防火墙安全评估准则教材_课件.pptVIP

第12章 防火墙安全评估准则 ;防火墙安全评估准则; 目前市场上销售的防火墙都具备用户认证功能，但传统的防火墙的用户认证技术尚存在如下不足： 在应用代理（网关）一级的认证技术必须与应用服务相关，也就是必须针对不同的应用（如HTTP,FTP等）进行定制。如果用户有一种新的应用服务需要进行认证，则必须开发相对应的认证模块嵌进去;此外，当用户使用不同的网络服务时，需要分别进行认证，即存在多次认证的问题，使用户使用不便，因此，当存在大量的应用时，防火墙具有较大的局限性。 包过滤功能与应用代理功能的网络性能相差非常大。当用户需要用户认证模块，而用户认证模块必须在应用代理基础上实现时，会极大地影响网络性能。因此，当用户在强调网络性能的情况下需要用户认证功能时，防火墙受到较大的限制。 在对用户做计费统计时，如果在应用网关一级做统计，往往只能对某些特定的网络服务类型来做统计，而不能统计该用户使用的所有服务的流量以及时间，这样，统计的准确性和有效性将大打折扣。 针对上述用户认证技术存在的不足，防火墙新增了网络层用户认证功能，以解决用户应用上存在的问题。 防火墙的网络层用户认证系统，解决了在应用代理一级做认证存在的只能为有限的服务提供认证功能、包处理的效率低和计费（流量或时间）的局限性。它采用在链路层和网络层的用户认证技术，则可以为任何网络协议、服务提供认证功能，变为与应用服务无关的用户认证，同时大大提高了处理效率。尤其在做计费时，可以精确地统计某用户发出/接收到每一个IP包以及用户使用网络的总时间。;目前的网络层用户认证系统的主要功能有：;认证功能;支持本地认证或RADIUS认证;系统管理员管理功能;时间和流量的控制和统计;防火墙系统在线检测; 目前，防火墙具有多个认证方案，支持PAP和高安全强度的一次性口令（S/Key）认证协议，并支持标准的RADIUS、数字证书等，支持软件方式与iKey等硬件方式认证，支持用户和组管理。 防火墙的网络层用户认证系统很好地解决了传统防火墙在用户认证应用上的局限性和性能问题??同时极大地丰富了防火墙固有的用户管理和控制功能，使防火墙更好地实现了对网络服务的认证与授权的有效监控。 1.必须考量本身需求与环境评估，目前防火墙基本功能差异不大，但价格差异却不小，原因在于产品的品牌、效能、稳定度、扩充性与授权人数（软件防火墙）等。 2.由于防火墙提供多种附加功能或工具来符合各种企业需求，虚拟企业网络（VPN）、记录分析工具（Log?Analyzer）、频宽管理（Bandwidth?Management）等，这些工具基本上都价格不蜚，企业可以针对目前的需求加以选择。 3.防火墙可否Centralize?Management？防火墙是否容易管理也是相当重要的考量点，不管公司是否设置网络专业人员，总之，应避免选择功能繁杂难以设定的防火墙。 4.评估公司预算，考虑防火墙的价格及效能的成本价值，选购防火墙虽然不一定要选择知名的品牌，但也能贪图便宜选择不适用的低阶防火墙。 5.选购合适的功能。 6.选择良好的售后服务。除了选择防火墙本身的品质外，厂商的售后服务也是选择防火墙时所必须考虑的。;Gartner的分析师Greg Young说：“供应商越来越多地转向整合IPS(入侵预防系统)和防火墙，但目前真正综合的，功能完整的产品还是供应不求。”他以其所在公司的研究成果为例，表明威胁已经变得更加复杂，而且正逐渐转向网络堆栈的更高层。这迫使防火墙超越仅提供状态协议分析的阶段，进而具备日益丰富的管理和配置工具。 。;Forrester Research的分析员Robert Whiteley先生也认为，在未来，防火墙将更加紧密地集成所有的网络安全功能。他说：“我们已经看到了融合防火墙、VPN、IPS、反恶意程序和内容过滤的UTM产品——我认为，思科（Cisco）公司的ASA和Juniper公司的SSG就是不错的例子。不过，这些都不是真正的一体化”。当网络应用攻击防火墙时，及时地扫描相关的网络应用的能力将至关重要，Whiteley继续说：“一旦认为传统的防火墙可以将网络保护周全，那么这个机构的安全体系就会出现漏洞。我们看到诸如Web 2.0、Web服务、SOA以及软件与服务等这些趋势正在极大地改变公司的应用架构。这也意味着，更具有关键使命的数据流正使用着标准的网络端口。 XML、Java、Flash及其他许多新的网络协议将使用新的、创新性的应用类型，但这也带来了数目不详的弱点。公司将不得不将注意力转移到应用层的保护，以阻止演变得日益复杂和具有针对性的程序开发带来的对网络安全