防火墙选购推荐.pptVIP

产品体系结构 * 漏洞扫描器部署 * 漏洞管理产品评价指标 由于漏洞管理和漏洞扫描产品之间具有较大的差异性，用户在购买一款漏洞管理类产品时需要考虑以下因素： ??1. 厂商是否具备漏洞跟踪和漏洞前瞻性研究能力，具体可考察漏洞知识库的完备性、权威性和更新及时性； ??2. 产品是否支持漏洞管理工作流程，包括是否支持相应的开放接口； ??3.漏洞评估的性能，主要考察漏洞检测的速度和准确性； ??4.产品是否具备资产管理能力，是否具备对资产风险的定性、定量分析能力； ??5 .产品是否具备针对复杂大型网络的分布式部署和集中管理能力； ??6.产品的报告内容、形式是否灵活，报告是否具备多角度统计分析的能力。 * 防火墙的组成结构 第一种：软件防火墙　　 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。 第二种：硬件防火墙　 目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 第三种：芯片级防火墙 　　它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了 * 防火墙部署 * 防火墙的选购 选择合适产品的一个前提条件就是，明确用户的具体需求。因此，选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。 需求分析: * 首先，要考虑网络结构。包括网络边界出口链路的带宽要求、数量等情况，比如边界连接多个ISP;IP地址规划对防火墙地址转换的需求，比如对路由模式和透明网桥模式的支持;是否需要按照不同安全级别设立多个网段，如设置内网、外网、停火区等三个或三个以上网段。目前，市场上的大多防火墙都至少支持三个口，甚至更多。 　　其次，要考虑到业务应用系统需求。防火墙对特定应用的支持功能和性能，比如对视频、语音、数据库应用穿透防火墙的支持能力;防火墙对应用层信息过滤，比如对垃圾邮件、病毒、非法信息等过滤;对应用系统是否具有负载均衡功能。 * 　第三，要考虑用户及通信流量规模方面的需求。网络规模大小、跨防火墙访问的网络用户数量，要求防火墙具有较高的最大并发连接数;网络边界的通信流量要求防火墙具有较高的吞吐量、较低的丢包率、较低的延时等性能指标，防止出现网络性能瓶颈。 　　最后，还要考虑到可靠性、可用性、易用性等方面的需求。支撑高可用、高可靠的网络平台，要求防火墙必须达到一定的冗余能力，包括对双机热备、负载均衡、多机集群等的支持能力。对于大型网络分布式防火墙配置，要求有集中控管能力、管理界面的友好性、远程配置的安全保密等功能。 * 坚定选择原则 在整理出具体的需求以后，可以得到一份防火墙的需求分析报告。下一步的工作就是在众多的品牌和档次中选出满足需求的产品，并考虑一定的扩展性要求。选择的主要原则有: 　　第一，以需求为导向，选择最适合用户需求的产品。这里强调最适合并不意味着某一种或某几种性能及功能最好，因为评价一款防火墙的性能及功能指标很多，是一个大集合，用户应集中在自己真正需要的那些指标，超出用户需求子集的指标不能作为选择依据;而且不同厂家可能拥有不同的技术优势，某些指标好，某些指标弱，有时需要进行折中考虑。另外，还要考虑到用户可承受的性价比。 * 第二， 对于产品的选型，可参考的指标来源与厂家提供的技术白皮书、各种测评机构的横向对比测试报告，从中可以了解产品的一些基本性能情况。但由于测试时间、测试条件的差异性，把这些测试报告做横向对比的参考价值不是太高。 　　第三，要完全按照用户的实际需求来对比各种产品的满足程度，最好是根据需求，定制一套测试方案，并对防火墙在统一测试条件和测试环境下进行横向对比测试，这样出来的测试结果才真正具有可比性。关于防火墙选型测试的技术标准可以参照《包过滤防火墙安全技术要求GB/T18019-1999》、《应用级防火墙安全技术要求GB/T18020-1999》、《信息技术 安全技术 信息技术安全性评估准则GB/T18336-2001》以及RFC2544、RFC2647、RFC3511等标准和文档。 * 　明确常用指标 由于防火墙的各项指标具有较强的专业性，用户要把这些似懂非懂的指标与需求一一对应起来尚存在一