企業(yè)級(jí)防火墻選購,部署指南

 當(dāng)一個(gè)企業(yè)決定用防火墻來實(shí)施組織的安全策略后，下一步要做的就是選擇一個(gè)安全、實(shí)惠、合適的防火墻。選擇防火墻時(shí)，要考慮以下幾方面問題。

     一、選擇防火墻的要求 

    1?防火墻應(yīng)具備的基本功能 

     支持“除非明確允許，否則就禁止”的設(shè)計(jì)策略，即使這種策略不是最初使用的策略；本身支持安全策略，而不是添加上去的；如果組織機(jī)構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運(yùn)用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段就可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等；

     如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議），X window，HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對站點(diǎn)的訪問。防火墻應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。 

    2?其他功能 

     防火墻應(yīng)該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡日志的能力。如果防火墻使用UNIX操作系統(tǒng)，則應(yīng)提供一個(gè)完全的UNIX操作系統(tǒng)和其他一些保證數(shù)據(jù)完整的工具，應(yīng)該安裝所有的操作系統(tǒng)的補(bǔ)丁程序。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡單。 

     防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證。防火墻的設(shè)計(jì)應(yīng)該簡單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)行升級(jí)且升級(jí)必須定期進(jìn)行。 

     正像前面提到的那樣，因特網(wǎng)每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的服務(wù)和升級(jí)工作可能會(huì)對防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的適應(yīng)性是很重要的。 

    二、購買還是自己構(gòu)筑 

     一些企業(yè)具有自己組裝防火墻的能力，他們使用可用的軟件組件和設(shè)備或自己編寫一個(gè)防火墻程序。另外一些企業(yè)利用經(jīng)銷商提供的防火墻技術(shù)服務(wù)，例如相應(yīng)的硬件和軟件、開發(fā)安全策略、風(fēng)險(xiǎn)評(píng)估、安全檢測和安全培訓(xùn)等。 

     企業(yè)自己構(gòu)筑防火墻的優(yōu)勢是內(nèi)部人員了解防火墻設(shè)計(jì)的細(xì)節(jié)從而能夠方便應(yīng)用。但自制防火墻需要長時(shí)間的修建、記錄文檔和維護(hù)，費(fèi)用較高。相比之下，從銷售商那里購買防火墻是較為經(jīng)濟(jì)的。

    企業(yè)決定是否構(gòu)筑并成功地運(yùn)行一個(gè)防火墻需要考慮如下問題：

    防火墻應(yīng)該怎樣被測試?

    怎么證明防火墻按需工作?

    誰可以做日常的防火墻工作，如備份和修復(fù)?

    誰會(huì)對防火墻進(jìn)行升級(jí)更新，如安裝新的代理服務(wù)器、補(bǔ)丁程序和其他的升級(jí)程序?

    安全漏洞可以定期被更正嗎?

    誰會(huì)對用戶進(jìn)行技術(shù)支持和培訓(xùn)?

     許多銷售商不但提供安裝服務(wù)，而且提供防火墻的維護(hù)，所以如果一個(gè)企業(yè)沒有能力做上述之事，就應(yīng)考慮使用銷售商提供的服務(wù)。無論采用何種方法，公司都應(yīng)把防火墻的維護(hù)看作一種極為重要的工作，盡可能在上面多花時(shí)間。在一些小公司中，做這項(xiàng)工作可能不需要一個(gè)專職的人員，但這項(xiàng)工作應(yīng)比其他的工作更有優(yōu)先權(quán)。

     只有有效地維護(hù)一個(gè)防火墻，才能使它有效地工作。一個(gè)維護(hù)不當(dāng)?shù)姆阑饓�可能�?huì)給人一種安全的假象，而實(shí)際上卻存在著很多安全漏洞。安全策略應(yīng)清楚地反應(yīng)有效地進(jìn)行防火墻維護(hù)的重要性。在公司的管理上應(yīng)給予防火墻維護(hù)足夠的支持，如優(yōu)先提供人員、資金和其他必要的資源。

     有了防火墻，也不能放松對站點(diǎn)的管理。事實(shí)上，如果一個(gè)防火墻被突破，一個(gè)管理不善的站點(diǎn)會(huì)倍受侵?jǐn)_并遭受更嚴(yán)重的損失。一個(gè)防火墻的存在并不意味著可以減少對高素質(zhì)管理的需求。一個(gè)防火墻可以讓一個(gè)站點(diǎn)在系統(tǒng)維護(hù)上處于主動(dòng)的位置，因?yàn)榉阑饓μ峁┝艘环N屏障，所以人們就可以在系統(tǒng)維護(hù)上花更多的時(shí)間，而不是把大部分時(shí)間花在事故的處理上。

    一個(gè)站點(diǎn)在防火墻的維護(hù)中應(yīng)做以下工作：

    標(biāo)準(zhǔn)化操作系統(tǒng)的版本和軟件，以便安裝補(bǔ)丁程序和安全修補(bǔ)程序；

    應(yīng)在全站點(diǎn)內(nèi)開展有效的新程序和補(bǔ)丁程序的安裝活動(dòng)；

    使用各種服務(wù)來幫助管理系統(tǒng)，如果一些服務(wù)可以帶來更好的管理和更好的安全，那么使用這些服務(wù)；

    對主機(jī)系統(tǒng)進(jìn)行周期性的掃描檢查，以發(fā)現(xiàn)配置上的錯(cuò)誤和弱點(diǎn)，及時(shí)改正；

    確保系統(tǒng)管理員和安全管理員可以及時(shí)地通信，對站點(diǎn)的安全問題做出警告。

    三、進(jìn)一步的建議 

     沒有一個(gè)防火墻的設(shè)計(jì)能夠適用于所有的環(huán)境，所以建議選擇防火墻時(shí)，應(yīng)根據(jù)站點(diǎn)的特點(diǎn)來選擇合適的防火墻。如果站點(diǎn)是一個(gè)機(jī)密性機(jī)構(gòu)，但對某些人提供入站的FTP服務(wù)，則需要有強(qiáng)大認(rèn)證功能的防火墻。

     另外，不要把防火墻的等級(jí)看得過重。在各種報(bào)紙雜志中的等級(jí)評(píng)選中，防火墻的速度占有很大的比重。如果站點(diǎn)通過T1線路或更慢的線路連接到因特網(wǎng)上，大多數(shù)防火墻的速度完全能滿足站點(diǎn)的需要。

    下面是選購一個(gè)防火墻時(shí)，應(yīng)該考慮的其他因素：

    網(wǎng)絡(luò)受威脅的程度；

    若入侵者闖入網(wǎng)絡(luò)，將要受到的潛在的損失；

    其他已經(jīng)用來保護(hù)網(wǎng)絡(luò)及其資源的安全措施；

    由于硬或軟件失效，或防火墻遭到“拒絕服務(wù)侵襲”，而導(dǎo)致用戶不能訪問因特網(wǎng)，造成的整個(gè)機(jī)構(gòu)的損失；

    機(jī)構(gòu)所希望提供給因特網(wǎng)的服務(wù)，以及希望能從因特網(wǎng)得到的服務(wù)；可以同時(shí)通過防火墻的用戶數(shù)目；

    站點(diǎn)是否有經(jīng)驗(yàn)豐富的管理員；

    今后可能的要求，如要求增加通過防火墻的網(wǎng)絡(luò)活動(dòng)或要求新的因特網(wǎng)服務(wù)。

    四、防火墻的局限 

     我們在利用防火墻的各種益處的同時(shí)也應(yīng)該意識(shí)到防火墻的局限，有時(shí)防火墻會(huì)給人一種虛假的安全感，導(dǎo)致在防火墻內(nèi)部放松安全警惕。而許多攻擊正是內(nèi)部犯罪，這是任何基于隔離的防范措施都無能為力的。同樣，防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個(gè)程序在本地運(yùn)行，那個(gè)程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)τ脩舻南到y(tǒng)進(jìn)行破壞。隨著Java、javascript和ActiveX控件及其相應(yīng)瀏覽器的推廣，這一問題變得更加突出和尖銳。防火墻的另一個(gè)缺點(diǎn)是易用性不夠，大多數(shù)產(chǎn)品還需要網(wǎng)絡(luò)管理員手工建立。當(dāng)然，這一問題馬上會(huì)得到改觀。

     防火墻在當(dāng)今Internet上的存在是有生命力的，但它不能替代墻內(nèi)的安全措施，因此，它不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。

    五、一些主要防火墻產(chǎn)品介紹 

    TIS FWTK

     TIS FWTK 是Trusted Information Systems(TIS)Firewall Tools Kit的簡稱，也稱為FWTK。它是應(yīng)用網(wǎng)關(guān)式防火墻軟件包的典型代表。

     FWTK是用來建立和維護(hù)內(nèi)部網(wǎng)絡(luò)防火墻的工具集。它的代碼是用C語言編寫的，在網(wǎng)上可以找到它的源碼。它可以運(yùn)行在基于BSD UNIX的許多平臺(tái)上，包含了許多獨(dú)立的組件，大部分的組件是代理應(yīng)用程序。它包括以下幾種服務(wù)的代理：

     Telnet；FTP；rlogin；sendmail；HTTP；X窗口系統(tǒng)。

     FWTK是一個(gè)復(fù)雜的系統(tǒng)，并不是安裝上便能開始保護(hù)網(wǎng)絡(luò)。它是一個(gè)“工具箱”。安裝后，用戶必須作出一定的決策并知道這樣做能獲得何種結(jié)果，因此這并不是簡單的配置問題。如果制定的規(guī)則或做出的決定是錯(cuò)誤的，使用網(wǎng)絡(luò)將會(huì)面臨許多問題。

     FWTK的突出優(yōu)點(diǎn)是將很好的訪問控制融入其設(shè)計(jì)中。例如，用戶可以許可（或拒絕）從某網(wǎng)絡(luò)，或某個(gè)網(wǎng)絡(luò)的一部分，甚至從某個(gè)地址上對被保護(hù)的網(wǎng)絡(luò)進(jìn)行訪問。

    Raptor公司Eagle系列防火墻

     Raptor公司已有很久的歷史了。它從1991年開始推銷它的防火墻系列產(chǎn)品。Raptot公司的網(wǎng)上介紹位于：http://www.raptor..com/products/brochure/40broch.html＃ abontraptor。

     該公司的防火墻產(chǎn)品使用了許多防火墻技術(shù)，包括大量日志的記錄；對可疑行為制定的事件觸發(fā)式處理；嚴(yán)格的分類訪問控制等。

     而且這些產(chǎn)品支持應(yīng)用代理。相關(guān)站點(diǎn)：http:/www.raptor.com/products/brochure/40broch.html

     CheckPoint Firewall和Firewall－1

     CheckPoint公司以Israel為基地，于1993年成立。目前在美國的八個(gè)城市開了分公司。此公司的系列產(chǎn)品可用于各種平臺(tái)上。

     CheckPoint Fireawall－1的一個(gè)有趣的功能是對時(shí)間對象的控制。此功能允許管理員指定一天中的某段時(shí)間，并在這段時(shí)間內(nèi)才執(zhí)行訪問控制。Firewall－1還能將處理任務(wù)分散到一組工作站上，從而減輕每個(gè)工作站的負(fù)擔(dān)。

     有關(guān)CheckPoint的文章和新聞可在網(wǎng)上找到，請參考：

    http://www.Checkpoint.com/press/

     如果想得到有關(guān)Check Point公司的最好產(chǎn)品的更詳細(xì)信息，請?jiān)L問此地址：

    http://www.checkpoint.com/products/firewall/intro.html

    Sunscreen

     Sun公司的SunScreen是由一系列產(chǎn)品組成。主要的產(chǎn)品包括：

     SunScreen Spf 100/100G，實(shí)行Turnkey解決方案，并提供無IP地址的通訊能力，將內(nèi)部主機(jī)的IP地址隱藏起來。

     SunScreenTMEFS，可進(jìn)行嚴(yán)格的數(shù)據(jù)包過濾和加密處理。提供遠(yuǎn)程管理和通過HTML界面進(jìn)行管理的功能，使管理員的管理工作變得更方便。有關(guān)SunScreenTMEFS的一些說明位于網(wǎng)址：

    http://www.sun.dom/securit6/prodspec.html

     SunScreen SKIP，此產(chǎn)品能使PC機(jī)和工作站進(jìn)行安全驗(yàn)證。

    Portus Secure Network Firewall

     Portus是一個(gè)NCSA認(rèn)證的高性能應(yīng)用程序代理網(wǎng)關(guān)。它支持所有TCP、IP連接并增加了UDP代理。產(chǎn)品包括：Portus Secure Network Firewall for AIX，Portus Secure Network Firewall for Solaris，Portus Secure Network Firwall Installation and Administration Guide (Arobat file)。這是一些30天全功能演示版。

【企業(yè)級(jí)防火墻選購,部署指南】相關(guān)文章：

芻議防火墻的選購08-06

Internet防火墻技術(shù)綜述08-06

《指南》心得04-26

基于Cisco PIX Firewall的防火墻系統(tǒng)08-06

職場辭職指南08-16

《指南錄后序》08-16

學(xué)習(xí)《指南》心得08-13

外企面試指南08-15

美國銀行與證券業(yè)的“金融防火墻”08-05