如何鉴别防火墙的实际功能差异.docxVIP

PAGE 1 PAGE 1 如何鉴别防火墙的实际功能差异  本文通过五方面来介绍了如何鉴别防火墙的实际功能与宣传功能的差异……  有一些问题常令用户困惑：在产品的功能上，各个厂商的描述非常雷同，一些“后起之秀”与知名品牌极其相似。面对这种状况，该如何鉴别？描述得非常类似的产品，即使是同一个功能，在详细实现上、在可用性和易用性上，个体差异地非常明显。  一、网络层的访问掌握  全部防火墙都必需具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。  1．规则编辑  对网络层的访问掌握主要表现在防火墙的规则编辑上，我们一定要考察：对网络层的访问掌握是否可以通过规则表现出来？访问掌握的粒度是否足够细？同样一条规则，是否供应了不同时间段的掌握手段？规则配置是否供应了友善的界面？是否可以很简单地体现网管的安全意志？  2．IP/MAC地址绑定  同样是IP/MAC地址绑定功能，有一些细节必需考察，如防火墙能否实现IP地址和MAC地址的自动搜集？对违反了IP/MAC地址绑定规则的访问是否供应相应的报警机制？因为这些功能特别实用，假如防火墙不能供应IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件特别乏味的工作。  3、NAT（网络地址转换）  这一原本路由器具备的功能已渐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异特别大，很多厂家实现NAT功能存在很大的问题：难于配置和使用，这将会给网管员带来巨大的麻烦。我们必需学习NAT的工作原理，提高自身的网络学问水平，通过分析比较，找到一种在NAT配置和使用上简洁处理的防火墙。  二、应用层的访问掌握  这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为许多基于免费操作系统实现的防火墙虽然可以具备状态监测模块（因为Linux、FreeBSD等的内核模块已经支持状态监测），但是对应用层的掌握却无法实现“拿来主义”，需要实实在在的编程。  对应用层的掌握上，在选择防火墙时可以考察以下几点。  1．是否供应HTTP协议的内容过滤？  目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的掌握反映了一个防火墙的技术实力。  2．是否供应SMTP协议的内容过滤？  对电子邮件的攻击越来越多：邮件炸弹、邮件病毒、泄漏机密信息等等，能否供应基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。  3．是否供应FTP协议的内容过滤？  在考察这一功能时一定要细心加小心，许多厂家的防火墙都宣传奇具备FTP的内容过滤，但细心对比就会发觉，其中绝大多数仅实现了FTP协议中两个命令的掌握：PUT和GET。好的防火墙应当可以对FTP其他全部的命令进行掌握，包括CD、LS等，要供应基于命令级掌握，实现对目录和文件的访问掌握，全部过滤均支持通配符。  三、管理和认证  这是防火墙特别重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。  各种管理方式中，基于命令行的CLI方式最不适合防火墙。  WUI和GUI的管理方式各有优缺点。  WUI的管理方式简洁，不用特地的管理软件，只要配备浏览器就行；同时，WUI的管理界面特别适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。  WUI形式的防火墙也有缺点：首先，WEB界面特别不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式；另外，它将导致防火墙管理安全威逼增大，假如用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依靠于一个简洁的用户名和口令，黑客很简单猜测到口令，这增加了安全威逼。  GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业，可以供应丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要特地的管理端软件，同时在远程和集中管理方面没有WUI管理方式敏捷。  四、审计和日志以及存储方式  目前绝大多数防火墙都供应了审计和日志功能，区分是审计的粒度粗细不同、日志的存储方式和存储量不同。  许多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘（并且不供应网络数据库支持）为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。假如需要