如何選購企業(yè)級防火墻

申請免費試用、咨詢電話：400-8352-114

當一個企業(yè)決定用防火墻來實施組織的安全策略后，下一步要做的就是選擇一個安全、實惠、合適的防火墻。選擇防火墻時，要考慮以下幾方面問題。

一、選擇防火墻的要求

1、防火墻應具備的基本功能

支持“除非明確允許，否則就禁止”的設計策略，即使這種策略不是最初使用的策略;本身支持安全策略，而不是添加上去的;如果組織機構的安全策略發(fā)生改變，可以加入新的服務;有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法;如果需要，可以運用過濾技術允許和禁止服務;可以使用FTP和Telnet等服務代理，以便先進的認證手段就可以被安裝和運行在防火墻上;擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質進行包過濾，數(shù)據(jù)包的性質有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡接口等;

如果用戶需要NNTP(網(wǎng)絡消息傳輸協(xié)議)，X window，HTTP和Gopher等服務，防火墻應該包含相應的代理服務程序。防火墻也應具有集中郵件的功能，以減少SMTP服務器和外界服務器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應允許公眾對站點的訪問。防火墻應把信息服務器和其他內部服務器分開。

2、其他功能

防火墻應該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應具有精簡日志的能力。如果防火墻使用UNIX操作系統(tǒng)，則應提供一個完全的UNIX操作系統(tǒng)和其他一些保證數(shù)據(jù)完整的工具，應該安裝所有的操作系統(tǒng)的補丁程序。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內部使用的操作系統(tǒng)一樣，但在防火墻上運行一個管理員熟悉的操作系統(tǒng)會使管理變得簡單。

防火墻的強度和正確性應該可被驗證。防火墻的設計應該簡單，以便管理員理解和維護。防火墻和相應的操作系統(tǒng)應該用補丁程序進行升級且升級必須定期進行。

正像前面提到的那樣，因特網(wǎng)每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產(chǎn)生。當新的危險出現(xiàn)時，新的服務和升級工作可能會對防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的適應性是很重要的。

二、購買還是自己構筑

一些企業(yè)具有自己組裝防火墻的能力，他們使用可用的軟件組件和設備或自己編寫一個防火墻程序。另外一些企業(yè)利用經(jīng)銷商提供的防火墻技術服務，例如相應的硬件和軟件、開發(fā)安全策略、風險評估、安全檢測和安全培訓等。

企業(yè)自己構筑防火墻的優(yōu)勢是內部人員了解防火墻設計的細節(jié)從而能夠方便應用。但自制防火墻需要長時間的修建、記錄文檔和維護，費用較高。相比之下，從銷售商那里購買防火墻是較為經(jīng)濟的。