WEB开发网
开发学院网络安全防火墙 如何选择防火墙 阅读

如何选择防火墙

 2008-09-04 12:12:08 来源:WEB开发网   
核心提示:现在市场上有一些不同种类的防火墙,为你的组织选择一种防火墙是一项令人望而却步的工作——尤其是为一个充斥着流言和专利商标的行业,如何选择防火墙,我们来看一下防火墙技术的基本知识以及为公司选择防火墙时,你可能会问到的五个问题,有了这些答案,在选择购买防火墙时, 1.为什么要使用防火墙?当然,这可能听

现在市场上有一些不同种类的防火墙。为你的组织选择一种防火墙是一项令人望而却步的工作——尤其是为一个充斥着流言和专利商标的行业。我们来看一下防火墙技术的基本知识以及为公司选择防火墙时,你可能会问到的五个问题。

1.为什么要使用防火墙?当然,这可能听起来似乎是一个简单的问题。你可能自己会解答,“因为我们需要!”但是重要的是你花费时间确定使用防火墙的技术目标。这些目标会决定选择过程。当一种简单的产品就能满足你的技术要求时,你就不想选择一种昂贵的、而功能丰富到迷惑管理员的防火墙。

2.防火墙如何能适合你的网络拓扑结构?这种防火墙是否存在于整个网络的周界,并直接与因特网相连接,或者是否适合公司其它地方的敏感局域网分段?它可以处理多大流量?它需要多少界面来分割流量?诸如这些的性能要求大大增加了推行新防火墙的总成本,这很容易造成购买产品的不足或过剩。

3. 你需要运行哪种类型的流量检测器?流言就是从这里开始的。每个厂商对其流量检测技术都有一个不同的商标,但是基本上有三个不同的选择(按照复杂度和成本排序):

封包过滤防火墙(屏障式路由器防火墙)使用简单的规则,对遇到的每个数据包,按其本身的特点进行评价。它们不保存每个数据包的记录历史,进行基本的数据包组头检测。这种检测的简单性加快了其速度。这种防火墙是最便宜的选择,但同时他们也是最不灵活和漏洞最多的。你的运气比较好就是你已经拥有了可以运行封包过滤防火墙的设备——那就是你的路由器!

状态检测防火墙(动态过滤包防火墙)更进了一步。它们跟踪三向TCP同步交换,确保数据包始终属于一个已建立的网段(比如,就没有设置SYN特征位),以对防火墙检测到的上一个活动做出反应。开放最初连接的要求,受到了状态检测防火墙规则数据库的限制。

应用代理防火墙拥有最高级的性能。在状态检测防火墙的基础上,它们突破了客户机与服务器之间的连接。客户机与防火墙相连,防火墙可以分析请求(包括数据包内容的应用层检测)。如果防火墙的规则显示信息传输可以进行,那么防火墙就会与服务器建立连接,继续在通信过程中扮演的媒介的角色。当防火墙与网络地址翻译协议(Network Address Translation)相结合时,这两个主机甚至都不会防范其它主机的存在——它们都相信它们正在直接与防火墙交流。

4.你的公司更适合采用设备解决方案还是软件解决方案?

设备一般更易于安装。一般情况下你只要插进合适的以太网电缆,进行基本的网络配置,就准备好配置防火墙规则了。另一方面,软件防火墙比较难安装,并且需要调节。它们也缺少防火墙操作系统通常所固有的安全性。如何权衡?你可以猜一下!设备更昂贵一些。

5.哪种操作系统最能满足你的要求?

即使设备可以运行操作系统,在你防火墙管理职业生涯中,你有时可能会需要使用该操作系统。如果你是Linux系统操作员,你可能不想选择一种基于 Windows系统的防火墙。另一方面,如果你不了解/var/log的/dev/null, 你就可能想要避开使用基于Unix系统的解决方案。 虽然,我不知道你的需求,就不能给你建议一种具体的防火墙,但是回答这些问题的过程可以帮助你打定主意,做出正确的选择。有了这些答案,在选择购买防火墙时,你应该能够明智地评价当前市场上各种产品的成本/优点了。

Tags:如何 选择 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接