硬件防火墻選購指南:功能篇
硬件防火墻選購已經被不少企業提上議程,防火墻選購方法是企業安全管理員們最想了解的問題。我們在硬件防火墻選購指南:數據篇中,通過對數據的分析談了談關于硬件防火墻的選購方法,那么本篇我們將通過硬件防火墻的功能側面談談如何選購。
硬件防火墻選購指南一,VPN功能不可缺:
對于硬件防火墻來說如何有效的分清非法用戶以及授權用戶對內網的訪問是非常關鍵的,很多企業在外都有分支機構,分支網絡要想接入到本部網絡中必須通過VPN接入服務,因此對于企業級硬件防火墻來說VPN功能是不可獲缺的。
通過VPN我們可以將遠程授權用戶或遠程授權網絡與本部區域進行連接,而另一方面非法用戶以及沒有獲取相關權限的用戶是不能夠順利穿越防火墻的。因此在我們選擇硬件防火墻時是否支持VPN功能是一個主要考察因素。
除了VPN功能外防火墻所支持的VPN隧道數同樣含糊不得,對于具備一萬個節點的網絡來說防火墻應該支持的VPN隧道數在2000以上,這樣才能夠保證同時多人次多終端的訪問能夠順利接入。另外最好在考察防火墻時確定其自身的VPN是集成硬件的方式,支持Site-to-SiteVPN,支持VPN星形部署方式,支持多端口并發VPN隧道功能。支持VPN隧道的NAT穿越,支持IPSECVPN,支持SSLVPN,可支持用戶B/S方式無縫接入,支持USBKEY進行SSLVPN雙因素認證。總之關于VPN的功能越全越好,畢竟網絡安全問題很大一部分都是由于外網接入與訪問造成的,所以VPN功能的強大與否直接決定企業網絡安全。同時強大的VPN擴展功能和訪問應用技術可以為日后硬件防火墻和企業內網安全系統升級做好充足的準備。
硬件防火墻選購指南二,與時俱進IPV6需兼容:
正如上文所說我們在選購硬件防火墻時需要將日后的升級和改造因素考慮進去,因此在網絡IP地址兼容性方面必須考慮IPV6的引入。在國內很多設備目前都是雙網運行,IPV4與IPV6并存,未來國內網絡也會逐步推進IPV6網絡的發展,因此在硬件防火墻設置以及選購時IPV6的完美支持非常重要。
硬件防火墻選購指南三,安全功能不拖后腿:
硬件防火墻除了日常使用的包過濾和協議過濾等功能外,其他針對網絡的擴展功能也是需要在選購時考慮清楚的。硬件防火墻自身的安全功能不能脫日后網絡過濾的后腿。根據筆者參與政府采購以及多次選購硬件防火墻的經驗,以下安全功能需要在購買前進行權衡。
(1)支持敏感文件類型過濾,支持JavaApplet、ActiveX阻斷,支持URL過濾、URL關鍵字過濾、URL列表上載、下載。工作模式支持路由、NAT、透明及混合等多種模式。這些組件和插件程序都隨時隨地威脅我們的內網應用,所以硬件防火墻應該有效支持對他們的過濾。
(2)支持各種IP服務,支持各種工作模式下多媒體協議(如H.323)的安全控制和通過。H.323多媒體協議在VOIP等語音技術中廣泛應用,因此如果想在企業內網建立VOIP語音通訊系統的話,硬件防火墻就一定要能夠針對相關協議進行安全控制和適當過濾。
(3)支持抗DoS/DDoS攻擊提供SYNFlood攻擊防護、畸形報文防護、IP報文分片攻擊防護、IP異常選項檢測、TCP異常檢測、IP地址欺騙防護、IP地址掃描攻擊防護、端口掃描防護。DDos是目前威脅服務器和企業膃肭蜾蠃應用的主要殺手,因此一臺性能高效的硬件防火墻針對DDos的防御能力是需要在選購時深思熟慮的。雖然目前硬件防火墻還不能夠從根本上徹底避免DDos對企業網絡的攻擊,但是好的硬件防火墻可以過濾掉盡可能多的攻擊,從而最大限度的減少DDos對企業帶寬和資源的損耗。
(3)支持多鏈路負載均衡,即A鏈路斷開自動切換到B鏈路。此功能在上文中已經在冗余環節上做過介紹,這里就不再詳細說明了,總之支持多路負載均衡一方面可以提高網絡運行效率,另外一方面可以提供線路的保護功能,保證企業網絡暢通無阻。
(4)故障診斷類型包括設備故障、鏈路故障、接口狀態故障等;同時需要支持802.3ad鏈路聚合功能,可利用多條pppoe鏈路組建低成本高帶寬鏈路。即總速率=A鏈路+B鏈路之總和。
(5)內置防ARP攻擊客戶端,可自動分發全網。這樣就可以從內網下手避免內網病毒對防火墻的攻擊。從而在第一時間揪出“內奸”來。
硬件防火墻選購指南四,管理功能需關注:
硬件防火墻的功能強大與否直接決定著內網運行以及相關應用的穩定,不過任何設備都是用戶來使用的。沒有好的設備只有最適合自己的,對于硬件防火墻來說并不是越貴越好,功能越全越好。我們在購買硬件防火墻前除了要針對上述多個方面進行考慮外,硬件防火墻自身的管理功能也需要考慮在內。只有將強大管理功能以及良好的管理界面整合到硬件防火墻自身中,才能夠讓用戶配置更加得心應手,讓硬件防火墻可以更好的為企業網絡服務。基本的管理功能主要有以下幾點。
(1)提供安全、友好、易用,可擴展式的全中文的Web管理界面,提供Telnet、SSH、HTTP、HTTPS、SNMPv1/v2c管理方式。
(2)支持帶寬管理功能:支持帶寬的保證、限制和優先級的功能,支持上下行方向分別控制。
(3)支持對BT/eMule/迅雷等P2P軟件的控制,支持對MSN/QQ等IM即時通訊軟件的合理控制。
硬件防火墻選購指南五,資質問題重中之重:
最后我們來談一談在選購硬件防火墻時一些“硬指標”,這些硬指標一般在政府采購時生效。說白了我們在選擇硬件防火墻時需要考慮以下幾個資質問題,只有具備相關資質和認證的廠商才能夠進入候選名單。
筆者收集整理的相關資質問題包括——軟件著作權登記證,公安部銷售許可證,國家信息安全測評認證,軍用信息安全產品認證以及國家保密局涉秘信息系統檢測證書。必要時我們購買前需要審核廠商的相關資質信息。
硬件防火墻選購指南六,總結:
總之購買硬件防火墻是件非常重要的事情,一方面硬件防火墻的價格都比較高,選購時要特別慎重;另一方面一旦功能上存在缺陷無法勝任企業內網應用所帶來的“停網”惡果是嚴重的;當然選購硬件防火墻時需要注意的事情還有很多,本文只是針對幾個方面的經驗進行了介紹,任何硬件防火墻都離不開人的配置。因此除了硬件防火墻自身的硬件功能外我們還需要多學習多思考,針對硬件防火墻的軟件和參數進行合理設置,這樣才能夠建立一套安全穩定的內網系統。
【編輯推薦】
