全面透视防火墙

目前，安全产品品牌很多，一个厂家也有多款不同的防火墙。产品的售价也极为悬殊，从几千元到数十万元，甚至上百万元不等。同时，关于防火墙的新技术新概念层出不穷，让人眼花缭乱，一般用户很难作出正确的选择。本文对防火墙进行了深入分析，希望能够帮助用户看清真正需要的是什么。
功能、性能需要综合评价
功能和性能一直是用户评价防火墙的主要方面，尤其是性能由于可量化，更是对比的重点，但真正搞明白这两个问题却不容易。
为了适应用户的复杂环境和需求，也为了拥有“卖点”，现在的防火墙一般具有很多功能，这些功能单独看都没什么问题，比如双机热备功能已经通过测试，H.323动态应用支持也测试通过，但在实际环境中，我们可能需要在双机热备情况下使用H.323视频会议，并要求切换时视频不中断，可能有的防火墙就不行了，而类似的组合功能却是用户真正需要的。此外，防火墙的功能和性能一般会独立评估，分为功能测试和性能测试两部分，功能测试关心单个功能有无，性能测试关心二、三层简单应用的性能，结果导致功能性能“两层皮”，不能真正反映防火墙能力：测试中性能很高，但很多功能不能用，在实际使用中，当把常用的功能都打开后，性能变得很低。因此，必须把性能和功能评估结合起来才能真实评价防火墙。具体的评价应从以下几方面入手：
◆ 2～7层访问控制功能，尤其是应用层深度过滤，应能与下列功能任意组合使用：地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等；
◆ 安全功能，重点是抗Synflood。防火墙作为网络的单一通道，要保证受保护网络的安全，需要重点考察安全防护功能能否在过滤攻击的同时保证正常访问，是否对伪造源地址攻击和真实源地址攻击同时有效，能否保护服务器免受冲击。该功能应能和地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等同时或任意组合使用；
◆  实用性能。性能测试一般包括6个主要方面：吞吐量、延迟、丢包率、背靠背、并发连接数、新建连接速率。实用性能即考察在接近用户真实使用情况下的性能；
◆  新建连接速率，由于网络应用具有波动性大,即不同时间访问量差异很大的特点，要求防火墙也能适应这种情况，相应的考量指标即新建连接速率。考虑到用户网络和应用的复杂性，还需要打开常用功能，例如：包过滤、内容过滤、抗攻击，在这种情况下测试新建连接速率。
好的管理是安全的关键
因为无法要求每个网络管理员都是网络安全专家，所以管理是网络安全的关键。除去权限管理、通信加密外，还需要重点考察单机管理方便性和集中管理这两个方面。
就单机管理方便性来说，防火墙应能提供多种管理方式，供管理员在不同场合使用，例如：串口命令行方式适合水平较高的管理员对防火墙进行全面管理；SSH方式适合远程维护管理；Web方式适合远程配置;GUI方式适合远程配置和监控。其中，Web方式因为不用安装客户端软件比较方便灵活；GUI安装比较麻烦，但灵活性较强。
另外，防火墙的大客户、行业客户很多，管理成本可能非常高，能否对防火墙进行集中管理也很重要，包括安全策略集中定制和下发、日志集中管理与分析、设备级联管理与实时监控等。其中，策略的集中管理最重要，因为需要保证整个单位的策略一致和安全。
如果只是看防火墙的宣传来做事前评估是远远不够的，必须深入了解、仔细对比，根据实际需求进行评估才是有效的。

【相关文章】

• 防火墙的策略设计

• 历史上最优秀的二十款防火墙简介

• 新型防火墙技术