有一些問(wèn)題常令用戶困惑：在產(chǎn)品的功能上，各個(gè)廠商的描述十分雷同，一些“后起之秀”與知名品牌極其相似。面對(duì)這種情況，該如何鑒別？

　　描述得十分類似的產(chǎn)品，即使是同一個(gè)功能，在具體實(shí)現(xiàn)上、在可用性和易用性上，個(gè)體差異地十分明顯。

　　一、網(wǎng)絡(luò)層的訪問(wèn)控制

　　所有防火墻都必須具備此項(xiàng)功能，否則就不能稱其為防火墻。當(dāng)然，大多數(shù)的路由器也可以通過(guò)自身的ACL來(lái)實(shí)現(xiàn)此功能。

　　1．規(guī)則編輯

　　對(duì)網(wǎng)絡(luò)層的訪問(wèn)控制主要表現(xiàn)在防火墻的規(guī)則編輯上，我們一定要考察：對(duì)網(wǎng)絡(luò)層的訪問(wèn)控制是否可以通過(guò)規(guī)則表現(xiàn)出來(lái)？訪問(wèn)控制的粒度是否足夠細(xì)？同樣一條規(guī)則，是否提供了不同時(shí)間段的控制手段？規(guī)則配置是否提供了友善的界面？是否可以很容易地體現(xiàn)網(wǎng)管的安全意志？

　　2．IP/MAC地址綁定

　　同樣是IP/MAC地址綁定功能，有一些細(xì)節(jié)必須考察，如防火墻能否實(shí)現(xiàn)IP地址和MAC地址的自動(dòng)搜集？對(duì)違反了IP/MAC地址綁定規(guī)則的訪問(wèn)是否提供相應(yīng)的報(bào)警機(jī)制？因?yàn)檫@些功能非常實(shí)用，如果防火墻不能提供IP地址和MAC地址的自動(dòng)搜集，網(wǎng)管可能被迫采取其他的手段獲得所管轄用戶的IP與MAC地址，這將是一件非常乏味的工作。

　　3、NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）

　　這一原本路由器具備的功能已逐漸演變成防火墻的標(biāo)準(zhǔn)功能之一。但對(duì)此一項(xiàng)功能，各廠家實(shí)現(xiàn)的差異非常大，許多廠家實(shí)現(xiàn)NAT功能存在很大的問(wèn)題：難于配置和使用，這將會(huì)給網(wǎng)管員帶來(lái)巨大的麻煩。我們必須學(xué)習(xí)NAT的工作原理，提高自身的網(wǎng)絡(luò)知識(shí)水平，通過(guò)分析比較，找到一種在NAT配置和使用上簡(jiǎn)單處理的防火墻。

　　二、應(yīng)用層的訪問(wèn)控制

　　這一功能是各個(gè)防火墻廠商的實(shí)力比拼點(diǎn)，也是最出彩的地方。因?yàn)楹芏嗷诿赓M(fèi)操作系統(tǒng)實(shí)現(xiàn)的防火墻雖然可以具備狀態(tài)監(jiān)測(cè)模塊（因?yàn)長(zhǎng)inux、FreeBSD等的內(nèi)核模塊已經(jīng)支持狀態(tài)監(jiān)測(cè)），但是對(duì)應(yīng)用層的控制卻無(wú)法實(shí)現(xiàn)“拿來(lái)主義”，需要實(shí)實(shí)在在的編程。

　　對(duì)應(yīng)用層的控制上，在選擇防火墻時(shí)可以考察以下幾點(diǎn)。

　　1．是否提供HTTP協(xié)議的內(nèi)容過(guò)濾？

　　目前企業(yè)網(wǎng)絡(luò)環(huán)境中，最主要的兩種應(yīng)用是WWW訪問(wèn)和收發(fā)電子郵件。能否對(duì)WWW訪問(wèn)進(jìn)行細(xì)粒度的控制反映了一個(gè)防火墻的技術(shù)實(shí)力。

　　2．是否提供SMTP協(xié)議的內(nèi)容過(guò)濾？

　　對(duì)電子郵件的攻擊越來(lái)越多：郵件炸彈、郵件病毒、泄漏機(jī)密信息等等，能否提供基于SMTP協(xié)議的內(nèi)容過(guò)濾以及過(guò)濾的粒度粗細(xì)成了用戶關(guān)注的焦點(diǎn)。

　　3． 是否提供FTP協(xié)議的內(nèi)容過(guò)濾？

　　在考察這一功能時(shí)一定要細(xì)心加小心，很多廠家的防火墻都宣傳說(shuō)具備FTP的內(nèi)容過(guò)濾，但細(xì)心對(duì)比就會(huì)發(fā)現(xiàn)，其中絕大多數(shù)僅實(shí)現(xiàn)了FTP協(xié)議中兩個(gè)命令的控制：PUT和GET。好的防火墻應(yīng)該可以對(duì)FTP其他所有的命令進(jìn)行控制，包括CD、LS等，要提供基于命令級(jí)控制，實(shí)現(xiàn)對(duì)目錄和文件的訪問(wèn)控制，全部過(guò)濾均支持通配符。

　　三、管理和認(rèn)證

　　這是防火墻非常重要的功能。目前，防火墻管理分為基于WEB界面的WUI管理方式、基于圖形用戶界面的GUI管理方式和基于命令行CLI的管理方式。

　　各種管理方式中，基于命令行的CLI方式最不適合防火墻。

　　WUI和GUI的管理方式各有優(yōu)缺點(diǎn)。

　　WUI的管理方式簡(jiǎn)單，不用專門的管理軟件，只要配備瀏覽器就行；同時(shí)，WUI的管理界面非常適合遠(yuǎn)程管理，只要防火墻配置一個(gè)可達(dá)的IP，可實(shí)現(xiàn)在美國(guó)管理位于中國(guó)分公司的防火墻。

　　WUI形式的防火墻也有缺點(diǎn)：首先，WEB界面非常不適合進(jìn)行復(fù)雜、動(dòng)態(tài)的頁(yè)面顯示，一般的WUI界面很難顯示豐富的統(tǒng)計(jì)圖表，所以對(duì)于審計(jì)、統(tǒng)計(jì)功能要求比較苛刻的用戶，盡量不要選擇WUI方式；另外，它將導(dǎo)致防火墻管理安全威脅增大，如果用戶在家里通過(guò)瀏覽器管理位于公司的防火墻，信任關(guān)系僅僅依賴于一個(gè)簡(jiǎn)單的用戶名和口令，黑客很容易猜測(cè)到口令，這增加了安全威脅。

　　GUI是目前絕大多數(shù)防火墻普遍采用的方式。這種方式的特點(diǎn)是專業(yè)，可以提供豐富的管理功能，便于管理員對(duì)防火墻進(jìn)行配置。但缺點(diǎn)是需要專門的管理端軟件，同時(shí)在遠(yuǎn)程和集中管理方面沒有WUI管理方式靈活。

　　四、審計(jì)和日志以及存儲(chǔ)方式

　　目前絕大多數(shù)防火墻都提供了審計(jì)和日志功能，區(qū)別是審計(jì)的粒度粗細(xì)不同、日志的存儲(chǔ)方式和存儲(chǔ)量不同。

　　很多防火墻的審計(jì)和日志功能很弱，這一點(diǎn)在那些以DOM、DOC等電子盤（并且不提供網(wǎng)絡(luò)數(shù)據(jù)庫(kù)支持）為存儲(chǔ)介質(zhì)的防火墻中體現(xiàn)得尤為明顯，有些甚至沒有區(qū)分事件日志和訪問(wèn)日志。如果需要豐富的審計(jì)和日志功能，就需要考察防火墻的存儲(chǔ)方式，如果是DOM、DOC等Flash電子盤的存儲(chǔ)方式，將可能限制審計(jì)和日志的功能效果。

　　目前絕大多數(shù)防火墻審計(jì)日志采用硬盤存儲(chǔ)的方式，這種方式的優(yōu)點(diǎn)是可以存儲(chǔ)大量的日志（幾個(gè)G到幾十個(gè)G），但是在某些極端的情況下，如異常掉電，硬盤受到的損壞往往要比電子盤的損壞嚴(yán)重。

　　好的防火墻應(yīng)該提供多種存儲(chǔ)方式，便于用戶靈活選擇和使用。

　　五、如何區(qū)分包過(guò)濾和狀態(tài)監(jiān)測(cè)

　　一些小公司為了推銷自己的防火墻產(chǎn)品，往往宣稱采用的是狀態(tài)監(jiān)測(cè)技術(shù); 從表面上看，我們往往容易被迷惑。這里給出區(qū)分這兩種技術(shù)的小技巧。

　　1. 是否提供實(shí)時(shí)連接狀態(tài)查看？

　　狀態(tài)監(jiān)測(cè)防火墻可以提供查看當(dāng)前連接狀態(tài)的功能和界面，并且可以實(shí)時(shí)斷掉當(dāng)前連接，這個(gè)連接應(yīng)該具有豐富的信息，包括連接雙方的IP、端口、連接狀態(tài)、連接時(shí)間等等，而簡(jiǎn)單包過(guò)濾卻不具備這項(xiàng)功能。

　　2. 是否具備動(dòng)態(tài)規(guī)則庫(kù)？

　　某些應(yīng)用協(xié)議不僅僅使用一個(gè)連接和一個(gè)端口，往往通過(guò)一系列相關(guān)聯(lián)的連接完成一個(gè)應(yīng)用層的操作。比如FTP協(xié)議，用戶命令是通過(guò)對(duì)21端口的連接傳輸，而數(shù)據(jù)則通過(guò)另一個(gè)臨時(shí)建立的連接（缺省的源端口是20，在PASSIVE模式下則是臨時(shí)分配的端口）傳輸。對(duì)于這樣的應(yīng)用，包過(guò)濾防火墻很難簡(jiǎn)單設(shè)定一條安全規(guī)則，往往不得不開放所有源端口為20的訪問(wèn)。

　　狀態(tài)監(jiān)測(cè)防火墻則可以支持動(dòng)態(tài)規(guī)則，通過(guò)跟蹤應(yīng)用層會(huì)話的過(guò)程自動(dòng)允許合法的連接進(jìn)入，禁止其他不符合會(huì)話狀態(tài)的連接請(qǐng)求。對(duì)于FTP來(lái)說(shuō)，只需防火墻中設(shè)定一條對(duì)21端口的訪問(wèn)規(guī)則，就可以保證FTP傳輸?shù)恼＃≒ASSIVE方式的數(shù)據(jù)傳輸。這一功能不僅使規(guī)則更加簡(jiǎn)單，同時(shí)消除了必須開放所有20端口的危險(xiǎn)。

最新評(píng)論