硬防火牆,是指把防火牆程式做到晶片裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定的防火牆。
基本介紹
- 中文名:硬防火牆
- 外文名:hard firewall
- 套用範圍:計算機網路
防火牆分為硬防火牆和軟防火牆
硬防火牆即硬體防火牆(http://product.yesky.com/catalog/1237/)
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並儘可能將問題定位,方便問題的解決。
作為保護網路的主力安全設備,經過多年的發展,防火牆的技術已經逐步趨於成熟。即便如此,用戶在選購防火牆時仍需擦亮眼睛。 防火牆是一種部署在內外網邊界上的訪問控制設備,用來防止未經授權的通信進出被保護的內部網路,通過邊界控制強化內部網路的安全策略。防火牆主要分為簡單包過濾防火牆、狀態/動態檢測防火牆、應用程式代理防火牆三種。
作為網路安全設備供貨商和全球UTM解決方案領導者--美國Fortinet(飛塔)公司,有4種類型的防火牆,
FortiMail專業反垃圾郵件及歸檔安全網關
FortiWeb WEB套用層防火牆-有效阻擋所有的WEB威脅
FortiDB 資料庫安全掃描及審計防火牆
FortiScan 系統級別的漏洞管理平台和法規管理
附加功能適用就好
防火牆控制的對象是網路數據,通過執行用戶針對2~7層制定的策略進行檢查,根據檢查結果決定接受、丟棄還是限制流量。雖然實際上防火牆也可以替換一部分路由器和交換機的功能,但過分強調這些功能的結果只能是捨本逐末。
由於在網路中引入了防火牆設備,必然要求防火牆能夠提供相應的支持,包括可管理、環境適應能力、與已有交換機/路由器的互聯互通、一定的吞吐能力和適當的延遲等,這樣防火牆才不會成為網路瓶頸。這些功能實際上是對防火牆的附加要求,雖然是必要的,但不會給用戶帶來增值,其總體要求是“適合就是最好的”。
雖然防火牆發展時間比較長,技術相對成熟,但關於防火牆的新概念、新技術仍然層出不窮。那么,應該如何真實評價防火牆呢?還得從用戶使用的角度深入分析,從功能/性能、管理、穩定性三方面進行考察。
功能、性能不能“兩層皮”
功能和性能一直是用戶評價防火牆的主要方面,尤其是性能由於其可量化,更是對比的重點,但真正搞明白這兩個問題卻不容易。
為了適套用戶的複雜環境和需求,也為了擁有“賣點”,現在的防火牆一般具有很多功能,這些功能單獨看都沒什麼問題,比如雙機熱備功能已經通過測試,H.323動態套用支持也測試通過,但在實際環境中,我們可能需要在雙機熱備情況下使用H.323視頻會議,並要求切換時視頻不中斷,這樣可能有的防火牆就不行了,而類似的組合功能卻是用戶真正需要的。此外,防火牆的功能和性能一般會獨立評估,分為功能測試和性能測試兩部分,功能測試關心單個功能有無,性能測試關心二、三層簡單套用的性能,結果導致功能性能“兩層皮”,不能真正反映防火牆能力:測試中性能很高,但很多功能不能用,在實際使用中,當把常用的功能都打開後,性能變得很低。因此,必須把性能和功能評估結合起來才能真實評價防火牆。具體的評價應從以下幾方面入手:
●安全功能,重點是抗Synflood。目前,在“黑客”的攻擊行為中,使用最多、最有效的是DDoS(分散式拒絕服務攻擊),它造成的結果是伺服器拒絕服務。防火牆作為網路的單一通道,要保證受保護網路的安全,需要重點考察安全防護功能能否在過濾攻擊的同時保證正常訪問,是否對偽造源地址攻擊和真實源地址攻擊同時有效,能否保護伺服器免受衝擊。該功能應能和地址映射、連線埠映射、VLAN Trunk支持、用戶認證、動態包過濾、流量控制等同時或任意組合使用,在這方面,作為網路安全設備供貨商和全球UTM解決方案領導者--美國Fortinet(飛塔)公司,FortiWeb通過特有的SynCookie技術,高效的對Syn flood進行防禦,保護實際業務訪問的正常工作。
●新建連線速率。由於網路套用具有波動性大,即不同時間訪問量差異很大的特點,要求防火牆也能適應這種情況,相應的考量指標即新建連線速率。考慮到用戶網路和套用的複雜性,還需要打開常用功能,例如:包過濾、內容過濾、抗攻擊等情況下測試新建連線速率。
管理是關鍵
用戶要使用一個安全的防火牆系統,就需要實行一套安全的防火牆策略,這就對防火牆的實際操作人員提出了較高要求。由於不同防火牆在管理上存在差異,因此,管理的難易程度可能造成管理員的錯誤配置,使網路產生安全隱患。因為無法要求每個網路管理員都是網路安全專家,所以管理是網路安全的關鍵。除去許可權管理、通信加密外,還需要重點考察單機管理方便性和集中管理這兩個方面。
就單機管理方便性來說,防火牆應能提供多種管理方式,供管理員在不同場合使用,例如:串口命令行方式適合水平較高的管理員對防火牆進行全面管理;SSH方式適合遠程維護管理;Web方式適合遠程配置;GUI方式適合遠程配置和監控。其中,Web方式不用安裝客戶端軟體,比較方便靈活;GUI安裝比較麻煩,但靈活性較強。
另外,防火牆的大客戶、行業客戶很多,管理成本可能非常高,能否對防火牆進行集中管理也很重要,包括安全策略集中定製和下發、日誌集中管理與分析、設備級聯管理與實時監控等。其中,策略的集中管理最重要,因為需要保證整個企業的策略一致和安全。
綜合考察穩定性
防火牆因為串接在網路中,一旦出現故障則會導致網路中斷,因此,穩定性是評價防火牆的一個重要指標。由於種種原因,有些系統尚未最後定型或未經過嚴格的大量測試就被推向了市場,其穩定性可想而知。但穩定性很難直接測試,一般來說,一些久經考驗的系統的穩定性才有一定保證,如果是新的軟體或硬體系統,需要在套用中不斷完善才能逐漸穩定。用戶可以通過權威的測評認證機構、實際調查、試用、廠商實力等多個方面加以判斷。
美國飛塔防火牆- Fortinet已經榮獲了80多個獎項,其中包括年度最佳安全產品和最佳安全解決方案等。企業創建和領導了UTM市場,也是目前唯一一家採用ASIC加速的UTM產品。FortiGate產品結合FortiGuard服務,為企業、服務運營商、和中小企業提供了全面的安全解決方案——最好的性能,無可匹敵的功能。
