WEB开发网
开发学院网络安全防火墙 实用主义——防火墙选购指南 阅读

实用主义——防火墙选购指南

 2008-11-26 12:18:12 来源:WEB开发网   
核心提示:作为保护网络的主力安全设备,经过多年的发展,实用主义——防火墙选购指南,防火墙的技术已经逐步趋于成熟,即便如此,性能变得很低,因此,用户在选购防火墙时仍需擦亮眼睛,防火墙是一种部署在内外网边界上的访问控制设备

作为保护网络的主力安全设备,经过多年的发展,防火墙的技术已经逐步趋于成熟。即便如此,用户在选购防火墙时仍需擦亮眼睛。

防火墙是一种部署在内外网边界上的访问控制设备,用来防止未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。防火墙主要分为简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。

附加功能适用就好

防火墙控制的对象是网络数据,通过执行用户针对2~7层制定的策略进行检查,根据检查结果决定接受、丢弃还是限制流量。虽然实际上防火墙也可以替换一部分路由器和交换机的功能,但过分强调这些功能的结果只能是舍本逐末。

由于在网络中引入了防火墙设备,必然要求防火墙能够提供相应的支持,包括可管理、环境适应能力、与已有交换机/路由器的互联互通、一定的吞吐能力和适当的延迟等,这样防火墙才不会成为网络瓶颈。这些功能实际上是对防火墙的附加要求,虽然是必要的,但不会给用户带来增值,其总体要求是“适合就是最好的”。

虽然防火墙发展时间比较长,技术相对成熟,但关于防火墙的新概念、新技术仍然层出不穷。那么,应该如何真实评价防火墙呢?还得从用户使用的角度深入分析,从功能/性能、管理、稳定性三方面进行考察。

功能、性能不能“两层皮”

功能和性能一直是用户评价防火墙的主要方面,尤其是性能由于其可量化,更是对比的重点,但真正搞明白这两个问题却不容易。

为了适应用户的复杂环境和需求,也为了拥有“卖点”,现在的防火墙一般具有很多功能,这些功能单独看都没什么问题,比如双机热备功能已经通过测试, H.323动态应用支持也测试通过,但在实际环境中,我们可能需要在双机热备情况下使用H.323视频会议,并要求切换时视频不中断,这样可能有的防火墙就不行了,而类似的组合功能却是用户真正需要的。此外,防火墙的功能和性能一般会独立评估,分为功能测试和性能测试两部分,功能测试关心单个功能有无,性能测试关心二、三层简单应用的性能,结果导致功能性能“两层皮”,不能真正反映防火墙能力:测试中性能很高,但很多功能不能用,在实际使用中,当把常用的功能都打开后,性能变得很低。因此,必须把性能和功能评估结合起来才能真实评价防火墙。具体的评价应从以下几方面入手:

1 2  下一页

Tags:实用主义 防火墙 选购指南

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接