1、防火墙的测试与选购,防火墙测试与选购,通常所说的“防火墙”是指位于网络连接的边界防火墙,它是内、外部网络问的第一道安全关口。如图所示的是一款边界防火墙。它的主要作用就是通过不同的过滤规划或安全防护策略保护内部网络不受外部网络的攻击。,防火墙测试与选购,防火墙的选购第一步,选择合适产品的一个前提条件就是,明确用户的具体需求。因此,选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。,需求分析:,防火墙测试与选购,首先,要考虑网络结构。包括网络边界出口链路的带宽要求、数量等情况,比如边界连接多个ISP;IP地址规划对防
2、火墙地址转换的需求,比如对路由模式和NAT模式的支持;是否需要按照不同安全级别设立多个网段,如设置内网、外网、停火区等三个或三个以上网段。目前,市场上的大多防火墙都至少支持三个口,甚至更多。其次,要考虑到业务应用系统需求。防火墙对特定应用的支持功能和性能,比如对视频、语音、数据库应用穿透防火墙的支持能力;防火墙对应用层信息过滤,比如对垃圾邮件、病毒、非法信息等过滤;对应用系统是否具有负载均衡功能。,防火墙测试与选购,第三,要考虑用户及通信流量规模方面的需求。网络规模大小、跨防火墙访问的网络用户数量,要求防火墙具有较高的最大并发连接数;网络边界的通信流量要求防火墙具有较高的吞吐量、较低的丢包率、
3、较低的延时等性能指标,防止出现网络性能瓶颈。最后,还要考虑到可靠性、可用性、易用性等方面的需求。支撑高可用、高可靠的网络平台,要求防火墙必须达到一定的冗余能力,包括对双机热备、负载均衡、多机集群等的支持能力。对于大型网络分布式防火墙配置,要求有集中控管能力、管理界面的友好性、远程配置的安全保密等功能。,防火墙测试与选购,防火墙选购第二步坚定选择原则,在整理出具体的需求以后,可以得到一份防火墙的需求分析报告。下一步的工作就是在众多的品牌和档次中选出满足需求的产品,并考虑一定的扩展性要求。选择的主要原则有:第一,以需求为导向,选择最适合用户需求的产品。这里强调最适合并不意味着某一种或某几种性能及功
4、能最好,因为评价一款防火墙的性能及功能指标很多,是一个大集合,用户应集中在自己真正需要的那些指标,超出用户需求子集的指标不能作为选择依据;而且不同厂家可能拥有不同的技术优势,某些指标好,某些指标弱,有时需要进行折中考虑。另外,还要考虑到用户可承受的性价比。,防火墙测试与选购,第二, 对于产品的选型,可参考的指标来源与厂家提供的技术白皮书、各种测评机构的横向对比测试报告,从中可以了解产品的一些基本性能情况。但由于测试时间、测试条件的差异性,把这些测试报告做横向对比的参考价值不是太高。第三,要完全按照用户的实际需求来对比各种产品的满足程度,最好是根据需求,定制一套测试方案,并对防火墙在统一测试条件
5、和测试环境下进行横向对比测试,这样出来的测试结果才真正具有可比性。关于防火墙选型测试的技术标准可以参照包过滤防火墙安全技术要求GB/T18019-1999、应用级防火墙安全技术要求GB/T18020-1999、信息技术 安全技术 信息技术安全性评估准则GB/T18336-2001以及RFC2544、RFC2647、RFC3511等标准和文档。,防火墙测试与选购,防火墙选购第三步明确常用指标,由于防火墙的各项指标具有较强的专业性,用户要把这些似懂非懂的指标与需求一一对应起来尚存在一定的难度,因此,用户在选择时,有必要把防火墙的主要指标和需求联系起来。目前,防火墙常用的技术指标包括性能指标、功能指
6、标、防攻击指标以及防火墙对集中管理、分级管理、日志管理等功能的支持,提供较为友好和安全的配置方式和工具等。性能指标主要包括吞吐量、丢包率、延迟、最大并发连接数、并发连接处理速率等。用户在选择时,应该根据自身的网络规模和需求,对上述几个指标参数进行详细了解,选择适合的产品,可以向有关专家询问请教。,防火墙测试与选购,1软、硬防火墙的选型考虑 软件防火墙是安装在计算机平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计,采用专用的网络芯片处理数据包。,防火墙测试与选购,第一种:软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的
7、计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。,第二种:硬件防火墙 目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。,防火墙测试与选购,第三种:芯片级防火墙它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性
8、能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了,防火墙测试与选购,2防火墙技术类型的考虑 目前在市场中的防火墙根据所采用的主要过滤技术可划分为包过滤型防火墙、应用代理型防火墙和状态包过滤型防火墙3种。,防火墙测试与选购,3、防火墙产品的类型路由器集成式和硬件独立式防火墙 。 在边界防火墙中,如果从硬件结构来看的话,基本上有两大类:路由器集成式和硬件独立式防火墙。前者是在边界路由器基础上辅以软件,添加一些包过滤功能,通常称之为包过滤防火墙,如Cisco IOS防火墙等;而独立式硬件防火墙通常是基于应用级网关、自动代理等较先进过滤技术的,各
9、种过滤技术有不同的优点和适用环境,要注意选择。,防火墙测试与选购,4、LAN端口类型和数量 防火墙的LAN端口类型要符合应用环境的网络连接需求。主要的LAN端口类型有以太网、快速以太网、千兆位以太网、ATM等主流网络类型。,防火墙测试与选购,5、协议支持 防火墙要对各种数据包进行过滤,就必须对相应数据包通信方式提供支持,除了广泛受支持的TCPIP协议外,还有可能需要支持AppleTalk、DECnet、IPX及NETBEUI等协议。,防火墙测试与选购,6、访问控制配置 防火墙的访问规则是防火墙的一项重要而又基本的功能。在防火墙中的访问规则列表中,不同的防火墙有不同的配置方式,也就体现了不同防火
10、墙系统的安全策略完善程度。好的防火墙过滤规则应涵盖所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,也应有一个默认处理方法。,防火墙测试与选购,7、自身的安全性 防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用了专用的硬件平台。,防火墙测试与选购,8、防御功能 防火墙不仅能根据TCP/UDP/IP协议进行阻断外也要求本身具有一定的防御功能指的是防火墙能够防止某些攻击( Flood、针对ICMP的攻击等多种DoS攻击 )、进行内容过滤、病毒扫描,使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防护能力。 在提供病毒扫描功能的防火墙中,要验证其扫描的
11、文档类型 验证防火墙是否具有抵御DoS攻击的能力 随着黑客攻击手段的提高,新的入侵手段的防御,防火墙测试与选购,9、连接性能 因为防火墙位于网络边界,需对进入网络的所有数据包进行过滤,这就要求防火墙能以最快的速度及时对所有数据包进行检测,否则就可能造成比较的延时,甚至死机,防火墙测试与选购,9、VPN和加密认证 防火墙与VPN的集成是一个重要发展方向。VPN模块在对各种协议和算法的方面支持程度,包括DES、3DES、AES、CAST、BLF、RC2/R4等在内的主流加密算法的支持。 在身份认证方面,防火墙支持的认证方法很重要 。防火墙支持本地、RADIUS、SecureID、NT域、数字证书、
12、MSCHAP等多种认证方式和标准,防火墙测试与选购,10、管理功能 在管理方面,主要是出于网络管理员对防火墙的日常管理工作方便性角度考虑,防火墙要能为管理员提供足够的信息或操作便利。 对于大型网络,如果存在多个防火墙,我们还要考虑防火墙是否支持集中管理 。,防火墙测试与选购,管理界面,管理一个防火墙的方法一般来说是两种:图形化界面(GUI)和命令行界面(CLI)。图形界面最常见的方式是通过web方式(包括http和https)和java等程序编写的界面进行远程管理;命令行界面一般是通过console口或者telnet/ssh进行远程管理。从易用性的角度来讲,Web管理是最好的方式。漂亮的界面以
13、及非常清晰的菜单选项可以使用户轻松配置管理防火墙的各方面,防火墙测试与选购,11、记录和报表功能 在防火墙的日志记录和报表功能上,主要考虑以下几个方面: 防火墙处理完整日志的方法: 是否提供自动日志扫描: 是否具有警告通知机制: 是否提供简要报表 是否提供实时统计,防火墙测试与选购,防火墙的日志/监控 防火墙对受到的攻击和通过防火墙的请求应具有完备的日志功能,包括安全日志、时间日志和传输日志。 A.日志管理软件实现对日志服务器的配置和管理,可以利用管理软件对日志信息进行查询、统计和提供审计报表 . B.支持多种日志服务器的存储方式,包括Internal、Syslog、WebTrends、fla
14、sh卡等。 C.当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时,根据设定的规则,防火墙应该向管理员发出报警信号 D.对日志进行分级和分类将非常有利于日志信息的查询以及处理。,防火墙测试与选购,12灵活的可扩展和可升级性 用户的网络不可能永远一成不变,随着业务的发展,公司内部可能组建不同安全级别的子网。这样防火墙不仅要在公司内部网和外部网之间进行过滤,还要在公司内部子网之间进行过滤。,防火墙测试与选购,13协同工作能力 因为防火墙只是一个基础的网络安全设备,它不代表网络安全防护体系的全部。通常它需要与防病毒系统和入侵检测系统等安全产品协同配合,才能从根本上保证整个系统的安全。所以在选
15、购防火墙时就要考虑它是否能够与其他安全产品协同工作。,防火墙测试与选购,14品牌知名度 防火墙产品属高科技产品,生产这样的设备不仅需要强大的资金作后盾,而且在技术实力上需要有强大的保障。选择了好的品牌在一定程度上也就选择了好的技术和服务,对将来的使用更加有保障。 目前国外在防火墙产品的开发、生产中比较著名的品牌有:3 COM、Cisco、NetScreen、Check Point等 国内开发、生产防火墙的品牌主要有:联想、天网、实达、东软、天融信等,防火墙测试与选购,防火墙测试与选购,防火墙的的重要指标,防火墙的性能指标说明A.吞吐量 吞吐量的高低决定了防火墙在不丢帧的情况下转发数据包的最大速
16、率.经常以pps(包每秒)来衡量 ,防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响,防火墙测试与选购,B.并发会话数 并发会话连接数指的是防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点会话连接的最大数目,它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。,防火墙测试与选购,每秒新建会话数 假设在第一时间,已经占用了防火墙的全部会话数,在下一秒,就要等待防火墙处理完之前不需要的会话数才能让需要的人继续使用剩余的会话数。那么这个每秒新增会话数就很重要了。如果每秒新增会话数不够的话,剩下的人就要等待有新的会话数出
17、来。,防火墙测试与选购,防火墙的工作模式 1.透明模式时 防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地信息 2. NAT模式 防火墙的作用与Layer 3(第3层)交换机(或路由器)相似,将绑定到外网区段的IP封包包头中的两个组件进行转换:其源IP地址和源端口号。 3、路由模式时 防火墙在不同区段间转发信息流时不执行NAT;即,当信息流穿过防火墙时,IP封包包头中的源地址和端口号保持不变。,防火墙测试与选购,高可用性 提高可靠性和负载分配。HA端口:专用于两点间通讯连接。分两种工作方式:一是两台防火墙同时工作,共同负担网络流量,在其中一台防火墙中断的同时,另外一台自动接管所有任务,保证不会发生网络中断;另外一种是在同一时间只使用其中一台防火墙,当其不能正常工作时,另外一台防火墙立刻接管当前的防火墙,不会造成网络中断。,
