隨著互聯(lián)網(wǎng)的持續(xù)發(fā)展,企業(yè)內(nèi)部網(wǎng)絡(luò)越來越多地用于傳輸和存儲(chǔ)敏感數(shù)據(jù)。這增加了對(duì)安全技術(shù)的需求,并由此產(chǎn)生了防火墻。防火墻將保護(hù)區(qū)和非保護(hù)區(qū)進(jìn)行隔離,阻止非授權(quán)用戶對(duì)保護(hù)區(qū)資源的訪問。
一個(gè)配置良好的防火墻,能夠有效地防止外來的入侵,控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包,提供使用和流量的日志和審計(jì),隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié),以及提供VPN功能等等。
對(duì)于企業(yè)網(wǎng)絡(luò)而言,一個(gè)沒有配備防火墻的網(wǎng)絡(luò)無異于“開門揖盜”,安全性無從談起。那么,如何選擇合適的防火墻呢?本文談?wù)勂髽I(yè)級(jí)防火墻的選購要點(diǎn)。
防火墻分類
從其形式上來看,有兩大種類,一是硬件防火墻,二是軟件防火墻。硬件防火墻是一個(gè)擁有多個(gè)端口的金屬盒子,它是一套預(yù)裝有安全軟件的專用安全設(shè)備,一般采用專用的操作系統(tǒng)。而軟件防火墻通??梢园惭b在通用的網(wǎng)絡(luò)操作系統(tǒng)(如Windows和Linux)上。
根據(jù)數(shù)據(jù)通信發(fā)生的位置,可將防火墻分為幾種類型,一是網(wǎng)絡(luò)層防火墻,它也被稱為數(shù)據(jù)包過濾器,它運(yùn)行在TCP/IP堆棧結(jié)構(gòu)的第三層,在數(shù)據(jù)包與所建立的規(guī)則相匹配時(shí)才準(zhǔn)許其通過。
二是應(yīng)用層防火墻:它運(yùn)行在TCP/IP堆棧結(jié)構(gòu)的最高層,它可以截獲一個(gè)應(yīng)用程序的所有數(shù)據(jù)包。大體上,應(yīng)用層防火墻可以阻止所有外部的惡意通信達(dá)到受保護(hù)的機(jī)器。通過這種方法,防火墻實(shí)際上代表了一個(gè)應(yīng)用程序代理,它支持與遠(yuǎn)程系統(tǒng)的所有數(shù)據(jù)交換。
企業(yè)一般根據(jù)其需要和喜好來選擇防火墻。通常情況下, 購買防火墻會(huì)考慮:防火墻的體系結(jié)構(gòu)、所需要的并發(fā)防火墻會(huì)話的數(shù)量、所需要的外部訪問的范圍和類型、所需要的VPN協(xié)議的類型和數(shù)量、需要保護(hù)的并發(fā)VPN的數(shù)量、管理用戶接口的種類(屬于命令行接口、圖形用戶接口還是Web界面),以及對(duì)高可用性特性的需要。
防火墻的功能與性能考慮
用戶節(jié)點(diǎn)數(shù)
在選購防火墻時(shí),用戶需要考慮保護(hù)的節(jié)點(diǎn)數(shù)。從最簡(jiǎn)單的分類上來說,要加以保護(hù)的結(jié)點(diǎn)數(shù)決定了采用企業(yè)級(jí)防火墻還是采用SOHO防火墻。大多數(shù)情況下,SOHO防火墻能夠應(yīng)付50個(gè)以內(nèi)的用戶連接請(qǐng)求,如果需要保護(hù)50個(gè)以上用戶,就必須采用企業(yè)防火墻。
企業(yè)防火墻往往具有管理多個(gè)防火墻的功能,即企業(yè)防火墻能夠與中央管理控制臺(tái)進(jìn)行通信。生產(chǎn)企業(yè)防火墻的供應(yīng)商大都提供作為選件的中央管理控制臺(tái)。此外,安全信息管理(SIM)設(shè)備也可以作為第三方管理控制臺(tái)使用。 大多數(shù)防火墻都標(biāo)明了用戶連接數(shù)。
NAT
如今,幾乎所有防火墻都捆綁了網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能。NAT使用戶能夠把專用或非法IP地址轉(zhuǎn)換成合法的公共地址。NAT結(jié)構(gòu)可分為四類:一對(duì)一尋址、多對(duì)一尋址、一對(duì)多尋址和多對(duì)多尋址。
一對(duì)一尋址是NAT最基本的形式,可以把內(nèi)部IP地址映射到不同的外部公共IP地址。 多對(duì)一尋址意味著多個(gè)內(nèi)部IP地址可以映射到一個(gè)外部IP地址,如果用戶有一個(gè)內(nèi)部DHCP作用域,并想把它映射到一個(gè)外部IP地址,建議這類用戶采用多對(duì)一尋址。多對(duì)多尋址將其他網(wǎng)絡(luò)上幾組不同的IP地址映射成內(nèi)部或外部的IP地址。如果用戶準(zhǔn)備把一組DHCP作用域映射到另一組DHCP作用域,這就需要采用多對(duì)多NAT尋址。一對(duì)多尋址則使用于需要把一個(gè)IP地址分成兩個(gè)地址的負(fù)載均衡場(chǎng)合。如果用戶需要部署一個(gè)龐大、復(fù)雜的電信級(jí)網(wǎng)絡(luò),這就需要使用NAT的高級(jí)特性。
防火墻需配合其他設(shè)備協(xié)同工作
除非在特別簡(jiǎn)單的案例中,防火墻很少是單一的設(shè)備,而是一組設(shè)備。就算你購買的是一個(gè)商用的“all-in-one”防火墻應(yīng)用程序,你同樣得配置其他機(jī)器(例如你的網(wǎng)絡(luò)服務(wù)器)來與之一同運(yùn)行。這些其他的機(jī)器被認(rèn)為是防火墻的一部分,這包含了對(duì)這些機(jī)器的配置和管理方式,他們所信任的是什么,什么又將他們作為可信的等等。你不能簡(jiǎn)單的選擇一個(gè)叫做“防火墻”的設(shè)備卻期望其擔(dān)負(fù)所有安全責(zé)任。