怎么选择防火墙?防火墙是目前使用最为广泛的网络安全产品之一,运营商在构建物联网应用系统时通常应该采购防火墙作为网络安全的重要防护手段,在选购防火墙时应该注意以下几点:
1.自身安全性
防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。
2.系统稳定性
目前,由于种种原因,有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场,其稳定性可想而知。防火墙的稳定性可以通过几种方法判断:
(1)从权威的测评认证机构获得。例如,可以通过与其他产品相比,考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明(书),来间接了解其稳定性。
(2)实际调查,这是最有效的办法:考察这种防火墙是否已经有了使用单位、其用户量如何,特别是用户们对于该防火墙的评价。
(3)自己试用。在自己的网络上进行一段时间的试用(一个月左右)。
(4)厂商开发研制的历史。一般来说,如果没有两年以上的开发经历,很难保证产品的稳定性。
(5)厂商实力,如资金、技术开发人员、市场销售人员和技术支持人员多少等。
3.高效适用性
高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降,就意味着安全代价过高。一般来说,防火墙加载上百条规则,其性能下降不应超过5%(指包过滤防火墙)。
4.可靠性
可靠性对防火墙类访问控制设备来说尤为重要,直接影响受控网络的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件,这要求有较高的生产标准和设计冗余度。
5.控制灵活
对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。例如对普通用户,只要对 IP 地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问。
6.配置便利
在网络入口和出口处安装新的网络设备是每个网管员的噩梦,因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙,在安装时不需要对原网络配置作任何改动,所做的工作只相当于接一个网桥或hub。
7.管理简便
网络技术发展很快,各种安全事件不断出现,这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备,除安全控制注意的不断调整外,业务系统访问控制的调整也很频繁,这些都要求防火墙的管理在充分考虑安全需要的前提下,必须提供方便灵活的管理方式和方法,这通常体现为管理途径、管理工具和管理权限。
8.拒绝服务攻击的抵抗能力
在当前的网络攻击中,拒绝服务攻击是使用频率较高的方法。抵抗拒绝服务攻击应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击,但严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时,网管人员应该详细考察这一功能的真实性和有效性。
9.报文过滤能力
防火墙过滤报文,需要一个针对用户身份而不是 IP 地址进行过滤的办法。目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在网络上泄漏,这样,防火墙就可以确认登录上来的用户确实和他所声称的一致。
10.可扩展性
用户的网络不是一成不变的,和防病毒产品类似,防火墙也必须不断地进行升级,此时支持软件升级就很重要了。如果不支持软件升级的话,为了抵御新的攻击手段,用户就必须进行硬件上的更换,而在更换期间网络是不设防的,同时用户也要为此花费更多的钱。