防火墙采购计划的四点建议
2006-12-05 12:38:43 来源:WEB开发网防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。如何选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。用户在选购时,应主要从以下五个方面仔细分析和比较。
第一 投资保护
考查开发商实力
随着安全技术的快速发展,防火墙软硬件需要经常升级和维护,因此,厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性,在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史、该产品的销售纪录,并通过多种渠道了解产品的应用状况。
考查产品认证
通过了某种认证,意味着该产品通过了相应的检测。在选择产品时,要注意检查所购产品通过了哪些认证,而且在可能的情况下,要向厂商索取测试文档,以便确切了解产品的各项指标,作为产品选型的依据。目前主要的认证有四种:中国信息安全产品测评认证中心的认证(针对企业应用)、国家保密局测评认证中心的认证(针对政府涉密网应用)、公安部计算机信息安全产品质量监督检验中心(获得销售许可)以及中国人民解放军信息安全测评认证中心(针对军队使用)。
考查厂商服务
防火墙的合理配置和使用是防火墙能够发挥预定作用的关键所在,因此厂商的培训和服务支持,尤其是售后的培训和升级服务非常重要。在购买产品前,不仅要询问厂商是否具备技术支持电话和网上在线支持,是否能对产品的安装、配置及使用予以明确指导,更为重要的是考察厂商的快速响应能力:一旦使用中遇到用户解决不了的问题或故障时,厂商能否及时响应、快速解决问题。
考查与其他产品的互融和开放性
网络安全不是一两个厂商的一两个产品就能解决的问题,因此,如何保证网络中的多个安全产品能够很好地共融、联动、集成,就成为保护用户投资的非常重要的因素。在产品选型时,需要考察该产品能够与哪些厂商的哪些产品实现联动和集成,是否对其他厂商开放应用接口,是否加入开放性的安全联盟,如OPSEC、TOPSEC等。
第二 产品功能
确定所需类型
按工作机制的不同,防火墙可分为包过滤型、服务代理型以及复合型防火墙。从适用对象来划分,可分为企业级防火墙与个人防火墙。同时,按平台的不同,防火墙产品可以分为软件防火墙和硬件防火墙。由于这两种类型的防火墙在不同的方面各有优势,用户在选购的时候还是需要根据自己的需求考虑,在这里只作简单的对比。
包过滤
用户在选购时,应该分析所选产品的规则框架,考察其访问控制的粒度是否足够细;对于同样一条规则,是否提供了不同时间段的控制手段;规则配置是否提供了友善的界面;是否可以很容易地体现网管的安全意志。
软件防火墙和硬件防火墙比较
衡量指标 | 软件防火墙 | 硬件防火墙 |
安装 | 较复杂 | 简单 |
安全性 | 高 | 较高 |
性能 | 依赖硬件平台 | 高 |
管理 | 简单 | 较复杂 |
维护费用 | 低 | 高 |
扩展性 | 高 | 低 |
配置灵活性 | 高 | 低 |
价格 | 低 | 高 |
应用代理
一般来说,针对HTTP协议、POP3/SMTP协议、FTP协议、TELNET协议的过滤和过滤粒度是选择该产品最为重要的指标,同时也是每一款代理型防火墙都必须具备的功能。好的防火墙应可支持基于时间的访问控制功能。另外,有些防火墙还可支持内容过滤,安全级别较高的防火墙还可根据主机IP地址或用户名控制访问信息的最大流量。
安全管理
用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,所以安全管理是选购时需要关注的重点环节。 安全审计功能
安全审计是防火墙的一个十分重要的功能,它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。
第三 产品性能
作为影响网络性能的瓶颈,防火墙性能是用户在选购时必须重点考察的指标。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率,通常将它作为衡量防火墙性能的最重要的指标,我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。对性能的考察需要专业的测试,用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面,更为重要的还是权威测评机构出具的性能测试报告。
第四 安全性
防火墙作为一种安全防护设备,在网络中是众多攻击者的目标,故其自身的安全性十分重要。防火墙自身的安全性主要体现在自身设计和管理两个方面。
支撑平台
因此,在选购时应考察防火墙的支撑平台,一般来说,防火墙至少应构建于安全操作系统之上,有些产品采用的专用操作系统甚至是专用的硬件平台,其安全性可以得到更好的保证。
抗攻击性
防火墙因为是网络中名副其实的众矢之的,所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击:拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击、抗扫描。
防火墙自身的安全
为了防止冒用,防火墙应该采取密码、电子钥匙等设置,并采用强用户认证机制。即管理员必须通过双因子认证,才能登录,对配置和访问权限进行修改。同时,管理主机与防火墙之间的通信一般采用加密传输。好的防火墙会具有双机备份功能,在实现上不应存在高中风险的安全漏洞。这一点,用户可以参照权威测试部门的测试报告。
防火墙采购一览表
基本信息 | 配置 | 功能 | 报警 | ||||||||||||||||
公司名称 | 产品名称 | 产品类型 | 并发连接数 | 接口类型 | 最大lan接口数 | 支持的非ip协议 | 内置ids | 内置vpn | 支持nat | 查杀病毒 | 内容过滤 | 联动 | 远程管理 | 带宽管理 | 自动报表 | 警告通知机制 | 提供简要报表 | 提供实时统计 | |
soho防火墙 | check point | soho 防火墙 | 硬件 | 快速以太网 | 4 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 实时告警 | 支持 | 支持 | |||
百兆防火墙 | 3com | super stack 3 | 硬件 | 30k | 快速以太网 | 3 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||||
ca | etrust firewall | 软件 | 无限制 | 以太网 | 无限制 | 支持 | 支持 | 支持 | 支持 | e-mail、snmp、传真等 | 支持 | 支持 | |||||||
check point | 企业级 防火墙 | 软硬结合 | 1.5m | 快速以太网等 | 无限制 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||
d-link | dfl-2000 | 硬件 | 150k | 快速以太网 | 3 | 支持 | 支持 | 支持 | 支持 | 支持 | e-mail、snmp、 声音提示 | 支持 | 支持 | ||||||
netgear | fvs318 | 硬件 | 10k | 快速以太网 | 8 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | e-maill、实时报警 | 支持 | 支持 | ||
netscreen | netscr een-200 | 硬件 | 128k | 快速以太网 | 8 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | snmp、e-mail、global pro | 支持 | ||||
nokia | ip30 | 硬件 | 快速以太网 | 1+4 | 支持 | 支持 | 支持 | 支持 | 支持 | 管理界面报警 | 支持 | ||||||||
symantec | veloci raptor | 硬件 | 500k | 快速以太网等 | 4 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | e-mail、snmp 、告 警灯等 | 支持 | 支持 | ||
阿姆瑞特 | f300 | 硬件 | 300k | 快速以太网 | 5 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | |||||||
安软 | ever link | 软件 | 26535 | 快速以太网、modem | 2 | 支持 | 支持 | 支持 | 支持 | 图标闪烁、消息报警 | 支持 | 支持 | |||||||
安氏 | link trust cybe rwall -100 | 硬件 | 200k | 快速以太网 | 4 | ipx、net beui | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||
东软 | neteye fw 4032 | 软硬结合 | 32k | 快速以太网 | 8 | 所有的以太网协议 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 蜂鸣、邮件、snmp | 支持 | 支持 | |
方正 | 方通2000 | 硬件 | 100k | 快速以太网、串口 | 1 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||||
冠群金辰 | secue100 | 硬件 | 60k | 快速以太网 | 3 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||||
联想 | 网御2000 百兆防 火墙 | 硬件 | 300k | 快速以太网 | 6 | ipx、net beui | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||
清华得实 | netst 1000 | 硬件 | 50k | rj-45 | 3 | ipx | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 在线报警 | 支持 | 支持 | ||
瑞星 | 瑞星企 业级防 火墙 | 硬件 | 50k | 以太网 | 3 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||||||
三星 | secuiw all100c | 软硬结合 | 100k | rj-45 | 5 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | e-mail、短信等 | 支持 | 支持 | |||
上广电应确信 | u-trust sf300 | 硬件 | 128k | 快速以太网 | 3 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | |||||||
苏富特 | soft wall | 硬件 | 300k | 以太网 | 8 | ipx | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | |||||
天融信 | ngfw 4000 | 硬件 | 500k | 以太网 | 12 | ipx、net beui | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | |||
千兆防火墙 | check point | 千兆 防火墙 | 软硬结合 | 1.5m | 千兆以太网 | 无限制 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||
netscreen | netsc reen- 5000 | 硬件 | 1m | 快速以太网、ge | 72+6 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | snmp、e-mail、global pro | 支持 | |||||
nokia | ip740 | 硬件 | 1m | 快速/千兆以太网等 | 6+20 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | e-mail、报警、snmp等 | 支持 | 支持 | ||
sonicwall | gx 650 | 硬件 | 500k | 千兆以太网 | 3+2 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||||
stonesoft | stone gate | 软件 | 1m | 千兆以太网 | 无限制 | icmp | 支持 | 支持 | 支持 | 支持 | e-mail、snmp、对话框等 | 支持 | 支持 | ||||||
阿姆瑞特 | f600+ | 硬件 | 300k | 快速/千兆以太网 | 2 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||||||||
安氏 | link trust cyber wall -1000 | 硬件 | 1m | 快速/千兆以太网等 | 3+12 | ipx、net beui | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||
冠群金辰 | secue 2000 | 硬件 | 500k | gbic、gb、以太网 | 4 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | ||||||
联想 | 网御2000千兆防火墙 | 硬件 | 500k | 千兆以太网 | 3 | ipx、net beui等 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | |||
清华得实 | nets t5000 | 硬件 | 500k | 千兆以太网 | 8 | ipx | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 在线报警 | 支持 | 支持 | ||
天网 | 天网防火墙 | 硬件 | 500k | rj-45 | 6 | 常见协议 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 |
更多精彩
赞助商链接