- 相關推薦
企業(yè)級防火墻選購,部署指南
當一個企業(yè)決定用防火墻來實施組織的安全策略后,下一步要做的就是選擇一個安全、實惠、合適的防火墻。選擇防火墻時,要考慮以下幾方面問題。一、選擇防火墻的要求
1?防火墻應具備的基本功能
支持“除非明確允許,否則就禁止”的設計策略,即使這種策略不是最初使用的策略;本身支持安全策略,而不是添加上去的;如果組織機構(gòu)的安全策略發(fā)生改變,可以加入新的服務;有先進的認證手段或有掛鉤程序,可以安裝先進的認證方法;如果需要,可以運用過濾技術允許和禁止服務;可以使用FTP和Telnet等服務代理,以便先進的認證手段就可以被安裝和運行在防火墻上;擁有界面友好、易于編程的IP過濾語言,并可以根據(jù)數(shù)據(jù)包的性質(zhì)進行包過濾,數(shù)據(jù)包的性質(zhì)有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡接口等;
如果用戶需要NNTP(網(wǎng)絡消息傳輸協(xié)議),X window,HTTP和Gopher等服務,防火墻應該包含相應的代理服務程序。防火墻也應具有集中郵件的功能,以減少SMTP服務器和外界服務器的直接連接,并可以集中處理整個站點的電子郵件。防火墻應允許公眾對站點的訪問。防火墻應把信息服務器和其他內(nèi)部服務器分開。
2?其他功能
防火墻應該能夠集中和過濾撥入訪問,并可以記錄網(wǎng)絡流量和可疑的活動。此外,為了使日志具有可讀性,防火墻應具有精簡日志的能力。如果防火墻使用UNIX操作系統(tǒng),則應提供一個完全的UNIX操作系統(tǒng)和其他一些保證數(shù)據(jù)完整的工具,應該安裝所有的操作系統(tǒng)的補丁程序。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣,但在防火墻上運行一個管理員熟悉的操作系統(tǒng)會使管理變得簡單。
防火墻的強度和正確性應該可被驗證。防火墻的設計應該簡單,以便管理員理解和維護。防火墻和相應的操作系統(tǒng)應該用補丁程序進行升級且升級必須定期進行。
正像前面提到的那樣,因特網(wǎng)每時每刻都在發(fā)生著變化,新的易攻擊點隨時可能會產(chǎn)生。當新的危險出現(xiàn)時,新的服務和升級工作可能會對防火墻的安裝產(chǎn)生潛在的阻力,因此防火墻的適應性是很重要的。
二、購買還是自己構(gòu)筑
一些企業(yè)具有自己組裝防火墻的能力,他們使用可用的軟件組件和設備或自己編寫一個防火墻程序。另外一些企業(yè)利用經(jīng)銷商提供的防火墻技術服務,例如相應的硬件和軟件、開發(fā)安全策略、風險評估、安全檢測和安全培訓等。
企業(yè)自己構(gòu)筑防火墻的優(yōu)勢是內(nèi)部人員了解防火墻設計的細節(jié)從而能夠方便應用。但自制防火墻需要長時間的修建、記錄文檔和維護,費用較高。相比之下,從銷售商那里購買防火墻是較為經(jīng)濟的。
企業(yè)決定是否構(gòu)筑并成功地運行一個防火墻需要考慮如下問題:
防火墻應該怎樣被測試?
怎么證明防火墻按需工作?
誰可以做日常的防火墻工作,如備份和修復?
誰會對防火墻進行升級更新,如安裝新的代理服務器、補丁程序和其他的升級程序?
安全漏洞可以定期被更正嗎?
誰會對用戶進行技術支持和培訓?
許多銷售商不但提供安裝服務,而且提供防火墻的維護,所以如果一個企業(yè)沒有能力做上述之事,就應考慮使用銷售商提供的服務。無論采用何種方法,公司都應把防火墻的維護看作一種極為重要的工作,盡可能在上面多花時間。在一些小公司中,做這項工作可能不需要一個專職的人員,但這項工作應比其他的工作更有優(yōu)先權。
只有有效地維護一個防火墻,才能使它有效地工作。一個維護不當?shù)姆阑饓赡軙o人一種安全的假象,而實際上卻存在著很多安全漏洞。安全策略應清楚地反應有效地進行防火墻維護的重要性。在公司的管理上應給予防火墻維護足夠的支持,如優(yōu)先提供人員、資金和其他必要的資源。
有了防火墻,也不能放松對站點的管理。事實上,如果一個防火墻被突破,一個管理不善的站點會倍受侵擾并遭受更嚴重的損失。一個防火墻的存在并不意味著可以減少對高素質(zhì)管理的需求。一個防火墻可以讓一個站點在系統(tǒng)維護上處于主動的位置,因為防火墻提供了一種屏障,所以人們就可以在系統(tǒng)維護上花更多的時間,而不是把大部分時間花在事故的處理上。
一個站點在防火墻的維護中應做以下工作:
標準化操作系統(tǒng)的版本和軟件,以便安裝補丁程序和安全修補程序;
應在全站點內(nèi)開展有效的新程序和補丁程序的安裝活動;
使用各種服務來幫助管理系統(tǒng),如果一些服務可以帶來更好的管理和更好的安全,那么使用這些服務;
對主機系統(tǒng)進行周期性的掃描檢查,以發(fā)現(xiàn)配置上的錯誤和弱點,及時改正;
確保系統(tǒng)管理員和安全管理員可以及時地通信,對站點的安全問題做出警告。
三、進一步的建議
沒有一個防火墻的設計能夠適用于所有的環(huán)境,所以建議選擇防火墻時,應根據(jù)站點的特點來選擇合適的防火墻。如果站點是一個機密性機構(gòu),但對某些人提供入站的FTP服務,則需要有強大認證功能的防火墻。
另外,不要把防火墻的等級看得過重。在各種報紙雜志中的等級評選中,防火墻的速度占有很大的比重。如果站點通過T1線路或更慢的線路連接到因特網(wǎng)上,大多數(shù)防火墻的速度完全能滿足站點的需要。
下面是選購一個防火墻時,應該考慮的其他因素:
網(wǎng)絡受威脅的程度;
若入侵者闖入網(wǎng)絡,將要受到的潛在的損失;
其他已經(jīng)用來保護網(wǎng)絡及其資源的安全措施;
由于硬或軟件失效,或防火墻遭到“拒絕服務侵襲”,而導致用戶不能訪問因特網(wǎng),造成的整個機構(gòu)的損失;
機構(gòu)所希望提供給因特網(wǎng)的服務,以及希望能從因特網(wǎng)得到的服務;可以同時通過防火墻的用戶數(shù)目;
站點是否有經(jīng)驗豐富的管理員;
今后可能的要求,如要求增加通過防火墻的網(wǎng)絡活動或要求新的因特網(wǎng)服務。
四、防火墻的局限
我們在利用防火墻的各種益處的同時也應該意識到防火墻的局限,有時防火墻會給人一種虛假的安全感,導致在防火墻內(nèi)部放松安全警惕。而許多攻擊正是內(nèi)部犯罪,這是任何基于隔離的防范措施都無能為力的。同樣,防火墻也不能解決進入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個程序在本地運行,那個程序很可能就包含一段惡意的代碼,或泄露敏感信息,或?qū)τ脩舻南到y(tǒng)進行破壞。隨著Java、javascript和ActiveX控件及其相應瀏覽器的推廣,這一問題變得更加突出和尖銳。防火墻的另一個缺點是易用性不夠,大多數(shù)產(chǎn)品還需要網(wǎng)絡管理員手工建立。當然,這一問題馬上會得到改觀。
防火墻在當今Internet上的存在是有生命力的,但它不能替代墻內(nèi)的安全措施,因此,它不是解決所有網(wǎng)絡安全問題的萬能藥方,只是網(wǎng)絡安全政策和策略中的一個組成部分。
五、一些主要防火墻產(chǎn)品介紹
TIS FWTK
TIS FWTK 是Trusted Information Systems(TIS)Firewall Tools Kit的簡稱,也稱為FWTK。它是應用網(wǎng)關式防火墻軟件包的典型代表。
FWTK是用來建立和維護內(nèi)部網(wǎng)絡防火墻的工具集。它的代碼是用C語言編寫的,在網(wǎng)上可以找到它的源碼。它可以運行在基于BSD UNIX的許多平臺上,包含了許多獨立的組件,大部分的組件是代理應用程序。它包括以下幾種服務的代理:
Telnet;FTP;rlogin;sendmail;HTTP;X窗口系統(tǒng)。
FWTK是一個復雜的系統(tǒng),并不是安裝上便能開始保護網(wǎng)絡。它是一個“工具箱”。安裝后,用戶必須作出一定的決策并知道這樣做能獲得何種結(jié)果,因此這并不是簡單的配置問題。如果制定的規(guī)則或做出的決定是錯誤的,使用網(wǎng)絡將會面臨許多問題。
FWTK的突出優(yōu)點是將很好的訪問控制融入其設計中。例如,用戶可以許可(或拒絕)從某網(wǎng)絡,或某個網(wǎng)絡的一部分,甚至從某個地址上對被保護的網(wǎng)絡進行訪問。
Raptor公司Eagle系列防火墻
Raptor公司已有很久的歷史了。它從1991年開始推銷它的防火墻系列產(chǎn)品。Raptot公司的網(wǎng)上介紹位于:http://www.raptor..com/products/brochure/40broch.html# abontraptor。
該公司的防火墻產(chǎn)品使用了許多防火墻技術,包括大量日志的記錄;對可疑行為制定的事件觸發(fā)式處理;嚴格的分類訪問控制等。
而且這些產(chǎn)品支持應用代理。相關站點:http:/www.raptor.com/products/brochure/40broch.html
CheckPoint Firewall和Firewall-1
CheckPoint公司以Israel為基地,于1993年成立。目前在美國的八個城市開了分公司。此公司的系列產(chǎn)品可用于各種平臺上。
CheckPoint Fireawall-1的一個有趣的功能是對時間對象的控制。此功能允許管理員指定一天中的某段時間,并在這段時間內(nèi)才執(zhí)行訪問控制。Firewall-1還能將處理任務分散到一組工作站上,從而減輕每個工作站的負擔。
有關CheckPoint的文章和新聞可在網(wǎng)上找到,請參考:
http://www.Checkpoint.com/press/
如果想得到有關Check Point公司的最好產(chǎn)品的更詳細信息,請訪問此地址:
http://www.checkpoint.com/products/firewall/intro.html
Sunscreen
Sun公司的SunScreen是由一系列產(chǎn)品組成。主要的產(chǎn)品包括:
SunScreen Spf 100/100G,實行Turnkey解決方案,并提供無IP地址的通訊能力,將內(nèi)部主機的IP地址隱藏起來。
SunScreenTMEFS,可進行嚴格的數(shù)據(jù)包過濾和加密處理。提供遠程管理和通過HTML界面進行管理的功能,使管理員的管理工作變得更方便。有關SunScreenTMEFS的一些說明位于網(wǎng)址:
http://www.sun.dom/securit6/prodspec.html
SunScreen SKIP,此產(chǎn)品能使PC機和工作站進行安全驗證。
Portus Secure Network Firewall
Portus是一個NCSA認證的高性能應用程序代理網(wǎng)關。它支持所有TCP、IP連接并增加了UDP代理。產(chǎn)品包括:Portus Secure Network Firewall for AIX,Portus Secure Network Firewall for Solaris,Portus Secure Network Firwall Installation and Administration Guide (Arobat file)。這是一些30天全功能演示版。
【企業(yè)級防火墻選購,部署指南】相關文章:
芻議防火墻的選購08-06
Internet防火墻技術綜述08-06
《指南》心得04-26
基于Cisco PIX Firewall的防火墻系統(tǒng)08-06
職場辭職指南08-16
《指南錄后序》08-16
學習《指南》心得08-13
外企面試指南08-15
美國銀行與證券業(yè)的“金融防火墻”08-05