如何选择合适的防火墙？-计算机网络安全管理

当一个企业或组织决定采用防火墙来实施保卫内部网络的安全策略之后,下一步要做的事情就是选择一个安全、实惠、合适的防火墙。

选择什么样的防火墙产品,对用户来说是较为困难的事情,这主要是因为以下几点。

（1）用户的网络安全知识还不够完善,特别是对自己网络的安全现状和网络安全的需求还不明确。

（2）防火墙产品及其功能繁多,用户不知道哪些是当前主要应考虑的问题。

（3）在安全需求与安全功能的结合上,用户有一定的茫然并手足无措。其中最为关键的是使用防火墙产品的基本需求是什么。

首先应该明确内部网络安全的最终目的,想要如何操作这个系统,只允许想要的业务通过,还是允许多种业务通过防火墙；然后是明确网络安全要达到什么级别的监测和控制。根据网络用户的实际需要,建立相应的风险级别,随之便可形成一个需要监测、允许、禁止的清单,按照清单的要求设置防火墙的各项功能。

关于防火墙的价格也是用户必须考虑的。市场上防火墙的价格相差悬殊,从几千元到数十万元,甚至到百万元。因为各企业用户使用的安全程度不尽相同,因此厂商所推出的产品也有所区分,甚至有些公司还推出类似模块化的功能产品,以符合各种不同企业的安全要求。安全性越高,实现越复杂,费用也相应越高,反之费用越低。

选择防火墙时应该遵循以下原则。

1.防火墙应具备的基本功能

防火墙系统是网络的第一道防线,因此人们决定使用防火墙保护内部网络的安全时,首先需要了解一个防火墙系统应具备的基本功能,这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能。

防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许,否则就禁止”；防火墙本身支持安全策略,而不是添加上去的；如果组织机构的安全策略发生改变,可以加入新的服务；有先进的认证手段或有挂钩程序,可以安装先进的认证方法；如果需要,可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理,以便先进的认证手段可以安装和运行在防火墙上等。

2.防火墙的管理难易度

防火墙的管理难易度是用户是否能够充分发挥防火墙功能的主要因素之一。防火墙的管理和配置相当专业且十分复杂,要想成功维护好防火墙,要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深入的了解。若防火墙的管理过于困难,则可能会造成设置上的错误,出现很多漏洞,这样就不能充分发挥防火墙的功能,这也是一般企业之所以用已有的网络设备直接当作防火墙的原因。

3.防火墙自身的安全性

人们在选择防火墙时往往都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上,但往往忽略了一点,防火墙也是网络上的主机之一,也可能存在安全问题。防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。

大部分防火墙都安装在一般的操作系统上,如UNIX、NT系统等。在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁。此时,任何防火墙控制机制都可能失效,因为当一个黑客取得了防火墙上的控制权以后,几乎可以为所欲为地修改防火墙上的访问规则,然后侵入更多的系统。因此,防火墙自身应有相当高的安全保护。(www.xing528.com)

4.能够弥补操作系统之不足

一个好的防火墙必须建立在操作系统之前,而不是在操作系统之上,所以操作系统的漏洞可能并不会影响到一个好的防火墙系统所提供的安全性。由于硬件平台的普及以及执行效率的因素,大部分企业均会把对外提供的各种服务分散到许多操作平台上,所以人们在无法保证主机的安全情况下,必须依靠防火墙作为整体的安全保护来弥补操作系统的不足,使操作系统的安全性不会对企业网络的整体安全造成影响。

5.完善的售后服务

防火墙新的产品出现,就会有人研究新的破解方法,所以好的防火墙产品必须有一个庞大的组织作为使用者的安全后盾,并且拥有完善及时的售后服务体系。

6.能够适应特殊要求

在一些企业中往往根据自己的网络安全需求,需要一些除防火墙最基本的功能外的一些特殊需求,这也是人们在选择防火墙时需要考虑的一个因素,例如一些企业需要以下几个特殊需求。

（1）网络地址转换

网络地址转换（NAT）是用于将一个地址域（如专用Intranet）映射到另一个地址域（如。Internet）的标准方法。使用地址转换有两个好处：其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,这也是要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部使用保留的IP,这对许多IP不足的企业是非常有益的。

（2）双重DNS

当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS,有的则必须在不同主机上各安装一个DNS。

（3）虚拟专用网络

虚拟专用网络（VPN）是通过一个公用网络（通常是Internet）建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它能扩展企业的内部网络。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。

（4）扫毒功能

大部分防火墙都可以与防病毒软件搭配实现扫毒功能,有的防火墙则可以直接集成扫毒功能,差别只是扫毒工作是由防火墙完成,或是由另一台专用的计算机完成。

“防火墙最基本的构件既不是软件也不是硬件,而是构造防火墙的人的思想”,这是在构造防火墙时应该注意的,也就是说不是任何人都能构造出一个防火墙,只有那些系统管理员才能构造出合适的防火墙,因为他们非常熟悉自己的网络,知道如何根据自己网络的特点进行配置。所以管理员一定要根据具体的网络拓扑结构和使用的网络协议,形成明确的安全策略,比较多种防火墙的商业产品,经过全面的测试和配置后,才能逐步建立起适合特定网络的防火墙应用。^[2]