4000-110-253
企業用戶選購防火(huǒ)牆系統的十個(gè)注意事項. 2020-09-15
防火(huǒ)牆是目前使用最為(wèi)廣泛的網絡安全産品之一,用戶在選購時(shí)應該注意以下幾點:
一、防火(huǒ)牆自身的安全性
防火(huǒ)牆自身的安全性主要體(tǐ)現在自身設計(jì)和(hé)管理(lǐ)兩個(gè)方面。設計(jì)的安全性關鍵在于操作(zuò)系統,隻有(yǒu)自身具有(yǒu)完整信任關系的操作(zuò)系統才可(kě)以談論系統的安全性。而應用系統的安全是以操作(zuò)系統的安全為(wèi)基礎的,同時(shí)防火(huǒ)牆自身的安全實現也直接影(yǐng)響整體(tǐ)系統的安全性。
二、系統的穩定性
目前,由于種種原因,有(yǒu)些(xiē)防火(huǒ)牆尚未最後定型或經過嚴格的大(dà)量測試就被推向了市場(chǎng),其穩定性可(kě)想而知。防火(huǒ)牆的穩定性可(kě)以通(tōng)過幾種方法判斷:
1.從權威的測評認證機構獲得(de)。例如,你(nǐ)可(kě)以通(tōng)過與其它産品相比,考察某種産品是否獲得(de)更多(duō)的國家(jiā)權威機構的認證、推薦和(hé)入網證明(míng)(書(shū)),來(lái)間(jiān)接了解其穩定性。
2.實際調查,這是最有(yǒu)效的辦法:考察這種防火(huǒ)牆是否已經有(yǒu)了使用單位、其用戶量如何,特别是用戶們對于該防火(huǒ)牆的評價。
3.自己試用。在自己的網絡上(shàng)進行(xíng)一段時(shí)間(jiān)的試用(一個(gè)月左右)。
4.廠商開(kāi)發研制(zhì)的曆史。一般來(lái)說,如果沒有(yǒu)兩年以上(shàng)的開(kāi)發經曆,很(hěn)難保證産品的穩定性。
5. 廠商實力,如資金、技(jì)術(shù)開(kāi)發人(rén)員、市場(chǎng)銷售人(rén)員和(hé)技(jì)術(shù)支持人(rén)員多(duō)少(shǎo)等等。
三、是否高(gāo)效
高(gāo)性能是防火(huǒ)牆的一個(gè)重要指标,它直接體(tǐ)現了防火(huǒ)牆的可(kě)用性。如果由于使用防火(huǒ)牆而帶來(lái)了網絡性能較大(dà)幅度的下降,就意味着安全代價過高(gāo)。一般來(lái)說,防火(huǒ)牆加載上(shàng)百條規則,其性能下降不應超過5%(指包過濾防火(huǒ)牆)。
四、是否可(kě)靠
可(kě)靠性對防火(huǒ)牆類訪問控制(zhì)設備來(lái)說尤為(wèi)重要,直接影(yǐng)響受控網絡的可(kě)用性。從系統設計(jì)上(shàng),提高(gāo)可(kě)靠性的措施一般是提高(gāo)本身部件的強健性、增大(dà)設計(jì)阈值和(hé)增加冗餘部件,這要求有(yǒu)較高(gāo)的生(shēng)産标準和(hé)設計(jì)冗餘度。
五、是否功能靈活
對通(tōng)信行(xíng)為(wèi)的有(yǒu)效控制(zhì),要求防火(huǒ)牆設備有(yǒu)一系列不同級别,滿足不同用戶的各類安全控制(zhì)需求的控制(zhì)注意。例如對普通(tōng)用戶,隻要對 IP 地址進行(xíng)過濾即可(kě);如果是內(nèi)部有(yǒu)不同安全級别的子網,有(yǒu)時(shí)則必須允許高(gāo)級别子網對低(dī)級别子網進行(xíng)單向訪問。
六、是否配置方便
在網絡入口和(hé)出口處安裝新的網絡設備是每個(gè)網管員的惡夢, 因為(wèi)這意味着必須修改幾乎全部現有(yǒu)設備的配置。支持透明(míng)通(tōng)信的防火(huǒ)牆,在安裝時(shí)不需要對原網絡配置做(zuò)任何改動,所做(zuò)的工作(zuò)隻相當于接一個(gè)網橋或Hub。
七、是否管理(lǐ)簡便
網絡技(jì)術(shù)發展很(hěn)快,各種安全事件不斷出現,這就要求安全管理(lǐ)員經常調整網絡安全注意。對于防火(huǒ)牆類訪問控制(zhì)設備,除安全控制(zhì)注意的不斷調整外,業務系統訪問控制(zhì)的調整也很(hěn)頻繁,這些(xiē)都要求防火(huǒ)牆的管理(lǐ)在充分考慮安全需要的前提下,必須提供方便靈活的管理(lǐ)方式和(hé)方法,這通(tōng)常體(tǐ)現為(wèi)管理(lǐ)途徑、管理(lǐ)工具和(hé)管理(lǐ)權限。
八、是否可(kě)以抵抗拒絕服務攻擊
在當前的網絡攻擊中, 拒絕服務攻擊是使用頻率最高(gāo)的方法。抵抗拒絕服務攻擊應該是防火(huǒ)牆的基本功能之一。目前有(yǒu)很(hěn)多(duō)防火(huǒ)牆号稱可(kě)以抵禦拒絕服務攻擊,但(dàn)嚴格地說,它應該是可(kě)以降低(dī)拒絕服務攻擊的危害而不是抵禦這種攻擊。在采購防火(huǒ)牆時(shí),網管人(rén)員應該詳細考察這一功能的真實性和(hé)有(yǒu)效性。
九、是否可(kě)以針對用戶身份過濾
防火(huǒ)牆過濾報文,需要一個(gè)針對用戶身份而不是IP地址進行(xíng)過濾的辦法。目前常用的是一次性口令驗證機制(zhì), 保證用戶在登錄防火(huǒ)牆時(shí), 口令不會(huì)在網絡上(shàng)洩露, 這樣,防火(huǒ)牆就可(kě)以确認登錄上(shàng)來(lái)的用戶确實和(hé)他所聲稱的一緻。
十、是否可(kě)擴展、可(kě)升級
用戶的網絡不是一成不變的,和(hé)防病毒産品類似,防火(huǒ)牆也必須不斷地進行(xíng)升級,此時(shí)支持軟件升級就很(hěn)重要了。如果不支持軟件升級的話(huà),為(wèi)了抵禦新的攻擊手段,用戶就必須進行(xíng)硬件上(shàng)的更換,而在更換期間(jiān)網絡是不設防的,同時(shí)用戶也要為(wèi)此花(huā)費更多(duō)的錢(qián)。
深信服下一代防火(huǒ)牆通(tōng)過提出“融合安全,簡單有(yǒu)效”價值主張,為(wèi)用戶業務提供全生(shēng)命周期保護,真正實現全程可(kě)視(shì)和(hé)全程保護。
事前:深信服NGAF幫助用戶在事前自動發現新增資産、評估漏洞及是否有(yǒu)保護策略。
事中:構建L2-7層縱深防禦體(tǐ)系,屏蔽防護短(duǎn)闆且具備聯動和(hé)關聯分析能力。
事後:持續檢測繞過防禦的威脅,并通(tōng)過雲端安全服務提供7*24小(xiǎo)時(shí)快速響應的技(jì)術(shù)服務。在IT業務運維全過程內(nèi)向用戶提供對風險的認知、對保護過程的認知和(hé)對結果的認知,幫助您的IT系統更簡單、更安全、更有(yǒu)價值。
