首先要明確,防火墻不是路由器、交換機或者服務器。(雖然看起來比較象)所以不能用那些產品的指標來選擇防火墻。那么選擇防火墻應該注意哪些方面呢?
一安全性:這是重中之重。安全性不高的防火墻,其他性能再好也是空談。安全性包括幾個方面,自身安全性、訪問控制能力和抗攻擊能力。
自身安全性主要是指防火墻系統的健壯性,也就是說防火墻本身應該是難以被攻入的。還有防火墻的管理方式也很重要。管理員采用什么方式管理防火墻,是telnet還是web,有沒有加密和認證等等。
訪問控制能力是防火墻的核心功能。訪問控制能力包括控制細度,也就是能控制哪些內容,比如地址、協議、端口、時間、用戶、命令、附件等等。還要注意的就是控制強度,也就是說應該限制的內容必須全部阻斷,應該通過的內容不應該有任何阻斷。
抗攻擊能力是指防火墻對各種攻擊的抵抗能力。包括抵御攻擊的種類,數量。特別是對DOS和DDOS攻擊的抵抗力。目前對于DDOS攻擊還沒有什么完善的解決辦法。因此對DDOS攻擊主要看能抵御的強度有多大。
用戶在選擇防火墻的時候,自己來判斷以上這些性能是很困難的。因為用戶沒有專門的測試工具和手段。用戶可以根據一些第三方的認證和評測來輔助判斷。比如能否擁有安全性較嚴格的軍隊認證、還有就是中國信息安全產品測評認證中心的等級證書。現在用的標準是國標GB/T18336,等級越高越好,一共7級。(不過現在最好的好像也就是EAL3 )
二網絡性能。
防火墻是個網絡設備。在保證安全的基礎上,應該最大程度減少對網絡性 能的影響。對于網絡性能,主要就是看最大帶寬、并發連接數、每秒新增連接數、丟包和延遲。這些指標和交換機、路由器都是相同的,這里就不多說了。但是有一點要注意。防火墻在策略起作用和全通策略的狀態下,上述指標都是不一樣的。用戶一定要考慮實際環境。比如先按照用戶的要求添加多少條策略(全通策略在最后)然后再測試。傳說中有的百兆防火墻小包(64字節)通過率能達到70%以上,甚至90%,我覺得在實際使用中一定不可能。之所以能夠測試出這樣的數據只有兩個可能:一是采用高性能硬件, 比如采用了千兆網卡芯片,二是在測試機的內核做手腳。
三是網絡功能。
這里包括的內容就多了,什么地址轉換、IP/MAC綁定、靜態和動態路由 、源地址路由、代理、透明代理、ADSL撥號、DHCP支持、雙機熱備、負載均衡等等。
在這些眼花繚亂的功能里,用戶應該有一雙明亮的眼睛。因為并不是每一個功能用戶都需要的,用戶也不需要為了一些不需要的功能花冤枉錢。當然,價錢相等的情況下功能越多越好啊,呵呵。用戶應該首先明確自己都需要什么功能,并且要確定這些功能都要達到什么效果。然后再尋找相應的設備。有些功能在不同廠家的定義是不同的。實現的效果也不一樣。
四是管理功能。這里面的內容也不少。用戶不要小看了這里的東西。防火墻這種設備不像交換機,安裝好了50年不管。防火墻需要經常管理。日常的管理就是看日志,修訂策略,添加和刪除用戶。更高的管理還包括第三方互動,VPN建立,遠程集中管理等等。管理方面用戶應該注意界面的友好性,設置選項應該通俗易懂。日志特別重要,好的日志系統應該有詳細的記錄,包括連接的狀態和內容,應該便于分類和排序,應該方便存入數據庫并有syslog等標準的接口。遠程管理對用戶來說要注意管理命令的加密和認證,是否支持策略遠程導入導出等等。至于管理的界面是否好看,那就看個人喜好了。
五是質量。防火墻的質量表現可不是做工精細不精細啊,而是防火墻是否能經久耐用。現在比較先進的防火墻普遍采用的是貼板技術。也就是將所有的原件都采用貼片的工藝。這樣整個防火墻都是一體的,自然不容易出故障。如果防火墻的內存,網口還采用插槽的方式,甚至還采用普通硬盤作為系統內核存儲設備,那系統的穩定性就可想而知了。另外在高穩定性要求的環境里要看有沒有雙電源,大功率風扇等等。雖然看上去是細節,但是我可是知道很多防火墻室內溫度一高就死機的。:)
上面說的內容都是對防火墻產品本身的一些介紹。我想大家應該對怎樣選擇防火墻有個原理性的認識了。那么下面就針對一些實際情況來講一講。先把我在一開始提的幾個誤區做個Q&A吧。
誤區一:防火墻是國外的好。
解釋:在網絡安全領域,甚至是計算機領域,我們完全不用崇洋媚外。因為國內的研發力量已經漸漸在趕超了。當然,我們的整體實力還是有限的。但是,對于防火墻這種比較成熟的技術來說,我們完全可以做的和國外的一樣好。國外品牌,大家熟知的checkpoint,為什么現在的市場份額越來越少?主要是自己不思進取。別人早都用硬件防火墻了,他還死抱著純軟件不放。現在和nokia合作推出硬件產品,是沒辦法的事。這種合作我也很不看好。畢竟對nokia來說這是小生意,不會重視的。在國內進行的多次評測中,國內的產品在性能指標上和國外的產品各有千秋。當然,國外的產品占了幾個最,比如最快的產品是 netscreen,支持協議最多的是checkpoint,入侵檢測結合的最好的是fortinet。但是不要忘記,這些防火墻往往都是一個方面突出,然而其他方面就很一般了。國內的防火墻優勢在于,功能比較全面,很容易用,服務本地化。片面強調一個功能對防火墻來說是不夠的。用戶應該結合自己的實際來選擇防火墻。我認為國內的防火墻在性價比上是很好的。
也有人擔心國內防火墻安全性不夠。國家在這些方面都有專門的認證和評測機構。我想不是白吃飯的。(當然,有的評測確實只拿錢不測試)而國外的就一定安全么?我想更應該在心里劃個問號。
誤區二:防火墻純硬件的比linux架構的好。
解釋:硬件還是軟件,這個只是跟實現原理有關。要實現防火墻的功能還是靠軟件。ASIC的防火墻是把防火墻代碼做在芯片里,運行的效率當然高。但是別的呢?防火墻可不是只做包檢測的設備。還有很多別的功能。要想全部集成在芯片里,難度很大。特別是如果新出現了一個功能,要添加到原有的ASIC芯片里,往往很難。有人說ASIC芯片速度快。這個問題分兩個角度來考慮。第一,韓國也有ASIC芯片的防火墻。而且國內也有OEM的(是哪一家我不說了),但是都是低端產品,并發連接只有幾千而已。所以不是ASIC就一定好,要看研發的水平了。第二你需要這么快的速度么?速度是重要的,但不是唯一的。現在 netscreen能做到幾十個G,但是有個幾個用戶有這么大的帶寬?除了電信,沒幾個用得著。而linux架構的防火墻在軟件上可以很容易的添加功能,甚至可以應用戶的要求訂制開發。
誤區三:防火墻各項指標越高越好。
其實還是那句話:按需選擇。可能用戶有的是錢,那當然另說了。但是在用戶資金有限的情況下,還是應該仔細衡量一下,哪些指標對用戶來說更有用。當然,選擇產品時一定要有前瞻性,產品最好能適應今后兩年網絡的擴展。我曾經見過用戶的選型方法是這樣的:因為我們的專線是電信用光纖拉過來的,所以我們要用千兆防火墻和交換機。其實這根光纖只有8M。我想,電信發展的再快,專線速度達到100M以上恐怕也是5、6年以后的事情了(租金多少還難說),因此現在就選擇千兆設備還不如選個好的光電轉換模塊。有的用戶片面追求最大并發連接數,認為并發連接越大越好。其實這也是國內一些廠商的誤導。最大并發連接夠用就可以了。現在的國內廠家在這個指標上玩花樣,你可以對比這兩年同型號產品的公開指標,會發現有些產品的并發連接突然成倍增長。當然,也可能是產品升級了,但是很多情況是廠家為了打標,故意修改的數字。反正大部分用戶都沒條件測試最大并發,我寫個幾百萬你怎么知道?其實對于百兆防火墻來說,有100萬的并發應該足夠了,富富有余。其他的指標也一樣,按需選擇才是根本。
