• 关于我们 联系我们
当前位置:数据网络技术专区 → 正文

购买企业级防火墙需关注的要点

责任编辑:xdong |来源:企业网D1Net  2012-05-01 16:30:00 本文摘自:www.3ait.com

防火墙是主要的网络安全设备,一个配置良好的防火墙,能够有效地防止外来的入侵,控制进出网络的信息流向和信息包,提供使用和流量的日志和审计,隐藏内部IP地址及网络结构的细节,以及提供VPN功能等等。

对于企业网络而言,一个没有配备防火墙的网络无异于“开门揖盗”,安全性无从谈起。那么,如何选择合适的防火墙呢?本文从技术角度出发,谈谈企业级防火墙的选购要点。

防火墙种类

在选购之前,企业用户首先需要弄清防火墙的种类。目前,市场有六种基本类型的防火墙,分别是嵌入式防火墙、 基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。

嵌入式防火墙

就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。

嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样, 所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、 蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。

基于软件的防火墙

指能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统,购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来, 添加一个基于软件的防火墙就是合理之举。

基于硬件的防火墙

多捆绑于“交钥匙”系统(Turnkey system)中,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。

特殊防火墙

侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的,MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙, 但也具有防火墙类规则和应用防范禁闭功能。

防火墙“软”与“硬”的折衷

一般说来,软件防火墙具有比硬件防火墙更灵活的性能,但是安装软件防火墙需要用户选择硬件平台和操作系统。而硬件防火墙经过厂商的预先包装,启动及运作要比软件防火墙快得多。

购买硬件设备防火墙,往往意味着获得了一个捆绑在硬盒子里的“交钥匙”系统。如果用户对防火墙运行的硬件平台没有特殊要求,硬件防火墙则是这类用户理想的选择。另一个适用硬件防火墙的场合是,用户希望隔离防火墙服务,不把防火墙安装在其他应用中。

防火墙的功能与性能考虑

用户节点数

在选购防火墙时,用户需要考虑保护的节点数。从最简单的分类上来说,要加以保护的结点数决定了采用企业级防火墙还是采用SOHO防火墙。大多数情况下,SOHO防火墙能够应付50个以内的用户连接请求,如果需要保护50个以上用户,就必须采用企业防火墙。

企业防火墙往往具有管理多个防火墙的功能,即企业防火墙能够与中央管理控制台进行通信。生产企业防火墙的供应商大都提供作为选件的中央管理控制台。此外,安全信息管理(SIM)设备也可以作为第三方管理控制台使用。 大多数防火墙都标明了用户连接数。

NAT

如今,几乎所有防火墙都捆绑了网络地址转换(NAT)功能。NAT使用户能够把专用或非法IP地址转换成合法的公共地址。 NAT结构可分为四类:一对一寻址、多对一寻址、一对多寻址和多对多寻址。

一对一寻址是NAT最基本的形式,可以把内部IP地址映射到不同的外部公共IP地址。 多对一寻址意味着多个内部IP地址可以映射到一个外部IP地址,如果用户有一个内部DHCP作用域,并想把它映射到一个外部IP地址,建议这类用户采用多对一寻址。多对多寻址将其他网络上几组不同的IP地址映射成内部或外部的IP地址。如果用户准备把一组DHCP作用域映射到另一组DHCP作用域,这就需要采用多对多NAT寻址。一对多寻址则使用于需要把一个IP地址分成两个地址的负载均衡场合。如果用户需要部署一个庞大、复杂的电信级网络,这就需要使用NAT的高级特性。

对简单网络而言,一对一NAT功能就已足够。

VPN

大部分企业级防火墙具有VPN功能。这类防火墙通常被用作VPN的端点。VPN能够确保隐私和数据的完整性。用户要牢记VPN必须有两个端点。如果用户没有第二个端点连接至VPN,就没有购买具有VPN功能的防火墙的必要。VPN通过加密隧道发送数据,从而把数据与外界隔离开来。加密过程需要额外的处理能力,如果用户准备为电信级网络建立VPN,这就需要捆绑具有密码加速器或允许添加密码加速器的VPN防火墙。捆绑密码加速器是为了提高VPN的速度。

日志功能

日志功能是防火墙的重要特性之一。为更好地管理网络,用户最好选购能够记录多种事件的日志、过滤多种事件的防火墙。

在防火墙的日志功能方面,要注意的包括,所选购的防火墙日志事件的多少和过滤器的多少。过滤器能够使用户以合理、易懂的方式察看不同的事件。用户应该能够根据IP地址、网络号、连接类型、域名和日期时间等基本过滤器过滤事件。

Syslog格式是最常用的日志格式,用户所选购的防火墙最好支持Syslog格式。

防火墙规则

防火墙规则是防火墙得以工作的核心,其则对防火墙允许哪些类型的流量进出网络作出规定。

对企业级用户而言,要注意的是,防火墙是否支持自动次序独立规则。一般说来,防火墙上的规则需要排成非常特定的次序,否则无法正常工作。一些防火墙具有自动给规则排列次序的特性。具有这一特性的防火墙最好同时具有开启及关闭该特性的功能。自动次序独立规则制订是一个出色的特性,它能帮助用户合理给规则排列次序。

但是,也必须清楚地看到,在制订防火墙规则时,人的作用是最重要的。

小结

选购企业防火墙,用户需要了解的除上述之外还需要认真研究一下防火墙的可用性、内容过滤器以及支持防病毒功能的特性。当然,供应商的服务能力也是必须注意的,供应商或厂商是否提供电话支持服务以及服务的收费情况等,这是保证企业网络不间断运行的重要条件。

关键字:

本文摘自:www.3ait.com

x 购买企业级防火墙需关注的要点 扫一扫
分享本文到朋友圈
当前位置:数据网络技术专区 → 正文

购买企业级防火墙需关注的要点

责任编辑:xdong |来源:企业网D1Net  2012-05-01 16:30:00 本文摘自:www.3ait.com

防火墙是主要的网络安全设备,一个配置良好的防火墙,能够有效地防止外来的入侵,控制进出网络的信息流向和信息包,提供使用和流量的日志和审计,隐藏内部IP地址及网络结构的细节,以及提供VPN功能等等。

对于企业网络而言,一个没有配备防火墙的网络无异于“开门揖盗”,安全性无从谈起。那么,如何选择合适的防火墙呢?本文从技术角度出发,谈谈企业级防火墙的选购要点。

防火墙种类

在选购之前,企业用户首先需要弄清防火墙的种类。目前,市场有六种基本类型的防火墙,分别是嵌入式防火墙、 基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。

嵌入式防火墙

就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。

嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样, 所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、 蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。

基于软件的防火墙

指能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统,购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来, 添加一个基于软件的防火墙就是合理之举。

基于硬件的防火墙

多捆绑于“交钥匙”系统(Turnkey system)中,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。

特殊防火墙

侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的,MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙, 但也具有防火墙类规则和应用防范禁闭功能。

防火墙“软”与“硬”的折衷

一般说来,软件防火墙具有比硬件防火墙更灵活的性能,但是安装软件防火墙需要用户选择硬件平台和操作系统。而硬件防火墙经过厂商的预先包装,启动及运作要比软件防火墙快得多。

购买硬件设备防火墙,往往意味着获得了一个捆绑在硬盒子里的“交钥匙”系统。如果用户对防火墙运行的硬件平台没有特殊要求,硬件防火墙则是这类用户理想的选择。另一个适用硬件防火墙的场合是,用户希望隔离防火墙服务,不把防火墙安装在其他应用中。

防火墙的功能与性能考虑

用户节点数

在选购防火墙时,用户需要考虑保护的节点数。从最简单的分类上来说,要加以保护的结点数决定了采用企业级防火墙还是采用SOHO防火墙。大多数情况下,SOHO防火墙能够应付50个以内的用户连接请求,如果需要保护50个以上用户,就必须采用企业防火墙。

企业防火墙往往具有管理多个防火墙的功能,即企业防火墙能够与中央管理控制台进行通信。生产企业防火墙的供应商大都提供作为选件的中央管理控制台。此外,安全信息管理(SIM)设备也可以作为第三方管理控制台使用。 大多数防火墙都标明了用户连接数。

NAT

如今,几乎所有防火墙都捆绑了网络地址转换(NAT)功能。NAT使用户能够把专用或非法IP地址转换成合法的公共地址。 NAT结构可分为四类:一对一寻址、多对一寻址、一对多寻址和多对多寻址。

一对一寻址是NAT最基本的形式,可以把内部IP地址映射到不同的外部公共IP地址。 多对一寻址意味着多个内部IP地址可以映射到一个外部IP地址,如果用户有一个内部DHCP作用域,并想把它映射到一个外部IP地址,建议这类用户采用多对一寻址。多对多寻址将其他网络上几组不同的IP地址映射成内部或外部的IP地址。如果用户准备把一组DHCP作用域映射到另一组DHCP作用域,这就需要采用多对多NAT寻址。一对多寻址则使用于需要把一个IP地址分成两个地址的负载均衡场合。如果用户需要部署一个庞大、复杂的电信级网络,这就需要使用NAT的高级特性。

对简单网络而言,一对一NAT功能就已足够。

VPN

大部分企业级防火墙具有VPN功能。这类防火墙通常被用作VPN的端点。VPN能够确保隐私和数据的完整性。用户要牢记VPN必须有两个端点。如果用户没有第二个端点连接至VPN,就没有购买具有VPN功能的防火墙的必要。VPN通过加密隧道发送数据,从而把数据与外界隔离开来。加密过程需要额外的处理能力,如果用户准备为电信级网络建立VPN,这就需要捆绑具有密码加速器或允许添加密码加速器的VPN防火墙。捆绑密码加速器是为了提高VPN的速度。

日志功能

日志功能是防火墙的重要特性之一。为更好地管理网络,用户最好选购能够记录多种事件的日志、过滤多种事件的防火墙。

在防火墙的日志功能方面,要注意的包括,所选购的防火墙日志事件的多少和过滤器的多少。过滤器能够使用户以合理、易懂的方式察看不同的事件。用户应该能够根据IP地址、网络号、连接类型、域名和日期时间等基本过滤器过滤事件。

Syslog格式是最常用的日志格式,用户所选购的防火墙最好支持Syslog格式。

防火墙规则

防火墙规则是防火墙得以工作的核心,其则对防火墙允许哪些类型的流量进出网络作出规定。

对企业级用户而言,要注意的是,防火墙是否支持自动次序独立规则。一般说来,防火墙上的规则需要排成非常特定的次序,否则无法正常工作。一些防火墙具有自动给规则排列次序的特性。具有这一特性的防火墙最好同时具有开启及关闭该特性的功能。自动次序独立规则制订是一个出色的特性,它能帮助用户合理给规则排列次序。

但是,也必须清楚地看到,在制订防火墙规则时,人的作用是最重要的。

小结

选购企业防火墙,用户需要了解的除上述之外还需要认真研究一下防火墙的可用性、内容过滤器以及支持防病毒功能的特性。当然,供应商的服务能力也是必须注意的,供应商或厂商是否提供电话支持服务以及服务的收费情况等,这是保证企业网络不间断运行的重要条件。

关键字:

本文摘自:www.3ait.com

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^