7.6防火墙选择原则.ppt

7.6 防火墙选择原则;7.6.1 防火墙安全策略 面对市场上许多防火墙产品，如何选择最适合用户的产品呢？这应当从安全策略开始考虑。  1. 防火墙自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上，但往往忽略一点，就是防火墙也是网络上的主机设备，也可能存在安全问题。防火墙如果不能确保自身安全，则防火墙的控制功能再强，也不能完全保护内部网络。 ; 大部分防火墙都安装在一般的操作系统上，如UNIX、 Windows NT系统等。在防火墙主机上执行的除了防火墙软件外， 所有的程序、 系统核心， 大多来自于操作系统本身的原有程序。 当防火墙上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的存取规则，进而侵入更多的系统。因此，防火墙自身应当有相当高的安全保护功能。 ; 2. 考虑特殊的需求 企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的， 这是选择防火墙需考虑的因素之一，常见的需求如下： 1） IP地址转换 进行IP地址转换有两个好处：其一是可以隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络， 这也是要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部用户使用保留的IP， 这对许多IP不足的企业是有益的。 ; 2） 双重DNS 当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换。因为，同样的一个主机在内部的IP与外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。 ; 3） 虚拟专用网络（VPN） VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。这对总公司与分公司之间或公司与外出的员工之间，需要直接联系又不愿花费大量资金， 申请专线或用长途电话拨号连接时，将会非常有用。 ; 4） 病毒扫描功能 大部分防火墙都可以与防病毒防火墙搭配实现病毒扫描功能。 有的防火墙则可以直接集成病毒扫描功能，差别只是病毒扫描工作是由防火墙完成， 或是由另一台专用的计算机完成。  5） 特殊控制需求 有时候企业会有特别的控制需求，如限制特定使用者才能发送E-mail，FTP只能得到档案，但不能上传档案，限制同时上网人数、 使用时间等。 ;7.6.2 选择防火墙的原则 当我们在规划网络时，不能不考虑整体网络的安全性。而谈到网络安全， 就不能忽略防火墙的功能，防火墙产品往往有上千种，如何在其中选择最符合需要的产品，是消费者最关心的事。  1. 一个好的防火墙应该是一个整体网络的保护者 一个好的防火墙应该以整体网络保护者自居， 它所保护的对象应该是全部的Intranet，并不仅是那些通过防火墙的使用者。 ; 2. 一个好的防火墙必须能弥补其它操作系统的不足 一个好的防火墙必须是建立在操作系统之前而不是在操作系统之后，所以操作系统有些漏洞并不会影响到一个好的防火墙系统所提供的安全性。由于硬件平台的普及以及执行效率的因素，大部分企业经常把对外提供各种服务的服务器分散在许多操作平台上，我们在无法保证所有主机安全的情况下，选择防火墙作为整体安全的保护者。这正说明了操作系统提供B级或是C级的安全并不一定会直接对整体安全造成影响，因为一个好的防火墙必须能弥补操作系统的不足。 ; 3. 一个好的防火墙应该为使用者提供不同平台的选择 由于防火墙并非完全由硬件构成，因此软件（操作系统）所提供的功能以及执行效率一定会影响到整体的表现，而使用者的操作意愿及对防火墙软件的熟悉程度也是必须考虑的重点。 一个好的防火墙不但本身要有良好的执行效率，也应该提供多平台的执行方式供使用者选择，毕竟使用者才是完全的控制者。 使用者应该选择一套符合现有环境需求的软件，而并非为了软件的限制而改变现有环境。 ; 4. 一个好的防火墙应能向使用者提供完善的售后服务 由于有新的产品的出现，就会有人研究新的破解方法，因此一个好的防火墙提供者必须有一个庞大的组织作为使用者的安全后盾， 也应该有众多的使用者所建立的口碑为防火墙作见证。防火墙安装和