- 論壇徽章:
- 0
|
|
摘要:防火墻自身的安全性主要體現(xiàn)在自身設計和管理兩個方面���。設計的安全性關鍵在于操作系統(tǒng)�,只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性����。而應用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎的���,同時防火墻自身的安全實現(xiàn)也直接影響整體系統(tǒng)的安全性�。\r\n標簽:企業(yè)用戶 防火墻\r\n\r\n\r\n防火墻是目前使用最為廣泛的網(wǎng)絡安全產(chǎn)品之一���,用戶在選購時應該注意以下幾點:\r\n\r\n一���、防火墻自身的安全性\r\n\r\n防火墻自身的安全性主要體現(xiàn)在自身設計和管理兩個方面。設計的安全性關鍵在于操作系統(tǒng)���,只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性����。而應用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎的���,同時防火墻自身的安全實現(xiàn)也直接影響整體系統(tǒng)的安全性�����。\r\n\r\n二�、系統(tǒng)的穩(wěn)定性\r\n\r\n目前,由于種種原因��,有些防火墻尚未最后定型或經(jīng)過嚴格的大量測試就被推向了市場��,其穩(wěn)定性可想而知����。防火墻的穩(wěn)定性可以通過幾種方法判斷:\r\n\r\n1.從權威的測評認證機構獲得。例如�����,你可以通過與其它產(chǎn)品相比��,考察某種產(chǎn)品是否獲得更多的國家權威機構的認證���、推薦和入網(wǎng)證明(書)���,來間接了解其穩(wěn)定性�����。\r\n\r\n2.實際調查��,這是最有效的辦法:考察這種防火墻是否已經(jīng)有了使用單位�����、其用戶量如何,特別是用戶們對于該防火墻的評價���。\r\n\r\n3.自己試用��。在自己的網(wǎng)絡上進行一段時間的試用(一個月左右)���。\r\n\r\n4.廠商開發(fā)研制的歷史。一般來說�,如果沒有兩年以上的開發(fā)經(jīng)歷,很難保證產(chǎn)品的穩(wěn)定性����。\r\n\r\n5. 廠商實力,如資金、技術開發(fā)人員�����、市場銷售人員和技術支持人員多少等等�����。\r\n\r\n三�、是否高效\r\n\r\n高性能是防火墻的一個重要指標,它直接體現(xiàn)了防火墻的可用性�����。如果由于使用防火墻而帶來了網(wǎng)絡性能較大幅度的下降�,就意味著安全代價過高。一般來說����,防火墻加載上百條規(guī)則,其性能下降不應超過5%(指包過濾防火墻)���。\r\n\r\n四����、是否可靠\r\n\r\n可靠性對防火墻類訪問控制設備來說尤為重要,直接影響受控網(wǎng)絡的可用性����。從系統(tǒng)設計上,提高可靠性的措施一般是提高本身部件的強健性���、增大設計閾值和增加冗余部件���,這要求有較高的生產(chǎn)標準和設計冗余度。\r\n\r\n五��、是否功能靈活\r\n\r\n對通信行為的有效控制����,要求防火墻設備有一系列不同級別�����,滿足不同用戶的各類安全控制需求的控制注意��。例如對普通用戶���,只要對 IP 地址進行過濾即可;如果是內部有不同安全級別的子網(wǎng)����,有時則必須允許高級別子網(wǎng)對低級別子網(wǎng)進行單向訪問。\r\n\r\n六���、是否配置方便\r\n\r\n在網(wǎng)絡入口和出口處安裝新的網(wǎng)絡設備是每個網(wǎng)管員的惡夢, 因為這意味著必須修改幾乎全部現(xiàn)有設備的配置�����。支持透明通信的防火墻���,在安裝時不需要對原網(wǎng)絡配置做任何改動,所做的工作只相當于接一個網(wǎng)橋或Hub��。\r\n\r\n七���、是否管理簡便\r\n\r\n網(wǎng)絡技術發(fā)展很快�,各種安全事件不斷出現(xiàn)���,這就要求安全管理員經(jīng)常調整網(wǎng)絡安全注意����。對于防火墻類訪問控制設備�����,除安全控制注意的不斷調整外,業(yè)務系統(tǒng)訪問控制的調整也很頻繁��,這些都要求防火墻的管理在充分考慮安全需要的前提下�,必須提供方便靈活的管理方式和方法,這通常體現(xiàn)為管理途徑�、管理工具和管理權限。\r\n\r\n八�、是否可以抵抗拒絕服務攻擊\r\n\r\n在當前的網(wǎng)絡攻擊中, 拒絕服務攻擊是使用頻率最高的方法。抵抗拒絕服務攻擊應該是防火墻的基本功能之一����。目前有很多防火墻號稱可以抵御拒絕服務攻擊,但嚴格地說��,它應該是可以降低拒絕服務攻擊的危害而不是抵御這種攻擊�����。在采購防火墻時���,網(wǎng)管人員應該詳細考察這一功能的真實性和有效性。\r\n\r\n九�����、是否可以針對用戶身份過濾\r\n\r\n防火墻過濾報文,需要一個針對用戶身份而不是IP地址進行過濾的辦法�。目前常用的是一次性口令驗證機制, 保證用戶在登錄防火墻時, 口令不會在網(wǎng)絡上泄露, 這樣,防火墻就可以確認登錄上來的用戶確實和他所聲稱的一致�。\r\n\r\n十、是否可擴展����、可升級\r\n\r\n用戶的網(wǎng)絡不是一成不變的,和防病毒產(chǎn)品類似�,防火墻也必須不斷地進行升級,此時支持軟件升級就很重要了�。如果不支持軟件升級的話,為了抵御新的攻擊手段�,用戶就必須進行硬件上的更換,而在更換期間網(wǎng)絡是不設防的�����,同時用戶也要為此花費更多的錢��。 |
|
免費注冊
發(fā)表于 2009-12-25 14:43
