1993年，中國第一條64K專線接通了國際互聯(lián)網(wǎng)，彈指10年間，網(wǎng)絡(luò)時代給我們的工作、生活帶來了巨大的變化。這10年，網(wǎng)絡(luò)以幾何級數(shù)式的膨脹增長，網(wǎng)絡(luò)傳輸?shù)男畔⒘靠涨霸黾樱瑐鹘y(tǒng)數(shù)據(jù)加上語音、視頻、多媒體等大量的信息流，對于網(wǎng)絡(luò)的帶寬不斷地提出了新的需求。另一方面，網(wǎng)絡(luò)安全越來越成為一個不容忽視的課題。據(jù)于2002年調(diào)查顯示，在過去的5年中，每天都有因受到黑客攻擊而造成嚴(yán)重?fù)p失的事件。安全產(chǎn)品和網(wǎng)絡(luò)攻擊如同矛和盾的較量，每一天都在演繹著網(wǎng)絡(luò)安全新的傳說。從1996年底到2002年初，國內(nèi)安全市場經(jīng)歷了“軍閥混戰(zhàn)”的時期，安全廠商經(jīng)受了一次大的洗禮。自2002年下半年至今，國內(nèi)網(wǎng)絡(luò)安全市場中，安全廠商優(yōu)勝劣汰，形成了以幾家大專業(yè)廠商為主導(dǎo)的局面�，F(xiàn)在，就網(wǎng)絡(luò)安全產(chǎn)品中的防火墻產(chǎn)品，在新時期，防火墻選型需要注意的幾個問題作以說明。
　　
　　防火墻：一道安全屏障
　　
　　防火墻是一種控制隔離技術(shù)，采用綜合的網(wǎng)絡(luò)技術(shù)設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，用以分隔被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)系統(tǒng)，防止發(fā)生不可預(yù)測、潛在的破壞性侵入。防火墻設(shè)備像在兩個網(wǎng)絡(luò)之間設(shè)置了一道關(guān)卡，能根據(jù)用戶的安全策略控制出入網(wǎng)絡(luò)的信息流，防止非法信息流入被保護的網(wǎng)絡(luò)內(nèi)，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。所以，在選用防火墻的時候，一定要從性能指標(biāo)、安全性、復(fù)雜環(huán)境適應(yīng)性、安全審計、配置管理方便性等方面去考慮。
　　
　　性能指標(biāo)要滿足網(wǎng)絡(luò)應(yīng)用和發(fā)展要求
　　
　　網(wǎng)絡(luò)發(fā)展到如今，網(wǎng)絡(luò)的流量呈現(xiàn)了迅速增長的趨勢，那么所選擇的防火墻能否滿足網(wǎng)絡(luò)的大數(shù)據(jù)流量要求呢？防火墻的性能指標(biāo)，體現(xiàn)了防火墻能否勝任指定環(huán)境的處理能力需求，是否具備較好的可用性。通常遵從RFC2544、RFC1242和RFC2647標(biāo)準(zhǔn)，主要包括吞吐量、丟包率、延遲、背靠背包、最大并發(fā)連接數(shù)、每秒新建立連接數(shù)六項指標(biāo)。
　　
　　吞吐量是防火墻在各種幀長的滿負(fù)載（100M或1000M）雙向（Bidirectional Traffic）UDP數(shù)據(jù)包情況下的穩(wěn)定性表現(xiàn)，是其它指標(biāo)的基礎(chǔ)。它反映的是防火墻的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。其中， 64字節(jié)幀長小包的處理能力，對于反映防火墻數(shù)據(jù)包的轉(zhuǎn)發(fā)能力尤其重要，現(xiàn)已引起國內(nèi)外廠商和用戶的關(guān)注。在這方面，有些國內(nèi)企業(yè)，如東方龍馬的龍馬衛(wèi)士防火墻64字節(jié)幀長的雙向處理能力超過了60％。防火墻丟包率這項測試，是用來確定防火墻在不同傳輸速率下丟失數(shù)據(jù)包的百分?jǐn)?shù)，目的在于測試防火墻在超負(fù)載情況下的性能。延遲這項測試通常是指測試從測試數(shù)據(jù)幀的最后一個比特進入被測設(shè)備端口開始，至測試數(shù)據(jù)包的第一個比特從被測設(shè)備另一端口離開的時間間隔。背靠背包是指以最小幀間隔發(fā)送最多數(shù)據(jù)包而不引起丟包時的數(shù)據(jù)包數(shù)量。最后兩項分別測試防火墻的每秒所能建立起的TCP/HTTP連接數(shù)及防火墻所能保持的最大TCP/HTTP連接數(shù)。了解這些之后，我們會明白，采用具有優(yōu)異性能的防火墻，是我們保護投資的一種有效方式。
　　
　　復(fù)雜環(huán)境適應(yīng)性
　　
　　防火墻工作模式常見有三種：路由模式、透明模式和混合模式。所謂混合模式是指將一臺防火墻當(dāng)作兩臺來用，這樣的防火墻存在著路由和透明兩種工作模式。防火墻只支持前兩種工作模式已經(jīng)不能適應(yīng)復(fù)雜網(wǎng)絡(luò)的安全需求，往往這時候的解決方案就是用兩臺防火墻來完成，一臺工作在路由模式，另一臺工作在透明模式。但是這樣會使用戶成倍地增加防火墻的投入費用，同時增加管理成本。
　　
　　在防火墻基本功能和安全性滿足要求的時候，我們還要考慮對于復(fù)雜網(wǎng)絡(luò)的適應(yīng)性。國內(nèi)有相當(dāng)多數(shù)的網(wǎng)絡(luò)沒有考慮安全性的問題，網(wǎng)絡(luò)先運行，一段時間之后，才考慮增加安全設(shè)備。所以存在很多這樣的現(xiàn)象：先建網(wǎng)絡(luò)，后增加防火墻。這勢必給防火墻提出了一個要求—讓防火墻去適應(yīng)各種各樣的網(wǎng)絡(luò)環(huán)境。舉一個例子，在用戶已經(jīng)運行的網(wǎng)絡(luò)中，對外開放的服務(wù)器采用C/S結(jié)構(gòu)，將與之通信的外網(wǎng)IP地址做到應(yīng)用程序中，這個時候，我們要求防火墻支持透明模式。進一步的一個例子，這臺服務(wù)器處于DMZ（非軍事化）區(qū)域，同時，單位局域網(wǎng)用戶又有上網(wǎng)需求，同時隱藏IP。這時，內(nèi)網(wǎng)和外網(wǎng)采用路由模式，而DMZ區(qū)服務(wù)器和外網(wǎng)采用透明模式。整個防火墻工作是既有路由，又有透明的混合工作模式。這本來需要兩個防火墻完成的工作，由一臺防火墻很好地滿足了需求。
　　
　　另一方面，對于一個大的網(wǎng)絡(luò)，防火墻能否通過簡單的配置，實現(xiàn)復(fù)雜網(wǎng)絡(luò)的安全需求。對于用戶、IP、服務(wù)都可以定義相應(yīng)的組，簡化安全規(guī)則數(shù)目。
　　
　　AAA&日志
　　
　　隨著網(wǎng)絡(luò)安全的發(fā)展，用戶對網(wǎng)絡(luò)安全認(rèn)識的不斷深入，AAA（認(rèn)證、授權(quán)、記賬）已經(jīng)不可避免地融入防火墻�，F(xiàn)在用戶對AAA的要求越來越高，已經(jīng)遠(yuǎn)遠(yuǎn)地超越了簡單的用戶名/口令認(rèn)證的階段，逐步走向全面、標(biāo)準(zhǔn)的AAA。從目前校園網(wǎng)和某些科研機構(gòu)的應(yīng)用來看，防火墻必須在框架設(shè)計階段就考慮到AAA才能滿足用戶的需求，而且必須提供相應(yīng)的工具，使防火墻的AAA系統(tǒng)與用戶原有的認(rèn)證系統(tǒng)平滑過渡。
　　
　　日志作為防火墻重要的一環(huán)已經(jīng)是毋庸置疑的了，但是如何有效地使用和管理防火墻日志，是許多國內(nèi)廠商沒有解決的問題。經(jīng)過這幾年的發(fā)展，人們逐漸意識到產(chǎn)品標(biāo)準(zhǔn)化、國際化是大勢所趨。目前，多數(shù)國內(nèi)防火墻廠商使用Oracle、SQL Server等商業(yè)數(shù)據(jù)庫進行日志管理，出現(xiàn)了兩頭不靠的尷尬局面。一方面對于中小型用戶，商業(yè)數(shù)據(jù)庫提高了總體成本和管理難度，有牛刀殺雞之嫌；另一方面對于真正的大型企業(yè)用戶，一般防火墻廠商提供的日志分析管理軟件，又達(dá)不到企業(yè)級應(yīng)用的要求。目前，現(xiàn)實的做法是向第三方工業(yè)標(biāo)準(zhǔn)靠齊，比如Webtrends的WELF，提供給用戶簡單快捷、行之有效的解決問題辦法，并且使大型企業(yè)用戶可以使用專業(yè)的第三方防火墻日志分析軟件�，F(xiàn)在，國外許多廠商，例如netscreen、checkpoint都宣布對這個格式支持，國內(nèi)有些廠商也已經(jīng)實現(xiàn)對這個格式的支持，如龍馬衛(wèi)士防火墻的日志就是完全采用WELF格式實現(xiàn)的。
　　
　　配置管理的方便性
　　
　　網(wǎng)絡(luò)的發(fā)展方向是網(wǎng)絡(luò)會越來越大。作為防火墻產(chǎn)品，是否支持集中管理，管理信息是否是加密傳輸，是否支持多種管理方式，例如命令行、圖形化界面等，是擺在防火墻開發(fā)商面前的新課題。
　　
　　安全是個永遠(yuǎn)的話題。安全技術(shù)在不斷發(fā)展進步，需要我們提高警惕，增加防范能力。
　　
　　作者：網(wǎng)絡(luò)安全技術(shù)專家 管中偉