企業(yè)級(jí)防火墻選購(gòu)標(biāo)準(zhǔn)
當(dāng)一個(gè)企業(yè)決定用防火墻來(lái)實(shí)施組織的安全策略后,下一步要做的就是選擇一個(gè)安全、實(shí)惠、合適的防火墻。選擇防火墻時(shí),要考慮以下幾方面問(wèn)題。
一、選擇防火墻的要求
1、防火墻應(yīng)具備的基本功能
支持“除非明確允許,否則就禁止”的設(shè)計(jì)策略,即使這種策略不是最初使用的策略;本身支持安全策略,而不是添加上去的;如果組織機(jī)構(gòu)的安全策略發(fā)生改變,可以加入新的服務(wù);有先進(jìn)的認(rèn)證手段或有掛鉤程序,可以安裝先進(jìn)的認(rèn)證方法;如果需要,可以運(yùn)用過(guò)濾技術(shù)允許和禁止服務(wù);可以使用FTP和Telnet等服務(wù)代理,以便先進(jìn)的認(rèn)證手段就可以被安裝和運(yùn)行在防火墻上;擁有界面友好、易于編程的IP過(guò)濾語(yǔ)言,并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過(guò)濾,數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等;
如果用戶需要NNTP(網(wǎng)絡(luò)消息傳輸協(xié)議),X window,HTTP和Gopher等服務(wù),防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能,以減少SMTP服務(wù)器和外界服務(wù)器的直接連接,并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問(wèn)。防火墻應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。
2、其他功能
防火墻應(yīng)該能夠集中和過(guò)濾撥入訪問(wèn),并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外,為了使日志具有可讀性,防火墻應(yīng)具有精簡(jiǎn)日志的能力。如果防火墻使用UNIX操作系統(tǒng),則應(yīng)提供一個(gè)完全的UNIX操作系統(tǒng)和其他一些保證數(shù)據(jù)完整的工具,應(yīng)該安裝所有的操作系統(tǒng)的補(bǔ)丁程序。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣,但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡(jiǎn)單。
防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證。防火墻的設(shè)計(jì)應(yīng)該簡(jiǎn)單,以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)行升級(jí)且升級(jí)必須定期進(jìn)行。
正像前面提到的那樣,因特網(wǎng)每時(shí)每刻都在發(fā)生著變化,新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí),新的服務(wù)和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力,因此防火墻的適應(yīng)性是很重要的。
二、購(gòu)買還是自己構(gòu)筑
一些企業(yè)具有自己組裝防火墻的能力,他們使用可用的軟件組件和設(shè)備或自己編寫一個(gè)防火墻程序。另外一些企業(yè)利用經(jīng)銷商提供的防火墻技術(shù)服務(wù),例如相應(yīng)的硬件和軟件、開發(fā)安全策略、風(fēng)險(xiǎn)評(píng)估、安全檢測(cè)和安全培訓(xùn)等。
企業(yè)自己構(gòu)筑防火墻的優(yōu)勢(shì)是內(nèi)部人員了解防火墻設(shè)計(jì)的細(xì)節(jié)從而能夠方便應(yīng)用。但自制防火墻需要長(zhǎng)時(shí)間的修建、記錄文檔和維護(hù),費(fèi)用較高。相比之下,從銷售商那里購(gòu)買防火墻是較為經(jīng)濟(jì)的。
【編輯推薦】
