防火墙选项与导购.docVIP

当前位置： HYPERLINK / 北大青鸟首页 HYPERLINK /edu/ 网络学院 HYPERLINK /edu/zhuanti/ 专题 HYPERLINK /edu/zhuanti/network/ 网络系统设计 HYPERLINK /edu/zhuanti/network/xx/ 网络设备选型 防火墙的选型与选购（一） 防火墙的选型与选购（一） 通常所说的“防火墙是指位于网络连接的边界防火墙，它是内、外部网络问的第一道安全关口。如图7-32所示的是一款边界防火墙，一般的防火墙都提供两个以内的WAN端口， 4个左右的LAN端口。当然它也有百兆位、千兆位之分，还有双绞线和光纤传输介质之分。它的主要作用就是通过不同的过滤规划或安全防护策略保护内部网络不受外部网络的攻击。但它不能防止病毒的入侵，病毒的入侵是通过病毒防护软件进行的。 ? 防火墙的选型 防火墙相对前面介绍的交换机、路由器来说，在选型方面的考虑要简单些，主要考虑是选择软件防火墙，还是硬件防火墙，以及防火墙的少数几种包过滤类型、防火墙产品的品牌和服务等方面。 1．软、硬防火墙的选型考虑 防火墙有软件防火墙和硬件防火墙两种。软件防火墙是安装在计算机平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计，采用专用的网络芯片处理数据包。同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。所以硬件防火墙无论在性能方面，还是在自身安全性方面都较软件防火墙先进许多。 软件防火墙因为是基于主机方式的，所以通常用于保护单台主机，而硬件防火墙则是基于网络方式的，所以常用于网络的保护。目前还有一种称之为“分布式防火墙’’的，它也有两种不同的类型，有的是纯软件系统的(如安氏分布式防火墙系统)，而有些则是软件防火墙系统+硬件防火墙网卡(如3 COM的分布防火墙系统)。在这种分布式防火墙系统中，既对关键主机实施保护，也在网络边界处部署防火墙软件系统，或者硬件防火墙网卡，通过管理中心进行集中的安全策略管理，以达到主机和网络的双重保护。不过，可能由于效果不是很理想，目前这一防火墙技术还没有得到广泛应用。 无论采用哪种安全防护方式，在企业网络边界上，部署硬件边界防火墙是必不可少的，即使在分布式防火墙系统中，在网络边界部署的也同样是硬件防火墙。 2．防火墙类型的选型考虑 在防火墙的选型问题上，关键是要明确选择采用哪种防火墙技术的防火墙。目前在市场中的防火墙根据所采用的主要过滤技术可划分为包过滤型防火墙、应用代理型防火墙和状态包过滤型防火墙3种。 包过滤型防火墙目前在广大中小型企业中应用最广，主要是它的价格比较便宜，而且性能也相当不错。它的安全性不足之处在这类企业中也表现得不是很明显。包过滤(Packet Filter) 最先的应用是在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是在通信协议的网络层上对符合事先设定的安全规则定义的IP包进行包过滤，IP包过滤规则包括：源 IP地址、目的IP地址、TCP／UDP源端口及TCP／UDP目的端口等，凡不符合事先设定的安全规则定义的IP包进行排除，并按照设定的策略对IP包进行统计和日志记录。因为包过滤防火墙工作在IP层和TCP层，所以处理包的速度要比下面的应用代理型防火墙快，而且提供透明的服务，用户不用改变客户端程序，这是它的优点。但因为只涉及到TCP层，所以与代理服务型防火墙相比，它提供的安全级别较低；而且不支持用户认证，包中只有来自哪台机器的信息却不包含来自哪个用户的信息；也不提供日志功能。这些缺点我们在选购时一定要仔细权衡，是否符合本企业网络的安全管理需求。 在应用代理型防火墙时，应用代理服务运行于内部网络与外部网络之间的主机上。当用户需要访问应用代理型防火墙另一侧的主机时，对符合安全规则的连接，应用代理型防火墙会代替主机进行响应，并重新向主机发出一个相同的请求。代理系统是工作在OSI参考模型的最高层——应用层，对于用户而言，感觉是直接与外部网络相连接的。应用代理型防火墙相对于包过滤防火墙来说具有比较明显的优点，如它对内部网络用户是透明的，而外部网络无法了解内部网络的拓扑，所以就逻辑拓扑而言，代理服务型防火墙要比包过滤型更安全；代理服务型防火墙可以配置成唯一的可被外部看见的主机，以保护内部主机免受外部攻击；还可以强制执行用户认证；代理工作在客户机和真实服务器之间，完全控制会话，所以能提供较详细的审计日志，所以总的来说，应用代理型防火墙所提供的安全级别高于包过滤型防火墙。它的一个明显缺点就是其速度比包过滤慢。 应用代理型防火墙目前是最为主流的防火墙技术，也是应用最广的一种防火墙类型，特别是在一些中型或中型以上网络中。它有非常全面的安全防护技术和措施，可以为企业网络