如何鉴别防火墙的实际功能差异

有一些问题常令用户困惑:在产品的功能上,各个厂商的描述十分雷同,一些“后起之秀”与知名品牌极其相似。面对这种情况,该如何鉴别?

  描述得十分类似的产品,即使是同一个功能,在具体实现上、在可用性和易用性上,个体差异地十分明显。

  一、网络层的访问控制

  所有防火墙都必须具备此项功能,否则就不能称其为防火墙。当然,大多数的路由器也可以通过自身的ACL来实现此功能。

  1.规则编辑

  对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则,是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?

  2.IP/MAC地址绑定

  同样是IP/MAC地址绑定功能,有一些细节必须考察,如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用,如果防火墙不能提供IP地址和MAC地址的自动搜集,网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址,这将是一件非常乏味的工作。

  3、NAT(网络地址转换)

  这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能,各厂家实现的差异非常大,许多厂家实现NAT功能存在很大的问题:难于配置和使用,这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理,提高自身的网络知识水平,通过分析比较,找到一种在NAT配置和使用上简单处理的防火墙。

  二、应用层的访问控制

  这一功能是各个防火墙厂商的实力比拼点,也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测),但是对应用层的控制却无法实现“拿来主义”,需要实实在在的编程。

  对应用层的控制上,在选择防火墙时可以考察以下几点。

  1.是否提供HTTP协议的内容过滤?

  目前企业网络环境中,最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。

  2.是否提供SMTP协议的内容过滤?

  对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等,能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。

  3. 是否提供FTP协议的内容过滤?

  在考察这一功能时一定要细心加小心,很多厂家的防火墙都宣传说具备FTP的内容过滤,但细心对比就会发现,其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制,包括CD、LS等,要提供基于命令级控制,实现对目录和文件的访问控制,全部过滤均支持通配符。

  三、管理和认证

  这是防火墙非常重要的功能。目前,防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。

  各种管理方式中,基于命令行的CLI方式最不适合防火墙。

  WUI和GUI的管理方式各有优缺点。

  WUI的管理方式简单,不用专门的管理软件,只要配备浏览器就行;同时,WUI的管理界面非常适合远程管理,只要防火墙配置一个可达的IP,可实现在美国管理位于中国分公司的防火墙。

  WUI形式的防火墙也有缺点:首先,WEB界面非常不适合进行复杂、动态的页面显示,一般的WUI界面很难显示丰富的统计图表,所以对于审计、统计功能要求比较苛刻的用户,尽量不要选择WUI方式;另外,它将导致防火墙管理安全威胁增大,如果用户在家里通过浏览器管理位于公司的防火墙,信任关系仅仅依赖于一个简单的用户名和口令,黑客很容易猜测到口令,这增加了安全威胁。

  GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业,可以提供丰富的管理功能,便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件,同时在远程和集中管理方面没有WUI管理方式灵活。

  四、审计和日志以及存储方式

  目前绝大多数防火墙都提供了审计和日志功能,区别是审计的粒度粗细不同、日志的存储方式和存储量不同。

  很多防火墙的审计和日志功能很弱,这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显,有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能,就需要考察防火墙的存储方式,如果是DOM、DOC等Flash电子盘的存储方式,将可能限制审计和日志的功能效果。

  目前绝大多数防火墙审计日志采用硬盘存储的方式,这种方式的优点是可以存储大量的日志(几个G到几十个G),但是在某些极端的情况下,如异常掉电,硬盘受到的损坏往往要比电子盘的损坏严重。

  好的防火墙应该提供多种存储方式,便于用户灵活选择和使用。

  五、如何区分包过滤和状态监测

  一些小公司为了推销自己的防火墙产品,往往宣称采用的是状态监测技术; 从表面上看,我们往往容易被迷惑。这里给出区分这两种技术的小技巧。

  1. 是否提供实时连接状态查看?

  状态监测防火墙可以提供查看当前连接状态的功能和界面,并且可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双方的IP、端口、连接状态、连接时间等等,而简单包过滤却不具备这项功能。

  2. 是否具备动态规则库?

  某些应用协议不仅仅使用一个连接和一个端口,往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议,用户命令是通过对21端口的连接传输,而数据则通过另一个临时建立的连接(缺省的源端口是20,在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为20的访问。

  状态监测防火墙则可以支持动态规则,通过跟踪应用层会话的过程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求。对于FTP来说,只需防火墙中设定一条对21端口的访问规则,就可以保证FTP传输的正常,包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单,同时消除了必须开放所有20端口的危险。

(0)

相关推荐

  • 如何鉴别防火墙的实际功能差异

    有一些问题常令用户困惑:在产品的功能上,各个厂商的描述十分雷同,一些"后起之秀"与知名品牌极其相似.面对这种情况,该如何鉴别? 描述得十分类似的产品,即使是同一个功能,在具体实现上.在可用性和易用性上,个体差异地十分明显. 一.网络层的访问控制 所有防火墙都必须具备此项功能,否则就不能称其为防火墙.当然,大多数的路由器也可以通过自身的ACL来实现此功能. 1.规则编辑 对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的

  • 蜜罐技术:消除防火墙局限和脆弱

    防火墙是网络上使用最多的安全设备,是网络安全的重要基石.防火墙厂商为了占领市场,对防火墙的宣传越来越多,市场出现了很多错误的东西.其中一个典型的错误,是把防火墙万能化.但2002年8月的<计算机安全>中指出,防火墙的攻破率已经超过47%.正确认识和使用防火墙,确保网络的安全使用,研究防火墙的局限性和脆弱性已经十分必要. 防火墙十大局限性 一.防火墙不能防范不经过防火墙的攻击.没有经过防火墙的数据,防火墙无法检查. 二.防火墙不能解决来自内部网络的攻击和安全问题.防火墙可以设计为既防外也防内,谁

  • win2008内置防火墙配置方法说明

    而随着Windows Server 2008的日渐向我们走近,其内置的防火墙功能得到了巨大的改进.下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统,以及如何使用管理控制台单元来配置它. 为什么你应该使用这个Windows的基于主机的防火墙? 今天许多公司正在使用外置安全硬件的方式来加固它们的网络. 这意味着,它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁,保护它们自然免受互联网上恶意攻击者的入侵.但是,如果一个攻击者能够攻 破外围的防线,从而获得对内部网络的访问,

  • 虚拟主机管理系统DirectAdmin、Websitepanel和Cpanel功能对比评测

    DirectAdmin Websitepanel Cpanel 安装环境 LINUX Windows 2008 R2 Linux 空间类型 PHP+MYSQL 全能 PHP+MYSQL 实时开通 √ √ √ 实时监控 √ √ √ API √ √ √ IP管理 √ √ √ FTP管理 √ √ √ DNS管理 √ √ √ 邮件管理 √ √ √ Mysql管理 √ √ √ Mssql管理 X √ X 域名管理 √ √ √ 代理下线 √ √ √ 错误页面设置 √ √ √ 在线文件管理器 √ √ √ 网站

  • 网络防火墙的设置技巧

    如今网络防火墙已经成为了各位网友上网,但是又有对少人能让他的网络防火墙真正发挥他的作用呢? 许多人对于网络防火墙的功能不加以设置,对网络防火墙的规则不加以设置--这样,网络防火墙作用就会大大减弱-- 网络防火墙的默认设置一般都只能是普遍的设置,也就是说这样的设置要大致适合成千上百用户.试问,这样的设置就一定会100%适合你吗?肯定不可能.下面,我就以我自己实践的经验,谈谈我自己的看法. 功能设置篇 功能设置属于外部设置.为什么这样说呢?主要因为,这些设置不会改变规则中要求拦截和放行对象. 对于我

  • 网络防火墙的设置

    如今网络防火墙已经成为了各位网友上网,但是又有对少人能让他的网络防火墙真正发挥他的作用呢? 许多人对于网络防火墙的功能不加以设置,对网络防火墙的规则不加以设置--这样,网络防火墙作用就会大大减弱-- 网络防火墙的默认设置一般都只能是普遍的设置,也就是说这样的设置要大致适合成千上百用户.试问,这样的设置就一定会100%适合你吗?肯定不可能.下面,我就以我自己实践的经验,谈谈我自己的看法. 功能设置篇 功能设置属于外部设置.为什么这样说呢?主要因为,这些设置不会改变规则中要求拦截和放行对象. 对于我

  • 3-8 防火墙是不是保证企业网络安全

    企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在什么问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法!  随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑.因此,企业不惜代价地在网络安全方面投入资金,购买防火墙.电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击.在许多企业.甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了

  • 防火墙是关键控制还是全网服务

    防火墙无疑是目前网络安全领域认可程度最高.应用范围最广的网络安全技术,根据CCID提供的数据,今年防火墙占整个信息安全产品市场的38.7%,略高于防病毒产品,位居第一.在这一年中,防火墙技术本身有了怎样的发展,又有什么新的思路和亮点呢? 由于防火墙技术已经发展了很长时间,技术已经比较成熟,几年来,其基本的框架和设计思路没有太多的变化,所调整的不过是对一些新应用的支持而已,在防火墙的基础功能上有了一些功能项的扩充.这样就对我们选用防火墙时提出一个问题--各家的防火墙好像都差不多,该有的功能都有

  • 3-8  防火墙是不是保证企业网络安全

    企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在什么问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法!  随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑.因此,企业不惜代价地在网络安全方面投入资金,购买防火墙.电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击.在许多企业.甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了

  • vue 项目代码拆分的方案

    背景 由于之前的数据库防火墙产品与数据库审计产品使用的是同一套代码,随着两个产品功能的差异越来越大,代码的冗余度和偶合度越来越高,为了便于后期维护以及添加新功能,所以基于原来的项目代码,进行了代码结构拆分. 注意:本次拆分只拆分了可以拆分的部分,有的模块例如:规则.关于我们,是没有进行拆分的,一是有的模块很简单,没必要拆分:二是有的模块原先写得代码偶合太严重,无法拆分,如果要拆分,需要花费大量精力去梳理代码,同时还要后端配合拆分. 目的 将此次代码拆分方案记录下来,便于后来的开发人员快速熟悉项目

随机推荐