作為保護網絡的主力安全設備,經過多年的發展,防火墻的技術已經逐步趨于成熟。即便如此,用戶在選購防火墻時仍需擦亮眼睛。
防火墻是一種部署在內外網邊界上的訪問控制設備,用來防止未經授權的通信進出被保護的內部網絡,通過邊界控制強化內部網絡的安全策略。防火墻主要分為簡單包過濾防火墻、狀態/動態檢測防火墻、應用程序代理防火墻三種。
附加功能適用就好
防火墻控制的對象是網絡數據,通過執行用戶針對2~7層制定的策略進行檢查,根據檢查結果決定接受、丟棄還是限制流量。雖然實際上防火墻也可以替換一部分路由器和交換機的功能,但過分強調這些功能的結果只能是舍本逐末。
由于在網絡中引入了防火墻設備,必然要求防火墻能夠提供相應的支持,包括可管理、環境適應能力、與已有交換機/路由器的互聯互通、一定的吞吐能力和適當的延遲等,這樣防火墻才不會成為網絡瓶頸。這些功能實際上是對防火墻的附加要求,雖然是必要的,但不會給用戶帶來增值,其總體要求是“適合就是最好的”。
雖然防火墻發展時間比較長,技術相對成熟,但關于防火墻的新概念、新技術仍然層出不窮。那么,應該如何真實評價防火墻呢?還得從用戶使用的角度深入分析,從功能/性能、管理、穩定性三方面進行考察。
功能、性能不能“兩層皮”
功能和性能一直是用戶評價防火墻的主要方面,尤其是性能由于其可量化,更是對比的重點,但真正搞明白這兩個問題卻不容易。
為了適應用戶的復雜環境和需求,也為了擁有“賣點”,現在的防火墻一般具有很多功能,這些功能單獨看都沒什么問題,比如雙機熱備功能已經通過測試,H.323動態應用支持也測試通過,但在實際環境中,我們可能需要在雙機熱備情況下使用H.323視頻會議,并要求切換時視頻不中斷,這樣可能有的防火墻就不行了,而類似的組合功能卻是用戶真正需要的。此外,防火墻的功能和性能一般會獨立評估,分為功能測試和性能測試兩部分,功能測試關心單個功能有無,性能測試關心二、三層簡單應用的性能,結果導致功能性能“兩層皮”,不能真正反映防火墻能力:測試中性能很高,但很多功能不能用,在實際使用中,當把常用的功能都打開后,性能變得很低。因此,必須把性能和功能評估結合起來才能真實評價防火墻。具體的評價應從以下幾方面入手:
● 2~7層訪問控制功能,尤其是應用層深度過濾。該功能應該能和地址映射、端口映射、VLAN Trunk支持、用戶認證、動態包過濾、流量控制等功能任意組合使用。
●安全功能,重點是抗Synflood。目前,在“黑客”的攻擊行為中,使用最多、最有效的是DDoS(分布式拒絕服務攻擊),它造成的結果是服務器拒絕服務。防火墻作為網絡的單一通道,要保證受保護網絡的安全,需要重點考察安全防護功能能否在過濾攻擊的同時保證正常訪問,是否對偽造源地址攻擊和真實源地址攻擊同時有效,能否保護服務器免受沖擊。該功能應能和地址映射、端口映射、VLAN Trunk支持、用戶認證、動態包過濾、流量控制等同時或任意組合使用。
●實用性能。性能測試一般包括6個主要方面:吞吐量、延遲、丟包率、背靠背、并發連接數、新建連接速率,實用性能即考察在接近用戶真實使用情況下的性能。
●新建連接速率。由于網絡應用具有波動性大,即不同時間訪問量差異很大的特點,要求防火墻也能適應這種情況,相應的考量指標即新建連接速率。考慮到用戶網絡和應用的復雜性,還需要打開常用功能,例如:包過濾、內容過濾、抗攻擊等情況下測試新建連接速率。
管理是關鍵
用戶要使用一個安全的防火墻系統,就需要實行一套安全的防火墻策略,這就對防火墻的實際操作人員提出了較高要求。由于不同防火墻在管理上存在差異,因此,管理的難易程度可能造成管理員的錯誤配置,使網絡產生安全隱患。因為無法要求每個網絡管理員都是網絡安全專家,所以管理是網絡安全的關鍵。除去權限管理、通信加密外,還需要重點考察單機管理方便性和集中管理這兩個方面。
就單機管理方便性來說,防火墻應能提供多種管理方式,供管理員在不同場合使用,例如:串口命令行方式適合水平較高的管理員對防火墻進行全面管理;SSH方式適合遠程維護管理;Web方式適合遠程配置;GUI方式適合遠程配置和監控。其中,Web方式不用安裝客戶端軟件,比較方便靈活;GUI安裝比較麻煩,但靈活性較強。
另外,防火墻的大客戶、行業客戶很多,管理成本可能非常高,能否對防火墻進行集中管理也很重要,包括安全策略集中定制和下發、日志集中管理與分析、設備級聯管理與實時監控等。其中,策略的集中管理最重要,因為需要保證整個企業的策略一致和安全。
綜合考察穩定性
防火墻因為串接在網絡中,一旦出現故障則會導致網絡中斷,因此,穩定性是評價防火墻的一個重要指標。由于種種原因,有些系統尚未最后定型或未經過嚴格的大量測試就被推向了市場,其穩定性可想而知。但穩定性很難直接測試,一般來說,一些久經考驗的系統的穩定性才有一定保證,如果是新的軟件或硬件系統,需要在應用中不斷完善才能逐漸穩定。用戶可以通過權威的測評認證機構、實際調查、試用、廠商實力等多個方面加以判斷。
