- 相關推薦
企業防火墻該如何選擇
在IT安全領域,防火墻是一個重要的角色,通常被部署在企業網絡和外部互聯網中間,來保護企業網中的計算機、應用程序和其它資源免遭外部攻擊。然而由于很多人對防火墻接觸的很少,加上防火墻種類繁多,常常讓一些新手朋友在選擇購買防火墻的時候感到困惑,本文筆者將和大家一起簡單了解一下在購買防火墻需要明確的一些概念,以及不同類型防火墻的主要優點和缺點。
一、防火墻概念及選購要素
盡管防火墻有很多種分類,我們還是可以給它下一個廣泛的定義:一系列相關的安全程序被安裝在一個網絡入口服務器(或專用設備)上,兩者共同筑起一道安全“墻”,共同保護內網資源免遭外網人員攻擊。
盡管所有防火墻都運行軟件,防火墻市場本身還是被人們劃分為兩大陣營:硬件防火墻和軟件防火墻。硬件防火墻是專門的安全設備,上面預裝著安全軟件,其操作系統一般是專用操作系統。另一方面,軟件防火墻通常可以被安裝在任何可用的服務器上,服務器的操作系統一般是通用的網絡操作系統,諸如Windows或Linux等。
企業在選擇防火墻產品的時候,沒有一套完全正確的規則可參考,因為每個企業的實際網絡環境不一樣,而且每個企業對防火墻功能要求也不同,因此企業通常要立足于需要和自己公司的實際情況來選擇合適的防火墻。不過在選購防火墻的時候,還是有一些要考慮的共同問題,如以下問題。
·防火墻的體系架構(硬件還是軟件);
·防火墻要求的并發會話(session)數量是多少,并發會話數是防火墻能夠同時處理的點對點會話連接的最大數目,它反映防火墻對多個連接的訪問控制能力和連接狀態跟蹤能力。這個參數的大小可以直接影響到防火墻所能支持的最大信息點數;
·外部訪問的類型和范圍要求;
·需要的VPN(虛擬專用網)協議的數量和類型;要求保護的并發VPN的數量; ·喜歡的管理用戶界面(命令行、圖形或基于網頁),以及是否需要高可用性功能。
防火墻的價格相差很大,用戶保護家庭或小企業網絡的簡單防火墻價格比較低,而用于專門保護企業資源的行業級別的硬件防火墻價格則非常高。
沒有兩個企業的網絡是完全相同的,因此廠商提供了許多不同類型的防火墻實現(包括基于硬件和軟件的),來滿足特定客戶需要。最基本的實現可以被劃分為包過濾、電路層和應用層三類。
二、包過濾防火墻
單純的包過濾防火墻除了過濾數據包之外什么操作也不做。包過濾防火墻根據預先定義好的規則來決定接受或拒絕IP數據包。通過包過濾,該防火墻仔細的檢查每一個數據包的協議和地址信息;數據包的內容不檢查。
包過濾防火墻檢查每一個傳入包,查看包中可用的基本信息(源地址和目的地址、端口號、協議等)。然后,將這些信息與設立的規則相比較。舉個例子來說,如果你設定了規則阻擋外網用戶對內網計算機或設備使用telnet,而包的目的端口是23的話,那么該包就會被丟棄。
圖1、包過濾防火墻
多個復雜規則的組合也是可行的。如果允許Web連接,但只針對特定的服務器,目的端口和目的地址二者必須與規則相匹配,才可以讓該包通過。 主要優勢:
包過濾防火墻相對比較簡單,成本較低,部署簡單快速。
現在單純的硬件包過濾防火墻已經比較少,不過多數防火墻中都具有包過濾功能。而一般家用和小企業用的軟件防火墻多數屬于此類防火墻,Windows早期內置的防火墻就屬于包過濾防火墻。另外,對于使用Linux操作系統的朋友來說,也可以配置其自帶防火墻實現包過濾功能。
三、鏈路級防火墻
這類防火墻不是簡單的接受或拒絕數據包,它還根據一系列預定義規則來決定一個連接是否合法。如果一切通過驗證,防火墻會打開一個會話,并允許指定源地址的數據通過防火墻進入網絡內部。這個通信只被允許在限定時間內進行。
圖2、鏈路級防火墻
另外,這個防火墻還可以根據以下對象來執行連接驗證,例如源IP地址或源端口,目的IP地址或目的端口,使用的協議,用戶ID,密碼和時間等等,多數情況下要根據幾種條件的組合來進行驗證。我們可以看出,包級別的過濾在這種防火墻中也可能發生。
主要優點:
·鏈路級防火墻通常比應用層防火墻更快,因為它們執行更少的操作;
·通過禁用特定互聯網源地址與內部計算機的連接,鏈路級防火墻可以幫助保護整個網絡;
·通過與網絡地址解析聯合使用,你可以使用鏈路級防火墻來阻止外部用戶訪問內部網絡IP地址。
主要缺點:
·運行在傳輸層,因此必須要對傳輸函數編程進行比較大的修改。這可能影響到網絡的性能和運行。
《企業防火墻該如何選擇》全文內容當前網頁未完全顯示,剩余內容請訪問下一頁查看。
·鏈路級防火墻需要安裝人員和維護人員具有一定的專業知識。
四、應用級防火墻
在這種防火墻實現方式中,防火墻的角色是一個應用程序代理,與遠端系統實現所有數據交換。這種防火墻背后的設計思想是讓所有服務器藏在防火墻后面,對遠端系統不可見。
一個應用層防火墻可以根據特定規則來接受或拒絕通信。舉個例子來說,這種防火墻可以允許某些命令被傳送到一個服務器上,而拒絕其它命令。這個技術還可以被用來限制訪問特定的文件類型,同樣也可以為授權和未授權用戶提供不同級別的訪問級別。
圖3、應用級防火墻
對于那些喜歡對網絡流量進行詳細監控和記錄日志的用戶來說,可能會比較喜歡應用層防火墻,因為使用應用防火墻實現這些功能非常簡單,而且不會進一步影響性能。IT管理員可以設定一個應用層防火墻來實現在預定義事件發生的時候觸發報警器和發出提示。應用程序網關一般被部署在一臺單獨的聯網計算機上,人們通常稱之為代理服務器。
除了上述三種類型的防火墻外,還有一種狀態檢查多級防火墻,這類防火墻通常由廠商作為“最佳品牌”解決方案來提供,目的是將前面幾種防火墻的優點組合起來。狀態防火墻可以執行網絡包過濾,同時還可以識別和處理應用層的數據。這類防火墻通常可以提供超強網絡保護,但是價格可能比較昂貴。
另外值得注意的是,多數防火墻廠商提供了一系列的輔助功能,來提供那些基本防火墻服務之外的功能。此類的功能包括反病毒保護,內容過濾,入侵防護和網絡行為和使用報表。隨著網絡安全的迅速發展,對于企業來說,購買一個可以輕松升級到更高性能和更多新功能的產品,這是一個不錯的觀點。
企業防火墻該如何選擇 [篇2]
在it安全領域,防火墻是一個重要的角色,通常被部署在企業網絡和外部互聯網中間,來保護企業網中的計算機、應用程序和其它資源免遭外部攻擊。然而由于很多人對防火墻接觸的很少,加上防火墻種類繁多,常常讓一些新手朋友在選擇購買防火墻的時候感到困惑,本文筆者將和大家一起簡單了解一下在購買防火墻需要明確的一些概念,以及不同類型防火墻的主要優點和缺點。
一、防火墻概念及選購要素
盡管防火墻有很多種分類,我們還是可以給它下一個廣泛的定義:一系列相關的安全程序被安裝在一個網絡入口服務器(或專用設備)上,兩者共同筑起一道安全“墻”,共同保護內網資源免遭外網人員攻擊。
盡管所有防火墻都運行軟件,防火墻市場本身還是被人們劃分為兩大陣營:硬件防火墻和軟件防火墻。硬件防火墻是專門的安全設備,上面預裝著安全軟件,其操作系統一般是專用操作系統。另一方面,軟件防火墻通常可以被安裝在任何可用的服務器上,服務器的操作系統一般是通用的網絡操作系統,諸如windows或linux等。
企業在選擇防火墻產品的時候,沒有一套完全正確的規則可參考,因為每個企業的實際網絡環境不一樣,而且每個企業對防火墻功能要求也不同,因此企業通常要立足于需要和自己公司的實際情況來選擇合適的防火墻。不過在選購防火墻的時候,還是有一些要考慮的共同問題,如以下問題。
·防火墻的體系架構(硬件還是軟件);
·防火墻要求的并發會話(session)數量是多少,并發會話數是防火墻能夠同時處理的點對點會話連接的最大數目,它反映防火墻對多個連接的訪問控制能力和連接狀態跟蹤能力。這個參數的大小可以直接影響到防火墻所能支持的最大信息點數;
·外部訪問的類型和范圍要求;
·需要的vpn(虛擬專用網)協議的數量和類型;要求保護的并發vpn的數量;
·喜歡的管理用戶界面(命令行、圖形或基于網頁),以及是否需要高可用性功能。
防火墻的價格相差很大,用戶保護家庭或小企業網絡的簡單防火墻價格比較低,而用于專門保護企業資源的行業級別的硬件防火墻價格則非常高。
沒有兩個企業的網絡是完全相同的,因此廠商提供了許多不同類型的防火墻實現(包括基于硬件和軟件的),來滿足特定客戶需要。最基本的實現可以被劃分為包過濾、電路層和應用層三類。
二、包過濾防火墻
單純的包過濾防火墻除了過濾數據包之外什么操作也不做。包過濾防火墻根據預先定義好的規則來決定接受或拒絕ip數據包。通過包過濾,該防火墻仔細的檢查每一個數據包的協議和地址信息;數據包的內容不檢查。
包過濾防火墻檢查每一個傳入包,查看包中可用的基本信息(源地址和目的地址、端口號、協議等)。然后,將這些信息與設立的規則相比較。舉個例子來說,如果你設定了規則阻擋外網用戶對內網計算機或設備使用telnet,而包的目的端口是23的話,那么該包就會被丟棄。
圖1、包過濾防火墻
多個復雜規則的組合也是可行的。如果允許web連接,但只針對特定的服務器,目的端口和目的地址二者必須與規則相匹配,才可以讓該包通過。
主要優勢:
包過濾防火墻相對比較簡單,成本較低,部署簡單快速。
現在單純的硬件包過濾防火墻已經比較少,不過多數防火墻中都具有包過濾功能。而一般家用和小企業用的軟件防火墻多數屬于此類防火墻,windows早期內置的防火墻就屬于包過濾防火墻。另外,對于使用linux操作系統的朋友來說,也可以配置其自帶防火墻實現包過濾功能。
三、鏈路級防火墻
這類防火墻不是簡單的接受或拒絕數據包,它還根據一系列預定義規則來決定一個連接是否合法。如果一切通過驗證,防火墻會打開一個會話,并允許指定源地址的數據通過防火墻進入網絡內部。這個通信只被允許在限定時間內進行。
圖2、鏈路級防火墻
另外,這個防火墻還可以根據以下對象來執行連接驗證,例如源ip地址或源端口,目的ip地址或目的端口,使用的協議,用戶id,密碼和時間等等,多數情況下要根據幾種條件的組合來進行驗證。我們可以看出,包級別的過濾在這種防火墻中也可能發生。
主要優點:
·鏈路級防火墻通常比應用層防火墻更快,因為它們執行更少的操作;
·通過禁用特定互聯網源地址與內部計算機的連接,鏈路級防火墻可以幫助保護整個網絡;
·通過與網絡地址解析聯合使用,你可以使用鏈路級防火墻來阻止外部用戶訪問內部網絡ip地址。
主要缺點:
·運行在傳輸層,因此必須要對傳輸函數編程進行比較大的修改。這可能影響到網絡的性能和運行。
·鏈路級防火墻需要安裝人員和維護人員具有一定的專業知識。
四、應用級防火墻
在這種防火墻實現方式中,防火墻的角色是一個應用程序代理,與遠端系統實現所有數據交換。這種防火墻背后的設計思想是讓所有服務器藏在防火墻后面,對遠端系統不可見。
一個應用層防火墻可以根據特定規則來接受或拒絕通信。舉個例子來說,這種防火墻可以允許某些命令被傳送到一個服務器上,而拒絕其它命令。這個技術還可以被用來限制訪問特定的文件類型,同樣也可以為授權和未授權用戶提供不同級別的訪問級別。
圖3、應用級防火墻
對于那些喜歡對網絡流量進行詳細監控和記錄日志的用戶來說,可能會比較喜歡應用層防火墻,因為使用應用防火墻實現這些功能非常簡單,而且不會進一步影響性能。it管理員可以設定一個應用層防火墻來實現在預定義事件發生的時候觸發報警器和發出提示。應用程序網關一般被部署在一臺單獨的聯網計算機上,人們通常稱之為代理服務器。
除了上述三種類型的防火墻外,還有一種狀態檢查多級防火墻,這類防火墻通常由廠商作為“最佳品牌”解決方案來提供,目的是將前面幾種防火墻的優點組合起來。狀態防火墻可以執行網絡包過濾,同時還可以識別和處理應用層的數據。這類防火墻通常可以提供超強網絡保護,但是價格可能比較昂貴。
另外值得注意的是,多數防火墻廠商提供了一系列的輔助功能,來提供那些基本防火墻服務之外的功能。此類的功能包括反病毒保護,內容過濾,入侵防護和網絡行為和使用報表。隨著網絡安全的迅速發展,對于企業來說,購買一個可以輕松升級到更高性能和更多新功能的產品,這是一個不錯的觀點。
【企業防火墻該如何選擇】相關文章:
中小型制造企業該如何選擇11-23
裝修風格該如何選擇11-23
洗車毛巾該如何選擇11-23
廚房瓷磚該如何選擇11-23
禮品該如何來選擇11-23
人生道路該如何選擇04-27
該如何選擇適合的健身方式04-04
我該如何選擇事業or工作11-23
IT職業學校該如何選擇11-23