文章內(nèi)容

企業(yè)級防火墻選購標準及防火墻部署指南

發(fā)布時間: 2012/7/4 15:23:41

當一個企業(yè)決定用防火墻來實施組織的安全策略后，下一步要做的就是選擇一個安全、實惠、合適的防火墻。選擇防火墻時，要考慮以下幾方面問題。
　　一、選擇防火墻的要求

　　1、防火墻應(yīng)具備的基本功能

　　支持“除非明確允許，否則就禁止”的設(shè)計策略，即使這種策略不是最初使用的策略；本身支持安全策略，而不是添加上去的；如果組織機構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進的認證手段就可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進行包過濾，數(shù)據(jù)包的性質(zhì)有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等；

　　如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議），X window，HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應(yīng)允許公眾對站點的訪問。防火墻應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。

　　2、其他功能

　　防火墻應(yīng)該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡(luò)流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡日志的能力。如果防火墻使用UNIX操作系統(tǒng)，則應(yīng)提供一個完全的UNIX操作系統(tǒng)和其他一些保證數(shù)據(jù)完整的工具，應(yīng)該安裝所有的操作系統(tǒng)的補丁程序。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運行一個管理員熟悉的操作系統(tǒng)會使管理變得簡單。

　　防火墻的強度和正確性應(yīng)該可被驗證。防火墻的設(shè)計應(yīng)該簡單，以便管理員理解和維護。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補丁程序進行升級且升級必須定期進行。

　　正像前面提到的那樣，因特網(wǎng)每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產(chǎn)生。當新的危險出現(xiàn)時，新的服務(wù)和升級工作可能會對防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的適應(yīng)性是很重要的。

　　二、購買還是自己構(gòu)筑

　　一些企業(yè)具有自己組裝防火墻的能力，他們使用可用的軟件組件和設(shè)備或自己編寫一個防火墻程序。另外一些企業(yè)利用經(jīng)銷商提供的防火墻技術(shù)服務(wù)，例如相應(yīng)的硬件和軟件、開發(fā)安全策略、風險評估、安全檢測和安全培訓等。

　　企業(yè)自己構(gòu)筑防火墻的優(yōu)勢是內(nèi)部人員了解防火墻設(shè)計的細節(jié)從而能夠方便應(yīng)用。但自制防火墻需要長時間的修建、記錄文檔和維護，費用較高。相比之下，從銷售商那里購買防火墻是較為經(jīng)濟的。

　　企業(yè)決定是否構(gòu)筑并成功地運行一個防火墻需要考慮如下問題：

　　防火墻應(yīng)該怎樣被測試?

　　怎么證明防火墻按需工作?

　　誰可以做日常的防火墻工作，如備份和修復?

　　誰會對防火墻進行升級更新，如安裝新的代理服務(wù)器、補丁程序和其他的升級程序?

　　安全漏洞可以定期被更正嗎?

　　誰會對用戶進行技術(shù)支持和培訓?

　　許多銷售商不但提供安裝服務(wù)，而且提供防火墻的維護，所以如果一個企業(yè)沒有能力做上述之事，就應(yīng)考慮使用銷售商提供的服務(wù)。無論采用何種方法，公司都應(yīng)把防火墻的維護看作一種極為重要的工作，盡可能在上面多花時間。在一些小公司中，做這項工作可能不需要一個專職的人員，但這項工作應(yīng)比其他的工作更有優(yōu)先權(quán)。

　　只有有效地維護一個防火墻，才能使它有效地工作。一個維護不當?shù)姆阑饓赡軙o人一種安全的假象，而實際上卻存在著很多安全漏洞。安全策略應(yīng)清楚地反應(yīng)有效地進行防火墻維護的重要性。在公司的管理上應(yīng)給予防火墻維護足夠的支持，如優(yōu)先提供人員、資金和其他必要的資源。

　　有了防火墻，也不能放松對站點的管理。事實上，如果一個防火墻被突破，一個管理不善的站點會倍受侵擾并遭受更嚴重的損失。一個防火墻的存在并不意味著可以減少對高素質(zhì)管理的需求。一個防火墻可以讓一個站點在系統(tǒng)維護上處于主動的位置，因為防火墻提供了一種屏障，所以人們就可以在系統(tǒng)維護上花更多的時間，而不是把大部分時間花在事故的處理上。

　　一個站點在防火墻的維護中應(yīng)做以下工作：

　　標準化操作系統(tǒng)的版本和軟件，以便安裝補丁程序和安全修補程序；

　　應(yīng)在全站點內(nèi)開展有效的新程序和補丁程序的安裝活動；

　　使用各種服務(wù)來幫助管理系統(tǒng)，如果一些服務(wù)可以帶來更好的管理和更好的安全，那么使用這些服務(wù)；

　　對主機系統(tǒng)進行周期性的掃描檢查，以發(fā)現(xiàn)配置上的錯誤和弱點，及時改正；

　　確保系統(tǒng)管理員和安全管理員可以及時地通信，對站點的安全問題做出警告。

　　三、進一步的建議

　　沒有一個防火墻的設(shè)計能夠適用于所有的環(huán)境，所以建議選擇防火墻時，應(yīng)根據(jù)站點的特點來選擇合適的防火墻。如果站點是一個機密性機構(gòu)，但對某些人提供入站的FTP服務(wù)，則需要有強大認證功能的防火墻。

　　另外，不要把防火墻的等級看得過重。在各種報紙雜志中的等級評選中，防火墻的速度占有很大的比重。如果站點通過T1線路或更慢的線路連接到因特網(wǎng)上，大多數(shù)防火墻的速度完全能滿足站點的需要。

　　下面是選購一個防火墻時，應(yīng)該考慮的其他因素：

　　網(wǎng)絡(luò)受威脅的程度；

　　若入侵者闖入網(wǎng)絡(luò)，將要受到的潛在的損失；

　　其他已經(jīng)用來保護網(wǎng)絡(luò)及其資源的安全措施；

　　由于硬或軟件失效，或防火墻遭到“拒絕服務(wù)侵襲”，而導致用戶不能訪問因特網(wǎng)，造成的整個機構(gòu)的損失；

　　機構(gòu)所希望提供給因特網(wǎng)的服務(wù)，以及希望能從因特網(wǎng)得到的服務(wù)；可以同時通過防火墻的用戶數(shù)目；

　　站點是否有經(jīng)驗豐富的管理員；

　　今后可能的要求，如要求增加通過防火墻的網(wǎng)絡(luò)活動或要求新的因特網(wǎng)服務(wù)。

　　四、防火墻的局限

　　我們在利用防火墻的各種益處的同時也應(yīng)該意識到防火墻的局限，有時防火墻會給人一種虛假的安全感，導致在防火墻內(nèi)部放松安全警惕。而許多攻擊正是內(nèi)部犯罪，這是任何基于隔離的防范措施都無能為力的。同樣，防火墻也不能解決進入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個程序在本地運行，那個程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)τ脩舻南到y(tǒng)進行破壞。隨著Java、JavaScript和ActiveX控件及其相應(yīng)瀏覽器的推廣，這一問題變得更加突出和尖銳。防火墻的另一個缺點是易用性不夠，大多數(shù)產(chǎn)品還需要網(wǎng)絡(luò)管理員手工建立。當然，這一問題馬上會得到改觀。

　　防火墻在當今Internet上的存在是有生命力的，但它不能替代墻內(nèi)的安全措施，因此，它不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分。

　　五、一些主要防火墻產(chǎn)品介紹

　　TIS FWTK

　　TIS FWTK 是Trusted Information Systems(TIS)Firewall Tools Kit的簡稱，也稱為FWTK。它是應(yīng)用網(wǎng)關(guān)式防火墻軟件包的典型代表。

　　FWTK是用來建立和維護內(nèi)部網(wǎng)絡(luò)防火墻的工具集。它的代碼是用C語言編寫的，在網(wǎng)上可以找到它的源碼。它可以運行在基于BSD UNIX的許多平臺上，包含了許多獨立的組件，大部分的組件是代理應(yīng)用程序。它包括以下幾種服務(wù)的代理：

　　Telnet；FTP；rlogin；sendmail；HTTP；X窗口系統(tǒng)。

　　FWTK是一個復雜的系統(tǒng)，并不是安裝上便能開始保護網(wǎng)絡(luò)。它是一個“工具箱”。安裝后，用戶必須作出一定的決策并知道這樣做能獲得何種結(jié)果，因此這并不是簡單的配置問題。如果制定的規(guī)則或做出的決定是錯誤的，使用網(wǎng)絡(luò)將會面臨許多問題。

　　FWTK的突出優(yōu)點是將很好的訪問控制融入其設(shè)計中。例如，用戶可以許可（或拒絕）從某網(wǎng)絡(luò)，或某個網(wǎng)絡(luò)的一部分，甚至從某個地址上對被保護的網(wǎng)絡(luò)進行訪問。

　　Raptor公司Eagle系列防火墻

　　Raptor公司已有很久的歷史了。它從1991年開始推銷它的防火墻系列產(chǎn)品。Raptot公司的網(wǎng)上介紹位于：http://www.raptor..com/products/brochure/40broch.html＃ abontraptor。

　　該公司的防火墻產(chǎn)品使用了許多防火墻技術(shù)，包括大量日志的記錄；對可疑行為制定的事件觸發(fā)式處理；嚴格的分類訪問控制等。

　　而且這些產(chǎn)品支持應(yīng)用代理。相關(guān)站點：http:/www.raptor.com/products/brochure/40broch.html

　　CheckPoint Firewall和Firewall－1

　　CheckPoint公司以Israel為基地，于1993年成立。目前在美國的八個城市開了分公司。此公司的系列產(chǎn)品可用于各種平臺上。

　　CheckPoint Fireawall－1的一個有趣的功能是對時間對象的控制。此功能允許管理員指定一天中的某段時間，并在這段時間內(nèi)才執(zhí)行訪問控制。Firewall－1還能將處理任務(wù)分散到一組工作站上，從而減輕每個工作站的負擔。

　　有關(guān)CheckPoint的文章和新聞可在網(wǎng)上找到，請參考：

　　http://www.Checkpoint.com/press/index.html

　　如果想得到有關(guān)Check Point公司的最好產(chǎn)品的更詳細信息，請訪問此地址：

　　http://www.checkpoint.com/products/firewall/intro.html

　　Sunscreen

　　Sun公司的SunScreen是由一系列產(chǎn)品組成。主要的產(chǎn)品包括：

　　SunScreen Spf 100/100G，實行Turnkey解決方案，并提供無IP地址的通訊能力，將內(nèi)部主機的IP地址隱藏起來。

　　SunScreenTMEFS，可進行嚴格的數(shù)據(jù)包過濾和加密處理。提供遠程管理和通過HTML界面進行管理的功能，使管理員的管理工作變得更方便。有關(guān)SunScreenTMEFS的一些說明位于網(wǎng)址：

　　http://www.sun.dom/securit6/prodspec.html

　　SunScreen SKIP，此產(chǎn)品能使PC機和工作站進行安全驗證。

　　Portus Secure Network Firewall

　　Portus是一個NCSA認證的高性能應(yīng)用程序代理網(wǎng)關(guān)。它支持所有TCP、IP連接并增加了UDP代理。產(chǎn)品包括：Portus Secure Network Firewall for AIX，Portus Secure Network Firewall for Solaris，Portus Secure Network Firwall Installation and Administration Guide (Arobat file)。這是一些30天全功能演示版。

本文出自：億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]