如何选择防火墙

日期: 2008-04-16 作者:Mike Chapple翻译:李娜娜 来源:TechTarget中国 英文

现在市场上有一些不同种类的防火墙。为你的组织选择一种防火墙是一项令人望而却步的工作——尤其是为一个充斥着流言和专利商标的行业。我们来看一下防火墙技术的基本知识以及为公司选择防火墙时,你可能会问到的五个问题。   1.为什么要使用防火墙?当然,这可能听起来似乎是一个简单的问题。

你可能自己会解答,“因为我们需要!”但是重要的是你花费时间确定使用防火墙的技术目标。这些目标会决定选择过程。当一种简单的产品就能满足你的技术要求时,你就不想选择一种昂贵的、而功能丰富到迷惑管理员的防火墙。   2.防火墙如何能适合你的网络拓扑结构?这种防火墙是否存在于整个网络的周界,并直接与因特网相连接,或者是否适合公司其……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

现在市场上有一些不同种类的防火墙。为你的组织选择一种防火墙是一项令人望而却步的工作——尤其是为一个充斥着流言和专利商标的行业。我们来看一下防火墙技术的基本知识以及为公司选择防火墙时,你可能会问到的五个问题。

  1.为什么要使用防火墙?当然,这可能听起来似乎是一个简单的问题。你可能自己会解答,“因为我们需要!”但是重要的是你花费时间确定使用防火墙的技术目标。这些目标会决定选择过程。当一种简单的产品就能满足你的技术要求时,你就不想选择一种昂贵的、而功能丰富到迷惑管理员的防火墙。

  2.防火墙如何能适合你的网络拓扑结构?这种防火墙是否存在于整个网络的周界,并直接与因特网相连接,或者是否适合公司其它地方的敏感局域网分段?它可以处理多大流量?它需要多少界面来分割流量?诸如这些的性能要求大大增加了推行新防火墙的总成本,这很容易造成购买产品的不足或过剩。

  3. 你需要运行哪种类型的流量检测器?流言就是从这里开始的。每个厂商对其流量检测技术都有一个不同的商标,但是基本上有三个不同的选择(按照复杂度和成本排序):

  • 封包过滤防火墙(屏障式路由器防火墙)使用简单的规则,对遇到的每个数据包,按其本身的特点进行评价。它们不保存每个数据包的记录历史,进行基本的数据包组头检测。这种检测的简单性加快了其速度。这种防火墙是最便宜的选择,但同时他们也是最不灵活和漏洞最多的。你的运气比较好就是你已经拥有了可以运行封包过滤防火墙的设备——那就是你的路由器!
  • 状态检测防火墙(动态过滤包防火墙)更进了一步。它们跟踪三向TCP同步交换,确保数据包始终属于一个已建立的网段(比如,就没有设置SYN特征位),以对防火墙检测到的上一个活动做出反应。开放最初连接的要求,受到了状态检测防火墙规则数据库的限制。
  • 应用代理防火墙拥有最高级的性能。在状态检测防火墙的基础上,它们突破了客户机与服务器之间的连接。客户机与防火墙相连,防火墙可以分析请求(包括数据包内容的应用层检测)。如果防火墙的规则显示信息传输可以进行,那么防火墙就会与服务器建立连接,继续在通信过程中扮演的媒介的角色。当防火墙与网络地址翻译协议(Network Address Translation)相结合时,这两个主机甚至都不会防范其它主机的存在——它们都相信它们正在直接与防火墙交流。

  4.你的公司更适合采用设备解决方案还是软件解决方案?

  设备一般更易于安装。一般情况下你只要插进合适的以太网电缆,进行基本的网络配置,就准备好配置防火墙规则了。另一方面,软件防火墙比较难安装,并且需要调节。它们也缺少防火墙操作系统通常所固有的安全性。如何权衡?你可以猜一下!设备更昂贵一些。

  5.哪种操作系统最能满足你的要求?

  即使设备可以运行操作系统,在你防火墙管理职业生涯中,你有时可能会需要使用该操作系统。如果你是Linux系统操作员,你可能不想选择一种基于 Windows系统的防火墙。另一方面,如果你不了解/var/log的/dev/null, 你就可能想要避开使用基于Unix系统的解决方案。 虽然,我不知道你的需求,就不能给你建议一种具体的防火墙,但是回答这些问题的过程可以帮助你打定主意,做出正确的选择。有了这些答案,在选择购买防火墙时,你应该能够明智地评价当前市场上各种产品的成本/优点了。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • “外围”消亡 企业安全防护需要新形态

    外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

  • 怎样正确地测试和维护防火墙?

    大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……