1993年�����,中國第一條64K專線接通了國際互聯(lián)網(wǎng),彈指10年間����,網(wǎng)絡(luò)時(shí)代給我們的工作、生活帶來了巨大的變化�。這10年,網(wǎng)絡(luò)以幾何級(jí)數(shù)式的膨脹增長,網(wǎng)絡(luò)傳輸?shù)男畔⒘靠涨霸黾����,傳統(tǒng)數(shù)據(jù)加上語音、視頻���、多媒體等大量的信息流��,對(duì)于網(wǎng)絡(luò)的帶寬不斷地提出了新的需求����。另一方面��,網(wǎng)絡(luò)安全越來越成為一個(gè)不容忽視的課題��。據(jù)于2002年調(diào)查顯示����,在過去的5年中,每天都有因受到黑客攻擊而造成嚴(yán)重?fù)p失的事件�����。安全產(chǎn)品和網(wǎng)絡(luò)攻擊如同矛和盾的較量���,每一天都在演繹著網(wǎng)絡(luò)安全新的傳說。從1996年底到2002年初���,國內(nèi)安全市場經(jīng)歷了“軍閥混戰(zhàn)”的時(shí)期,安全廠商經(jīng)受了一次大的洗禮�。自2002年下半年至今,國內(nèi)網(wǎng)絡(luò)安全市場中���,安全廠商優(yōu)勝劣汰,形成了以幾家大專業(yè)廠商為主導(dǎo)的局面�,F(xiàn)在�����,就網(wǎng)絡(luò)安全產(chǎn)品中的防火墻產(chǎn)品�,在新時(shí)期��,防火墻選型需要注意的幾個(gè)問題作以說明����。
防火墻:一道安全屏障
防火墻是一種控制隔離技術(shù)��,采用綜合的網(wǎng)絡(luò)技術(shù)設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障�,用以分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)系統(tǒng),防止發(fā)生不可預(yù)測�、潛在的破壞性侵入。防火墻設(shè)備像在兩個(gè)網(wǎng)絡(luò)之間設(shè)置了一道關(guān)卡����,能根據(jù)用戶的安全策略控制出入網(wǎng)絡(luò)的信息流,防止非法信息流入被保護(hù)的網(wǎng)絡(luò)內(nèi)�,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)����、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。所以�����,在選用防火墻的時(shí)候�����,一定要從性能指標(biāo)�、安全性、復(fù)雜環(huán)境適應(yīng)性�、安全審計(jì)、配置管理方便性等方面去考慮�����。
性能指標(biāo)要滿足網(wǎng)絡(luò)應(yīng)用和發(fā)展要求
網(wǎng)絡(luò)發(fā)展到如今,網(wǎng)絡(luò)的流量呈現(xiàn)了迅速增長的趨勢���,那么所選擇的防火墻能否滿足網(wǎng)絡(luò)的大數(shù)據(jù)流量要求呢�����?防火墻的性能指標(biāo)���,體現(xiàn)了防火墻能否勝任指定環(huán)境的處理能力需求,是否具備較好的可用性����。通常遵從RFC2544、RFC1242和RFC2647標(biāo)準(zhǔn)����,主要包括吞吐量、丟包率�、延遲��、背靠背包���、最大并發(fā)連接數(shù)�、每秒新建立連接數(shù)六項(xiàng)指標(biāo)。
吞吐量是防火墻在各種幀長的滿負(fù)載(100M或1000M)雙向(Bidirectional Traffic)UDP數(shù)據(jù)包情況下的穩(wěn)定性表現(xiàn)���,是其它指標(biāo)的基礎(chǔ)���。它反映的是防火墻的數(shù)據(jù)包轉(zhuǎn)發(fā)能力�����。其中�, 64字節(jié)幀長小包的處理能力��,對(duì)于反映防火墻數(shù)據(jù)包的轉(zhuǎn)發(fā)能力尤其重要����,現(xiàn)已引起國內(nèi)外廠商和用戶的關(guān)注。在這方面����,有些國內(nèi)企業(yè),如東方龍馬的龍馬衛(wèi)士防火墻64字節(jié)幀長的雙向處理能力超過了60%�。防火墻丟包率這項(xiàng)測試�,是用來確定防火墻在不同傳輸速率下丟失數(shù)據(jù)包的百分?jǐn)?shù),目的在于測試防火墻在超負(fù)載情況下的性能��。延遲這項(xiàng)測試通常是指測試從測試數(shù)據(jù)幀的最后一個(gè)比特進(jìn)入被測設(shè)備端口開始,至測試數(shù)據(jù)包的第一個(gè)比特從被測設(shè)備另一端口離開的時(shí)間間隔���。背靠背包是指以最小幀間隔發(fā)送最多數(shù)據(jù)包而不引起丟包時(shí)的數(shù)據(jù)包數(shù)量����。最后兩項(xiàng)分別測試防火墻的每秒所能建立起的TCP/HTTP連接數(shù)及防火墻所能保持的最大TCP/HTTP連接數(shù)�����。了解這些之后����,我們會(huì)明白�,采用具有優(yōu)異性能的防火墻,是我們保護(hù)投資的一種有效方式���。
復(fù)雜環(huán)境適應(yīng)性
防火墻工作模式常見有三種:路由模式�����、透明模式和混合模式����。所謂混合模式是指將一臺(tái)防火墻當(dāng)作兩臺(tái)來用,這樣的防火墻存在著路由和透明兩種工作模式����。防火墻只支持前兩種工作模式已經(jīng)不能適應(yīng)復(fù)雜網(wǎng)絡(luò)的安全需求,往往這時(shí)候的解決方案就是用兩臺(tái)防火墻來完成����,一臺(tái)工作在路由模式,另一臺(tái)工作在透明模式�。但是這樣會(huì)使用戶成倍地增加防火墻的投入費(fèi)用,同時(shí)增加管理成本�����。
在防火墻基本功能和安全性滿足要求的時(shí)候���,我們還要考慮對(duì)于復(fù)雜網(wǎng)絡(luò)的適應(yīng)性�。國內(nèi)有相當(dāng)多數(shù)的網(wǎng)絡(luò)沒有考慮安全性的問題����,網(wǎng)絡(luò)先運(yùn)行,一段時(shí)間之后���,才考慮增加安全設(shè)備���。所以存在很多這樣的現(xiàn)象:先建網(wǎng)絡(luò)��,后增加防火墻���。這勢必給防火墻提出了一個(gè)要求—讓防火墻去適應(yīng)各種各樣的網(wǎng)絡(luò)環(huán)境。舉一個(gè)例子�,在用戶已經(jīng)運(yùn)行的網(wǎng)絡(luò)中,對(duì)外開放的服務(wù)器采用C/S結(jié)構(gòu)�,將與之通信的外網(wǎng)IP地址做到應(yīng)用程序中,這個(gè)時(shí)候����,我們要求防火墻支持透明模式�。進(jìn)一步的一個(gè)例子,這臺(tái)服務(wù)器處于DMZ(非軍事化)區(qū)域����,同時(shí),單位局域網(wǎng)用戶又有上網(wǎng)需求��,同時(shí)隱藏IP�。這時(shí),內(nèi)網(wǎng)和外網(wǎng)采用路由模式����,而DMZ區(qū)服務(wù)器和外網(wǎng)采用透明模式�。整個(gè)防火墻工作是既有路由����,又有透明的混合工作模式。這本來需要兩個(gè)防火墻完成的工作���,由一臺(tái)防火墻很好地滿足了需求��。
另一方面�,對(duì)于一個(gè)大的網(wǎng)絡(luò)��,防火墻能否通過簡單的配置����,實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的安全需求��。對(duì)于用戶、IP�、服務(wù)都可以定義相應(yīng)的組,簡化安全規(guī)則數(shù)目�。
AAA&日志
隨著網(wǎng)絡(luò)安全的發(fā)展,用戶對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)的不斷深入�����,AAA(認(rèn)證����、授權(quán)、記賬)已經(jīng)不可避免地融入防火墻���,F(xiàn)在用戶對(duì)AAA的要求越來越高,已經(jīng)遠(yuǎn)遠(yuǎn)地超越了簡單的用戶名/口令認(rèn)證的階段�,逐步走向全面、標(biāo)準(zhǔn)的AAA�。從目前校園網(wǎng)和某些科研機(jī)構(gòu)的應(yīng)用來看,防火墻必須在框架設(shè)計(jì)階段就考慮到AAA才能滿足用戶的需求�����,而且必須提供相應(yīng)的工具,使防火墻的AAA系統(tǒng)與用戶原有的認(rèn)證系統(tǒng)平滑過渡�。
日志作為防火墻重要的一環(huán)已經(jīng)是毋庸置疑的了,但是如何有效地使用和管理防火墻日志����,是許多國內(nèi)廠商沒有解決的問題。經(jīng)過這幾年的發(fā)展�����,人們逐漸意識(shí)到產(chǎn)品標(biāo)準(zhǔn)化���、國際化是大勢所趨�。目前����,多數(shù)國內(nèi)防火墻廠商使用Oracle、SQL Server等商業(yè)數(shù)據(jù)庫進(jìn)行日志管理�,出現(xiàn)了兩頭不靠的尷尬局面。一方面對(duì)于中小型用戶����,商業(yè)數(shù)據(jù)庫提高了總體成本和管理難度�����,有牛刀殺雞之嫌�����;另一方面對(duì)于真正的大型企業(yè)用戶�����,一般防火墻廠商提供的日志分析管理軟件�,又達(dá)不到企業(yè)級(jí)應(yīng)用的要求���。目前��,現(xiàn)實(shí)的做法是向第三方工業(yè)標(biāo)準(zhǔn)靠齊���,比如Webtrends的WELF,提供給用戶簡單快捷�、行之有效的解決問題辦法�,并且使大型企業(yè)用戶可以使用專業(yè)的第三方防火墻日志分析軟件。現(xiàn)在�����,國外許多廠商,例如netscreen���、checkpoint都宣布對(duì)這個(gè)格式支持����,國內(nèi)有些廠商也已經(jīng)實(shí)現(xiàn)對(duì)這個(gè)格式的支持�����,如龍馬衛(wèi)士防火墻的日志就是完全采用WELF格式實(shí)現(xiàn)的���。
配置管理的方便性
網(wǎng)絡(luò)的發(fā)展方向是網(wǎng)絡(luò)會(huì)越來越大���。作為防火墻產(chǎn)品,是否支持集中管理�����,管理信息是否是加密傳輸����,是否支持多種管理方式�,例如命令行���、圖形化界面等�����,是擺在防火墻開發(fā)商面前的新課題��。
安全是個(gè)永遠(yuǎn)的話題�����。安全技術(shù)在不斷發(fā)展進(jìn)步��,需要我們提高警惕���,增加防范能力。
作者:網(wǎng)絡(luò)安全技術(shù)專家 管中偉
|