理性选购防火墻
数码时尚
如今网络上黑客横行,为了防范技术及相关商业机密等不被黑客轻易偷走,很多公司都选择了使用防火墙。但在购买防火墙时,很多公司却进入了种种误区,进入了商家的圈套。企业究竟应该如何选择防火墙呢?
一般情况下,中小企业接入Internet的目的就是为了方便内部用户浏览Web、收发E-mail以及发布公司主页,此时建议选用一般的代理型防火墙,只要具有HTTP、E-mail等代理功能即可。但对于大中型企业或者机构来说,由于其企业用户过多,且内部数据比较重要。因此在选购防火墙时首先要考虑的就是安全性和性能是否强大、可否升级等。同时,售后服务的好坏也是值得考虑的因素。
选购防火墙前,应先认真制定安全政策,也就是要制定一个周密计划。有了这些准备,才能揭穿JS骗人的把戏。询价过程中,防火墙的最终成交价往往会和报价相差很大,具体情况要看不同厂商给予的不同折扣而定,一般折扣约为3~5折。
不同产品,性能各异
企业在实际选购防火墙时必须对防火墙的性能有所了解,哪些性能是网络安全中必备的,哪些是防火墙厂商推出的“概念秀”,购买前一定要分析清楚,避免上当。
看清厂商推荐的防火墙是否有国家相关权威部门的认证和销售许可也是相当重要的。这些认证包括公安部和信息产业部的销售许可、国家测评中心的认证等,只有具有国家行业准入资格的产品才是值得信赖的。
辨别一款防火墙性能的优劣,可以参考国际标准RFC2544,主要包括的方面是:网络吞吐量、丢包率、延迟、连接数等,其中吞吐量是重中之重。
1.选择模式
目前防火墙的模式主要有3种:分别为Dual-homed、Screened-host和Screened-subnet。
Dual-homed(也叫做Bastionhost)模式最简单,也最不安全。由于结构简单,因此成本低,没有增加网络安全的自我防卫能力,往往是黑客攻击的首选目标,一旦被攻破,整个网络也就暴露,根本谈不上安全。
Screened-host模式主要依赖Screeningrouter和Bastionhost两种方式传输,只要有一个存在不足或者出现失败,整个网络就会暴露,也谈不上很安全。
Screened-subnet则包含两个Screeningrouter和两个Bastionhost,这种结构安全性好,只有当所有安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
用户在上面的3种模式中选择和自己需要相关的防火墙即可。
编辑点评:如果企业对安全要求比较高,Dual-homed肯定不是你的首选。
2.安装和配置
如果防火墙安装和配置比较麻烦,会给用户带来不便,增加工作的难度。目前在市场上,有些防火墙只能在透明方式下或者网关方式下工作,而另外一些防火墙则可以在混合方式下工作。一般能工作于混合方式的防火墙更具方便性。
3.扩展性
选购防火墙时还得考虑其可扩展性。好的防火墙的功能应该能够适应网络规模和安全策略的变化。如果选购的防火墙具有随意伸缩的模块化解决方案,包括从最基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,这样才能让用户真正被保护起来。目前的防火墙一般标配3个网络接口,分别用于连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。
4.等级
在实际选购防火墙时,不要把防火墙的等级看得过重。因为在等级评选中,防火墙的速度占有很大的比重,但是对于中小型企业而言,连接到Internet上的速度不会很快,大多数经过国家认证的防火墙都能完全满足需要。
5.兼容性
防火墙的加入应该以不影响企业已有的业务为前提,如果原来业务有一些特殊的服务,比如视频会议,IP电话等,则防火墙产品不应该与这些服务产生冲突。
编辑点评:在满足实用性、安全性、扩充性、兼容性的基础上,还要考虑经济性,这是选购一切设备都要优先考虑的实际问题。
市场混乱,看清品牌
目前在整个硬件防火墙市场中还是品牌机占主导地位。就全球而言,销售量排名第一的是NetScreen。而在国内的防火墙产品中主要品牌有如下几种:联想、瑞星、天融信、天网安等。不过,现今防火墙市场鱼龙混杂,很多不知名的小厂商生产出的防火墙打着“硬件”、“高性能”的幌子蒙骗消费者,所以购买前一定要谨慎选择。
为了方便大家对防火墙产品的选购,让我们先来看看目前国内外主流的产品。
产品名称:NetScreen NS-5XT
硬件配置:4个10M/100M自适应网卡接口,并有显示接口和终端接口(RS-232)等。
推荐指数:★★★☆
适合企业:比较适合在大型企业中使用,目前的市场价格约为32000元。
NetScreen NS-5XT(图1)是一款支持无限用户的产品,同样这一款防火墙也具有实时连接状态监控功能、动态设置过滤规则功能、双向网络地址转换功能,并发连接数为20000,同时支持VPN模式。
产品名称:清华紫光比威 UF1103
硬件配置:3个10M/100M自适应网卡接口,并有终端接口(RS-232)。
适合企业:适合在大中小企业使用,目前市场价格为68700元。
推荐指数:★★★
这一款清华紫光比威 UF1103H防火墙(图2)可以为用户提供身份认证、访问控制、流量控制、日志与审计、网络地址转换、VPN、包过滤、入侵检测以及与IDS之间的联动、透明和路由的接入等功能,同时还可以利用PPPoE协议,让防火墙方便地接入网络。安装配置也非常方便简单,能够通过Web浏览器来修改和配置。
防火墙一旦选购回来后,最好立刻进行安全测试。这对于验证防火墙的安全性能是很有必要的,也直接验证了某些奸商话语的可靠性,当然今后防火墙的维护中也要进行不定期的测试。总得说来,在以下3种情况下应该对购买的防火墙进行测试:安装之后,测试工作是否正常;在网络发生大的变更后,测试其性能;周期性地对防火墙进行测试,以确保其继续正常工作。在一些中小企业中,由于一般网络环境变化不大,情况相对比较稳定,往往会忽略对防火墙的周期性测试,这其实是很危险的。
对于防火墙的选择也是众说纷纭,我们不应该单纯从某一个方面否定一个防火墙产品,也不能因为一个性能上的优势决定使用哪一款产品。防火墙作为一个企业信息安全的命脉,在选购前一定要三思而后行,特别是那些整天为自己数据和商业机密提心吊胆的老总,采用一款“坚固”的防火墙产品是很有必要的,虽然不放狗咬人,但至少也要看好自家大门。
编后:以发展的眼光来看,未来的防火墙产品除具有一般的防护功能外,还需要能提供网络连接时的其他应用,例如防病毒、入侵检测系统等。
未来的防火墙也不应再是单纯的软件或者硬件防火墙,它应该是架构在硬软之间的一套复杂的安全系统。这类防火墙其实就是将通常意义上的软件防火墙安装在一个标准工业化的服务器上,通过软、硬结合得到一个完整的防火墙安全解决方案。它最大的特点就是具有软件防火墙与硬件防火墙的双重优点。因此企业采购的时候应考虑到产品与另外的防火墙体系(硬件/软件)整合的前景。
小知识
1.什么是防火墙
防火墙是采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障,用以分隔被保护网络与外部网络系统,防止发生不可预测的、潜在破坏性的侵入。防火墙分为软件防火墙和硬件防火墙两种。
2.硬件防火墙和软件防火墙的区别
其实光从字面上讲,是比较容易看清两者各自的不同(《电脑报》第9期A1版曾经介绍过何为真正的硬件防火墙)。
硬件防火墙的价格一般是软件防火墙的几倍、几十倍甚至上百倍。一台普通的硬件防火墙都要花去10000元左右,而软件防火墙花费则没有这么多。
硬件防火墙的优点:内建安全软件,使用专属或强化的OS,管理方便,更换容易,软硬件搭配较固定。
软件防火墙的优点:有着硬件防火墙少有的强大的扩充性与操控性。
具体的对比见下表:
