经常接触网络安全领域的朋友对硬件防火墙这个名词一定不陌生:对于企业用户来说,硬件防火墙本身支持安全策略,有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务,是网络安全的{dy}道防线。目前基本上所有的大型企业都会选择硬件防火墙作为抵御外部攻击、保护内网安全的{sx}安全设备,这篇文章里主要介绍企业实际应用中常见的硬件防火墙的概念及选购注意事项。
什么是硬件防火墙?
关于硬件防火墙的定义,各IT专业媒体说法不一,到现在也没有一个统一的概念,通俗地讲,硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,可以减少CPU的负担这样一种防火墙。 硬件防火墙是保障内部网络安全的一道重要屏障,它的安全和稳定,直接关系到整个内部网络的安全。
为什么要慎重选择硬件防火墙?
由于网络中应用了防火墙设备,就要求防火墙能够提供相应的支持,包括可管理、环境适应能力、与已有交换机/路由器的互联互通、一定的吞吐能力和适当的延迟等,这样防火墙才不会成为网络瓶颈,但是很多用户对于防火墙的基本功能和参考数据还没有正确的认识;还有,很多企业安全用户对于自身安全需求认识不足,往往容易迷失在产品的数据罗列和宣传中,目前基本上大半的企业用户在购买防火墙时都是听防火墙厂商的“忽悠”,经常会忽略了自己的实际需求。
再加上外部攻击的多样化以及防火墙产品的多样化,用户选购防火墙造成了一定的困难。单是硬件防火墙就可分成网关、邮件、前端、后端等许多种,用户对于自己到底需要什么样的安全防护并没有概念,这个时候选择防火墙就需要非常慎重。
产品本身的安全性
防火墙本身直接暴露在外网访问之下,所以产品本身的安全性应该是用户选择产品时首先要注意的一点。这里所说的产品安全性主要针对产品所采用的系统构架是否完整或者强健、产品是否有过安全漏洞历史、是否有被拒绝服务攻击击溃的历史等方面。除此之外,产品所支持的认证方式也是值得思忖的问题之一,支持方式较为广泛、与网内认证措施协同较好的产品无疑具有更高的安全性,而且也可以避免成为整体安全环境中的“短板”。
数据处理性能
防火墙控制的对象是网络数据,因此数据处理能力是用户在购买产品前要着重考察的一项。主要的衡量指标包括吞吐量、转发率、丢包率、缓冲能力和延迟等,通过这些参数的对比可以了解一款硬件防火墙产品的硬件性能。这个时候不能迷信厂家所给出的数据表,多参考第三方评测数据或者别的产品的参数才是上选。
另外,吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此在参考数据时也不要迷信{jd1}数据,算法的不同也会导致吞吐量有很大的差别。
一般来说,对于中小型企业,选择吞吐量为百兆级的防火墙即可满足需要,而对于电信、金融、保险等大公司大企业部门就需要采用吞吐量千兆级的防火墙产品。
可管理性
这是考察产品的易用性重要的一项。现在的信息环境相当复杂,如果没有一个配置合理的管理系统,很容易为日后的使用和制定安全方案种下隐患,同时可管理性差的防火墙产品增加了安全管理员的工作量,也无形中增加了企业人力的成本。
其次,一些大型防火墙面对的是行业用户,这就对产品的集中管理性能提出了较高的要求,在安全策略的定制与下发、日志的集中管理与分析等方面比较出色的产品不仅避免了大量问题的集中出现,也给企业降低网络设备成本带来了便利。
日志记录能力
所有的安全系统都在遭受着被攻击的危险,一款日志功能强大的防火墙,记录的项目比较全面,可以有效的防范日志被窜改,并能利用多种途径将日志数据定期备份到指定机器等,这些都给企业日后追究攻击者的法律责任提供了有效的依据。
产品兼容性
现在的企业拥有交换机、路由器等大量网络设备,防火墙产品与这些设备的兼容性也非常重要,毕竟网络安全要依赖设计良好功能完整的体系。如果所购买的产品不能与其它设备很好地兼容,不仅造成了大量的资源浪费,也给网络安全带来了祸端。
产品的售后及相应服务
动辄就几万元的防火墙设备由于技术升级经常会更改配置来配合{zx1}的技术,一个负责任的厂商会提供完整的售后及升级服务,相比其它网络设备,用户在购买防火墙时除去设备,最重要的是还购买了相关服务。另外,厂商的资历和技术实力决定着上述小标题中的各项指标,因此,一个厂家在防火墙行业资历的高低和口碑的好坏在一定意义上反映了其产品值得购买的程度。
更多附加功能未必好
就像现在的家用路由器一样,防火墙设备现在也开始摆脱功能千篇一律的现象,路由等附加功能开始被广泛地提起,拥有这些功能当然给用户增加了不少方便,但是用户在选购产品时过分地xx这些功能而忽略防火墙本身的功能无疑是本末倒置。况且,在相同的芯片配置情况下,过多的附加功能会影响产品的处理性能,也会消耗产品的存储空间,因此选购防火墙设备,还是需求为先。
总结:
企业从事行业的不同会造成对安全的不同需求,了解企业自身安全薄弱环节并选择产品,不仅仅为企业节约了成本,更是为内部网络安全上了一把“保险锁”。在具体的选购过程中,即使是同一个品牌,还应注意将每台防火墙产品的各项参数指示进行对比,从众多的型号中选出真正适合自己企业的防火墙。
虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行xxx的讲解。
虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用{zd0}化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的{zd0}优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。
“{zj0}实践”来自英文Best Practice。维基百科对{zj0}实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到{zy},并减少出错的可能性。学习应用IT企业安全的{zj0}实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的{zj0}实践,并不断更新,以期在企业安全防护方面提供帮助。
黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法,来恶意访问系统并攻击你的网络,这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法,并帮助你理解恶意攻击者的动机,也提供了一些黑客攻击具体信息的方式,采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息,例如允许黑客获取网络系统或者文件访问的系统特征探测。
假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。
