刍议防火墙的选购
网络技术发展很快,各种安全事件不断涌现,这要求安全管理员经常性调整网络安全策略。对于防火墙类访问控制设备,除安全控制策略的不断调整外,业务系统的访问控制的调整也很频繁,这些要求防火墙的管理在充分考虑安全需要的前提下,提供方便灵活的管理方式和方法,通常体现为如下方面:管理途径、管理工具、管理权限。防火墙设备首先为网络通信设备,管理途径的提供要兼顾通常网络的设备的管理方式,现实情况下,安全管理员还由网管人员兼顾,管理方式还要适合网管人员的一般管理行为习惯,如远程telnet登录管理及管理命令的在线帮助等。管理工具主要为GUI类管理器,用它管理很直观,这对于设备的初期管理和不太熟悉的管理人员提供了有效的管理方式。权限管理为管理本身的基础,严格的权限认证可能会带来管理方便性的降低,从合理的综合方式中找出最佳点。
5、可靠性
可靠性对防火墙类访问控制设备尤为重要,其直接影响受控网络的可用性,其在重要行业及关键业务系统中的作用和重要性是显然的。从系统设计上,提高可靠性的措施一般提高本身部件的强健性、增大设计阀值和增加冗余部件,这要求有高的生产标准和设计冗余度,如使用工业标准、电源热备份、系统热备份等。
6、是否可针对用户身份进行过滤
防火墙过滤报文时,最基础的是针对IP地址进行过滤,大家都知道,IP地址是非常容易修改的,只要我打听到公司里谁可以穿过防火墙,那么我将我的IP地址改成和他的一样,我也可以穿过防火墙。这里需要一个针对用户身份而不是IP地址进行过滤的办法。目前防火墙上常用的是一次性口令验证机构,通过特殊的算法,保证用户在向防火墙登录时,口令不会在网络上泄漏,这样,防火墙可以确认登录上来的用户确实和他所生成的一致。这样做的好处由两个:一用户可以随便找一台计算机器,向防火墙登录,防火墙就可判断他的权限,进行合适的过滤,二用户出差时,可以通过登录回公司的防火墙访问公司内部自己的服务器,不用担心在电话网上泄漏口令,在没有加密手段或加密成本较高时还是比较实用的。
7
、抗拒绝服务功能
在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法,YAHOO等网站遭受的就是拒绝服务攻击,只不过是发起攻击的点比较多,称之为分布式拒绝服务攻击。拒绝服务攻击可分成两类:一类由于操作系统或应用软件本身设计或编程上的缺陷而造成,种类繁多,只有通过打补丁的办法解决,一类是由于协议本身的缺陷,只有有数的几种,但
《刍议防火墙的选购(第2页)》