对一NAT功能就已足够。
VPN
大部分企业级防火墙具有VPN功能。这类防火墙通常被用作VPN的端点。VPN能够确保隐私和数据的完整性。用户要牢记VPN必须有两个端点。如果用户没有第二个端点连接至VPN,就没有购买具有VPN功能的防火墙的必要。VPN通过加密隧道发送数据,从而把数据与外界隔离开来。加密过程需要额外的处理能力,如果用户准备为电信级网络建立VPN,这就需要捆绑具有密码加速器或允许添加密码加速器的VPN防火墙。捆绑密码加速器是为了提高VPN的速度。
日志功能
日志功能是防火墙的重要特性之一。为更好地管理网络,用户最好选购能够记录多种事件的日志、过滤多种事件的防火墙。
在防火墙的日志功能方面,要注意的包括,所选购的防火墙日志事件的多少和过滤器的多少。过滤器能够使用户以合理、易懂的方式察看不同的事件。用户应该能够根据IP地址、网络号、连接类型、域名和日期时间等基本过滤器过滤事件。
Syslog格式是最常用的日志格式,用户所选购的防火墙最好支持Syslog格式。
防火墙规则
防火墙规则是防火墙得以工作的核心,其则对防火墙允许哪些类型的流量进出网络作出规定。
对企业级用户而言,要注意的是,防火墙是否支持自动次序独立规则。一般说来,防火墙上的规则需要排成非常特定的次序,否则无法正常工作。一些防火墙具有自动给规则排列次序的特性。具有这一特性的防火墙最好同时具有开启及关闭该特性的功能。自动次序独立规则制订是一个出色的特性,它能帮助用户合理给规则排列次序。
但是,也必须清楚地看到,在制订防火墙规则时,人的作用是最重要的。
小结
选购企业防火墙,用户需要了解的除上述之外还需要认真研究一下防火墙的可用性、内容过滤器以及支持防病毒功能的特性。当然,供应商的服务能力也是必须注意的,供应商或厂商是否提供电话支持服务以及服务的收费情况等,这是保证企业网络不间断运行的重要条件。