WEB开发网
开发学院网络安全防火墙 防火墙采购计划的四点建议 阅读

防火墙采购计划的四点建议

 2006-12-05 12:38:43 来源:WEB开发网   
核心提示:防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,防火墙采购计划的四点建议,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务,在实现上不应存在高中风险的安全漏洞,这一点,如何选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻

防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。如何选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。用户在选购时,应主要从以下五个方面仔细分析和比较。

第一 投资保护

考查开发商实力

随着安全技术的快速发展,防火墙软硬件需要经常升级和维护,因此,厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性,在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史、该产品的销售纪录,并通过多种渠道了解产品的应用状况。

考查产品认证

通过了某种认证,意味着该产品通过了相应的检测。在选择产品时,要注意检查所购产品通过了哪些认证,而且在可能的情况下,要向厂商索取测试文档,以便确切了解产品的各项指标,作为产品选型的依据。目前主要的认证有四种:中国信息安全产品测评认证中心的认证(针对企业应用)、国家保密局测评认证中心的认证(针对政府涉密网应用)、公安部计算机信息安全产品质量监督检验中心(获得销售许可)以及中国人民解放军信息安全测评认证中心(针对军队使用)。

考查厂商服务

防火墙的合理配置和使用是防火墙能够发挥预定作用的关键所在,因此厂商的培训和服务支持,尤其是售后的培训和升级服务非常重要。在购买产品前,不仅要询问厂商是否具备技术支持电话和网上在线支持,是否能对产品的安装、配置及使用予以明确指导,更为重要的是考察厂商的快速响应能力:一旦使用中遇到用户解决不了的问题或故障时,厂商能否及时响应、快速解决问题。

考查与其他产品的互融和开放性

网络安全不是一两个厂商的一两个产品就能解决的问题,因此,如何保证网络中的多个安全产品能够很好地共融、联动、集成,就成为保护用户投资的非常重要的因素。在产品选型时,需要考察该产品能够与哪些厂商的哪些产品实现联动和集成,是否对其他厂商开放应用接口,是否加入开放性的安全联盟,如OPSEC、TOPSEC等。

第二 产品功能

确定所需类型

按工作机制的不同,防火墙可分为包过滤型、服务代理型以及复合型防火墙。从适用对象来划分,可分为企业级防火墙与个人防火墙。同时,按平台的不同,防火墙产品可以分为软件防火墙和硬件防火墙。由于这两种类型的防火墙在不同的方面各有优势,用户在选购的时候还是需要根据自己的需求考虑,在这里只作简单的对比。

包过滤

用户在选购时,应该分析所选产品的规则框架,考察其访问控制的粒度是否足够细;对于同样一条规则,是否提供了不同时间段的控制手段;规则配置是否提供了友善的界面;是否可以很容易地体现网管的安全意志。

软件防火墙和硬件防火墙比较

衡量指标软件防火墙硬件防火墙
安装较复杂简单
安全性较高
性能依赖硬件平台
管理简单较复杂
维护费用
扩展性
配置灵活性
价格

应用代理

一般来说,针对HTTP协议、POP3/SMTP协议、FTP协议、TELNET协议的过滤和过滤粒度是选择该产品最为重要的指标,同时也是每一款代理型防火墙都必须具备的功能。好的防火墙应可支持基于时间的访问控制功能。另外,有些防火墙还可支持内容过滤,安全级别较高的防火墙还可根据主机IP地址或用户名控制访问信息的最大流量。

安全管理

用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,所以安全管理是选购时需要关注的重点环节。 安全审计功能

安全审计是防火墙的一个十分重要的功能,它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。

第三 产品性能

作为影响网络性能的瓶颈,防火墙性能是用户在选购时必须重点考察的指标。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率,通常将它作为衡量防火墙性能的最重要的指标,我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。对性能的考察需要专业的测试,用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面,更为重要的还是权威测评机构出具的性能测试报告。

第四 安全性

防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,故其自身的安全性十分重要。防火墙自身的安全性主要体现在自身设计和管理两个方面。

支撑平台

因此,在选购时应考察防火墙的支撑平台,一般来说,防火墙至少应构建于安全操作系统之上,有些产品采用的专用操作系统甚至是专用的硬件平台,其安全性可以得到更好的保证。

抗攻击性

防火墙因为是网络中名副其实的众矢之的,所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击:拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击、抗扫描。

防火墙自身的安全

为了防止冒用,防火墙应该采取密码、电子钥匙等设置,并采用强用户认证机制。即管理员必须通过双因子认证,才能登录,对配置和访问权限进行修改。同时,管理主机与防火墙之间的通信一般采用加密传输。好的防火墙会具有双机备份功能,在实现上不应存在高中风险的安全漏洞。这一点,用户可以参照权威测试部门的测试报告。

防火墙采购一览表

基本信息

配置

功能

报警

公司名称

产品名称

产品类型

并发连接数

接口类型

最大lan接口数

支持的非ip协议

内置ids

内置vpn

支持nat

查杀病毒

内容过滤

联动

远程管理

带宽管理

自动报表

警告通知机制

提供简要报表

提供实时统计

soho防火墙

check point

soho

防火墙

硬件

快速以太网

4

支持

支持

支持

支持

支持

支持

支持

支持

实时告警

支持

支持

百兆防火墙

3com

super

stack 3

硬件

30k

快速以太网

3

支持

支持

支持

支持

支持

支持

支持

支持

支持

ca

etrust firewall

软件

无限制

以太网

无限制

支持

支持

支持

支持

e-mail、snmp、传真等

支持

支持

check point

企业级

防火墙

软硬结合

1.5m

快速以太网等

无限制

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

d-link

dfl-2000

硬件

150k

快速以太网

3

支持

支持

支持

支持

支持

e-mail、snmp、

声音提示

支持

支持

netgear

fvs318

硬件

10k

快速以太网

8

支持

支持

支持

支持

支持

支持

支持

支持

支持

e-maill、实时报警

支持

支持

netscreen

netscr

een-200

硬件

128k

快速以太网

8

支持

支持

支持

支持

支持

支持

支持

支持

snmp、e-mail、global pro

支持

nokia

ip30

硬件

快速以太网

1+4

支持

支持

支持

支持

支持

管理界面报警

支持

symantec

veloci

raptor

硬件

500k

快速以太网等

4

支持

支持

支持

支持

支持

支持

支持

支持

支持

e-mail、snmp

、告

警灯等

支持

支持

阿姆瑞特

f300

硬件

300k

快速以太网

5

支持

支持

支持

支持

支持

支持

支持

安软

ever

link

软件

26535

快速以太网、modem

2

支持

支持

支持

支持

图标闪烁、消息报警

支持

支持

安氏

link

trust cybe

rwall

-100

硬件

200k

快速以太网

4

ipx、net

beui

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

东软

neteye

fw 4032

软硬结合

32k

快速以太网

8

所有的以太网协议

支持

支持

支持

支持

支持

支持

支持

支持

支持

蜂鸣、邮件、snmp

支持

支持

方正

方通2000

硬件

100k

快速以太网、串口

1

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

冠群金辰

secue100

硬件

60k

快速以太网

3

支持

支持

支持

支持

支持

支持

支持

支持

e-mail

支持

支持

联想

网御2000

百兆防

火墙

硬件

300k

快速以太网

6

ipx、net

beui

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

清华得实

netst

1000

硬件

50k

rj-45

3

ipx

支持

支持

支持

支持

支持

支持

支持

支持

在线报警

支持

支持

瑞星

瑞星企

业级防

火墙

硬件

50k

以太网

3

支持

支持

支持

支持

支持

支持

e-mail

支持

支持

三星

secuiw

all100c

软硬结合

100k

rj-45

5

支持

支持

支持

支持

支持

支持

支持

支持

e-mail、短信等

支持

支持

上广电应确信

u-trust sf300

硬件

128k

快速以太网

3

支持

支持

支持

支持

支持

支持

支持

苏富特 

soft

wall

硬件

300k

以太网 

8

ipx

支持

支持

支持

支持

支持

支持

支持

支持

天融信

ngfw

4000

硬件

500k

以太网

12

ipx、net

beui

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

千兆防火墙

check point

千兆

防火墙

软硬结合

1.5m

千兆以太网

无限制

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

netscreen

netsc

reen-

5000

硬件

1m

快速以太网、ge

72+6

支持

支持

支持

支持

支持

支持

支持

snmp、e-mail、global pro

支持

nokia

ip740

硬件

1m

快速/千兆以太网等

6+20

支持

支持

支持

支持

支持

支持

支持

支持

支持

e-mail、报警、snmp等

支持

支持

sonicwall

gx 650

硬件

500k

千兆以太网

3+2

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

stonesoft

stone

gate

软件

1m

千兆以太网

无限制

icmp

支持

支持

支持

支持

e-mail、snmp、对话框等

支持

支持

阿姆瑞特

f600+

硬件

300k

快速/千兆以太网

2

支持

支持

支持

支持

支持

支持

安氏

link

trust cyber

wall

-1000

硬件

1m

快速/千兆以太网等

3+12

ipx、net

beui

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

冠群金辰

secue

2000

硬件

500k

gbic、gb、以太网

4

支持

支持

支持

支持

支持

支持

e-mail

支持

支持

联想

网御2000千兆防火墙

硬件

500k

千兆以太网

3

ipx、net

beui等

支持

支持

支持

支持

支持

支持

支持

支持

支持

支持

清华得实

nets

t5000

硬件

500k

千兆以太网

8

ipx

支持

支持

支持

支持

支持

支持

支持

支持

在线报警

支持

支持

天网

天网防火墙

硬件

500k

rj-45

6

常见协议

支持

支持

支持

支持

支持

支持

支持

支持

支持

 

Tags:防火墙 采购 计划

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接