| |
10.良好的协同工作能力
因为防火墙只是一个基础的网络安全设备,它不代表网络安全防护体系的全部,通常它需要与防病毒系统和入侵检测系统等安全产品协同配合,才能从根本上保证整个系统的安全,所以在选购防火墙时就要考虑它是否能够与其他安全产品协同工作。如何检验它是否具有这个能力,通常是看它是否支持OPSEC(开放安全结构)标准,通过这个接口与入侵检测系统协同工作,通过CVP(内容引导协议)与防病毒系统协同工作。
以上介绍了在选购防火墙时所要注意的10个方面,事实上很难找到完全符合以上各项要求的防火墙产品。事实上如何评估防火墙是一个十分复杂的问题。一般说来,防火墙的安全和性能(速度等)是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。用户时常会面对安全和性能之间的矛盾。代理型防火墙通常更具安全性,但是性能要差于包过滤型防火墙。如果用作Internet防火墙,即使以T1(1.544Mbps)或E1(2.048Mbps)数字线路接入,防火墙也不会成为瓶颈。但是企业网之间如果以100M甚至G位网络相连时,就会对防火墙的端口带宽性能提出很高的要求。
所有用户都希望自己买到物美价廉的产品,也就是性能价格比高的产品。按照购买或实现防火墙需要的经费来量化所有提出的解决办法是十分重要的。有的防火墙产品可以不花钱或花很少的钱(如个人防火墙),有的则要花上万元或更多的钱。具体而言,除考虑防火墙的销售价格外,还要考虑它的管理费用、维护费用及消耗材料费用等。对于经济实力雄厚的公司或大的企业组织,一般把满足需要放在第一位,把经济开销放在第二位,而且还把产品的更新换代需要的开销考虑进去。而对一般的机关学校来,由于经济条件一般,把产品价格放在重要位置考虑,只愿开销满足当前急需所购产品的经费,对未来网络系统的发展扩充换代考虑甚少。我们只要在满足实用性、安全性的基础上,适当考虑经济性就可以找到自己理想的产品。
上面介绍了在选购防火墙产品时要注意的事项,最后简单介绍防火墙在安装和配置方面应注意的几个方面。
用户在选择防火墙后,防火墙在安装前,首先要在被保护网段内使用ICMP包(PING)或Telnet对外网段进行访问,并使用相同的方法从外网段对被保护网段进行访问,以确保网络间路由的正常;其次是使用浏览器从被保护网段对外部网段的服务器进行访问,来确保网段间域名解析的正常。在安装防火墙时,用户还需要确认所安装的防火墙的各个模块的版本是否是最新版本或者带有最新的补丁,并按照防火墙厂商提供的用户手册进行安装。对于软件防火墙,用户还需要在安装前除掉该防火墙系统上的不必要的协议(如NetBEUI)和服务,并关闭系统的IP Forwarding功能。
在配置防火墙时,用户还要注意防火墙控制对象的正确定义以及被控制对象与外网通信时所使用的协议,以确保防火墙的配置不会防碍正常的通信。另需要制定安全策略来对其进行合理有效的配置。
|
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
