以下的文章主要向大家講述的是選購企業級硬件防火墻安全指南，假如一個企業決定用防火墻來實施組織之后，主要目的就是要選擇一個安全、實惠、合適的防火墻。選擇防火墻時，要考慮以下幾方面問題。

選購企業級硬件防火墻安全指南 選購企業級硬件防火墻安全指南[2] 選購企業級硬件防火墻安全指南[3] 當一個企業決定用防火墻來實施組織的安全策略后，下一步要做的就是選擇一個安全、實惠、合適的防火墻。選擇防火墻時，要考慮以下幾方面問題。

一、選擇防火墻的要求

1防火墻應具備的基本功能

支持“除非明確允許，否則就禁止”的設計策略，即使這種策略不是最初使用的策略；本身支持安全策略，而不是添加上去的；如果組織機構的安全策略發生改變，可以加入新的服務；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術允許和禁止服務；可以使用FTP和Telnet等服務代理，以便先進的認證手段就可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據數據包的性質進行包過濾，數據包的性質有目標和源IP地址、協議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網絡接口等；

如果用戶需要NNTP（網絡消息傳輸協議），X window，HTTP和Gopher等服務，防火墻應該包含相應的代理服務程序。防火墻也應具有集中郵件的功能，以減少SMTP服務器和外界服務器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應允許公眾對站點的訪問。防火墻應把信息服務器和其他內部服務器分開。

2其他功能

防火墻應該能夠集中和過濾撥入訪問，并可以記錄網絡流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應具有精簡日志的能力。如果防火墻使用UNIX操作系統，則應提供一個完全的UNIX操作系統和其他一些保證數據完整的工具，應該安裝所有的操作系統的補丁程序。雖然沒有必要讓防火墻的操作系統和公司內部使用的操作系統一樣，但在防火墻上運行一個管理員熟悉的操作系統會使管理變得簡單。

防火墻的強度和正確性應該可被驗證。防火墻的設計應該簡單，以便管理員理解和維護。防火墻和相應的操作系統應該用補丁程序進行升級且升級必須定期進行。

正像前面提到的那樣，因特網每時每刻都在發生著變化，新的易攻擊點隨時可能會產生。當新的危險出現時，新的服務和升級工作可能會對防火墻的安裝產生潛在的阻力，因此防火墻的適應性是很重要的。

二、購買還是自己構筑

一些企業具有自己組裝防火墻的能力，他們使用可用的軟件組件和設備或自己編寫一個防火墻程序。另外一些企業利用經銷商提供的防火墻技術服務，例如相應的硬件和軟件、開發安全策略、風險評估、安全檢測和級硬件防火墻安全培訓等。

企業自己構筑防火墻的優勢是內部人員了解防火墻設計的細節從而能夠方便應用。但自制防火墻需要長時間的修建、記錄文檔和維護，費用較高。相比之下，從銷售商那里購買防火墻是較為經濟的。

企業決定是否構筑并成功地運行一個防火墻需要考慮如下問題：

防火墻應該怎樣被測試？

怎么證明防火墻按需工作？

誰可以做日常的防火墻工作，如備份和修復？

誰會對防火墻進行升級更新，如安裝新的代理服務器、補丁程序和其他的升級程序？

安全漏洞可以定期被更正嗎？

誰會對用戶進行技術支持和培訓？

許多銷售商不但提供安裝服務，而且提供防火墻的維護，所以如果一個企業沒有能力做上述之事，就應考慮使用銷售商提供的服務。無論采用何種方法，公司都應把防火墻的維護看作一種極為重要的工作，盡可能在上面多花時間。在一些小公司中，做這項工作可能不需要一個專職的人員，但這項工作應比其他的工作更有優先權。

只有有效地維護一個防火墻，才能使它有效地工作。一個維護不當的防火墻可能會給人一種級硬件防火墻安全的假象，而實際上卻存在著很多安全漏洞。安全策略應清楚地反應有效地進行防火墻維護的重要性。在公司的管理上應給予防火墻維護足夠的支持，如優先提供人員、資金和其他必要的資源。

有了防火墻，也不能放松對站點的管理。事實上，如果一個防火墻被突破，一個管理不善的站點會倍受侵擾并遭受更嚴重的損失。一個防火墻的存在并不意味著可以減少對高素質管理的需求。一個防火墻可以讓一個站點在系統維護上處于主動的位置，因為防火墻提供了一種屏障，所以人們就可以在系統維護上花更多的時間，而不是把大部分時間花在事故的處理上。

一個站點在防火墻的維護中應做以下工作：

標準化操作系統的版本和軟件，以便安裝補丁程序和安全修補程序；

應在全站點內開展有效的新程序和補丁程序的安裝活動；

使用各種服務來幫助管理系統，如果一些服務可以帶來更好的管理和更好的安全，那么使用這些服務；

對主機系統進行周期性的掃描檢查，以發現配置上的錯誤和弱點，及時改正；

確保系統管理員和安全管理員可以及時地通信，對站點的級硬件防火墻安全問題做出警告。

三、進一步的建議

沒有一個防火墻的設計能夠適用于所有的環境，所以建議選擇防火墻時，應根據站點的特點來選擇合適的防火墻。如果站點是一個機密性機構，但對某些人提供入站的FTP服務，則需要有強大認證功能的防火墻。

另外，不要把防火墻的等級看得過重。在各種報紙雜志中的等級評選中，防火墻的速度占有很大的比重。如果站點通過T1線路或更慢的線路連接到因特網上，大多數防火墻的速度完全能滿足站點的需要。

下面是選購一個防火墻時，應該考慮的其他因素：

網絡受威脅的程度；

若入侵者闖入網絡，將要受到的潛在的損失；

其他已經用來保護網絡及其資源的安全措施；

由于硬或軟件失效，或防火墻遭到“拒絕服務侵襲”，而導致用戶不能訪問因特網，造成的整個機構的損失；

機構所希望提供給因特網的服務，以及希望能從因特網得到的服務；可以同時通過防火墻的用戶數目；

站點是否有經驗豐富的管理員；

今后可能的要求，如要求增加通過防火墻的網絡活動或要求新的因特網服務。

四、防火墻的局限

我們在利用防火墻的各種益處的同時也應該意識到防火墻的局限，有時防火墻會給人一種虛假的安全感，導致在防火墻內部放松安全警惕。而許多攻擊正是內部犯罪，這是任何基于隔離的防范措施都無能為力的。同樣，防火墻也不能解決進入防火墻的數據帶來的所有級硬件防火墻安全問題。

如果用戶抓來一個程序在本地運行，那個程序很可能就包含一段惡意的代碼，或泄露敏感信息，或對用戶的系統進行破壞。隨著Java、JavaScript和ActiveX控件及其相應瀏覽器的推廣，這一問題變得更加突出和尖銳。防火墻的另一個缺點是易用性不夠，大多數產品還需要網絡管理員手工建立。當然，這一問題馬上會得到改觀。

防火墻在當今Internet上的存在是有生命力的，但它不能替代墻內的安全措施，因此，它不是解決所有網絡安全問題的萬能藥方，只是網絡安全政策和策略中的一個組成部分。 上一頁 1 2 3