1993年，中國(guó)第一條64K專線接通了國(guó)際互聯(lián)網(wǎng)，彈指10年間，網(wǎng)絡(luò)時(shí)代給我們的工作、生活帶來(lái)了巨大的變化。這10年，網(wǎng)絡(luò)以幾何級(jí)數(shù)式的膨脹增長(zhǎng)，網(wǎng)絡(luò)傳輸?shù)男畔⒘靠涨霸黾�，傳統(tǒng)數(shù)據(jù)加上語(yǔ)音、視頻、多媒體等大量的信息流，對(duì)于網(wǎng)絡(luò)的帶寬不斷地提出了新的需求。另一方面，網(wǎng)絡(luò)安全越來(lái)越成為一個(gè)不容忽視的課題。據(jù)于2002年調(diào)查顯示，在過(guò)去的5年中，每天都有因受到黑客攻擊而造成嚴(yán)重?fù)p失的事件。安全產(chǎn)品和網(wǎng)絡(luò)攻擊如同矛和盾的較量，每一天都在演繹著網(wǎng)絡(luò)安全新的傳說(shuō)。從1996年底到2002年初，國(guó)內(nèi)安全市場(chǎng)經(jīng)歷了“軍閥混戰(zhàn)”的時(shí)期，安全廠商經(jīng)受了一次大的洗禮。自2002年下半年至今，國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)中，安全廠商優(yōu)勝劣汰，形成了以幾家大專業(yè)廠商為主導(dǎo)的局面�，F(xiàn)在，就網(wǎng)絡(luò)安全產(chǎn)品中的防火墻產(chǎn)品，在新時(shí)期，防火墻選型需要注意的幾個(gè)問(wèn)題作以說(shuō)明。
　　
　　防火墻：一道安全屏障
　　
　　防火墻是一種控制隔離技術(shù)，采用綜合的網(wǎng)絡(luò)技術(shù)設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，用以分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)系統(tǒng)，防止發(fā)生不可預(yù)測(cè)、潛在的破壞性侵入。防火墻設(shè)備像在兩個(gè)網(wǎng)絡(luò)之間設(shè)置了一道關(guān)卡，能根據(jù)用戶的安全策略控制出入網(wǎng)絡(luò)的信息流，防止非法信息流入被保護(hù)的網(wǎng)絡(luò)內(nèi)，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。所以，在選用防火墻的時(shí)候，一定要從性能指標(biāo)、安全性、復(fù)雜環(huán)境適應(yīng)性、安全審計(jì)、配置管理方便性等方面去考慮。
　　
　　性能指標(biāo)要滿足網(wǎng)絡(luò)應(yīng)用和發(fā)展要求
　　
　　網(wǎng)絡(luò)發(fā)展到如今，網(wǎng)絡(luò)的流量呈現(xiàn)了迅速增長(zhǎng)的趨勢(shì)，那么所選擇的防火墻能否滿足網(wǎng)絡(luò)的大數(shù)據(jù)流量要求呢？防火墻的性能指標(biāo)，體現(xiàn)了防火墻能否勝任指定環(huán)境的處理能力需求，是否具備較好的可用性。通常遵從RFC2544、RFC1242和RFC2647標(biāo)準(zhǔn)，主要包括吞吐量、丟包率、延遲、背靠背包、最大并發(fā)連接數(shù)、每秒新建立連接數(shù)六項(xiàng)指標(biāo)。
　　
　　吞吐量是防火墻在各種幀長(zhǎng)的滿負(fù)載（100M或1000M）雙向（Bidirectional Traffic）UDP數(shù)據(jù)包情況下的穩(wěn)定性表現(xiàn)，是其它指標(biāo)的基礎(chǔ)。它反映的是防火墻的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。其中， 64字節(jié)幀長(zhǎng)小包的處理能力，對(duì)于反映防火墻數(shù)據(jù)包的轉(zhuǎn)發(fā)能力尤其重要，現(xiàn)已引起國(guó)內(nèi)外廠商和用戶的關(guān)注。在這方面，有些國(guó)內(nèi)企業(yè)，如東方龍馬的龍馬衛(wèi)士防火墻64字節(jié)幀長(zhǎng)的雙向處理能力超過(guò)了60％。防火墻丟包率這項(xiàng)測(cè)試，是用來(lái)確定防火墻在不同傳輸速率下丟失數(shù)據(jù)包的百分?jǐn)?shù)，目的在于測(cè)試防火墻在超負(fù)載情況下的性能。延遲這項(xiàng)測(cè)試通常是指測(cè)試從測(cè)試數(shù)據(jù)幀的最后一個(gè)比特進(jìn)入被測(cè)設(shè)備端口開始，至測(cè)試數(shù)據(jù)包的第一個(gè)比特從被測(cè)設(shè)備另一端口離開的時(shí)間間隔。背靠背包是指以最小幀間隔發(fā)送最多數(shù)據(jù)包而不引起丟包時(shí)的數(shù)據(jù)包數(shù)量。最后兩項(xiàng)分別測(cè)試防火墻的每秒所能建立起的TCP/HTTP連接數(shù)及防火墻所能保持的最大TCP/HTTP連接數(shù)。了解這些之后，我們會(huì)明白，采用具有優(yōu)異性能的防火墻，是我們保護(hù)投資的一種有效方式。
　　
　　復(fù)雜環(huán)境適應(yīng)性
　　
　　防火墻工作模式常見有三種：路由模式、透明模式和混合模式。所謂混合模式是指將一臺(tái)防火墻當(dāng)作兩臺(tái)來(lái)用，這樣的防火墻存在著路由和透明兩種工作模式。防火墻只支持前兩種工作模式已經(jīng)不能適應(yīng)復(fù)雜網(wǎng)絡(luò)的安全需求，往往這時(shí)候的解決方案就是用兩臺(tái)防火墻來(lái)完成，一臺(tái)工作在路由模式，另一臺(tái)工作在透明模式。但是這樣會(huì)使用戶成倍地增加防火墻的投入費(fèi)用，同時(shí)增加管理成本。
　　
　　在防火墻基本功能和安全性滿足要求的時(shí)候，我們還要考慮對(duì)于復(fù)雜網(wǎng)絡(luò)的適應(yīng)性。國(guó)內(nèi)有相當(dāng)多數(shù)的網(wǎng)絡(luò)沒有考慮安全性的問(wèn)題，網(wǎng)絡(luò)先運(yùn)行，一段時(shí)間之后，才考慮增加安全設(shè)備。所以存在很多這樣的現(xiàn)象：先建網(wǎng)絡(luò)，后增加防火墻。這勢(shì)必給防火墻提出了一個(gè)要求—讓防火墻去適應(yīng)各種各樣的網(wǎng)絡(luò)環(huán)境。舉一個(gè)例子，在用戶已經(jīng)運(yùn)行的網(wǎng)絡(luò)中，對(duì)外開放的服務(wù)器采用C/S結(jié)構(gòu)，將與之通信的外網(wǎng)IP地址做到應(yīng)用程序中，這個(gè)時(shí)候，我們要求防火墻支持透明模式。進(jìn)一步的一個(gè)例子，這臺(tái)服務(wù)器處于DMZ（非軍事化）區(qū)域，同時(shí)，單位局域網(wǎng)用戶又有上網(wǎng)需求，同時(shí)隱藏IP。這時(shí)，內(nèi)網(wǎng)和外網(wǎng)采用路由模式，而DMZ區(qū)服務(wù)器和外網(wǎng)采用透明模式。整個(gè)防火墻工作是既有路由，又有透明的混合工作模式。這本來(lái)需要兩個(gè)防火墻完成的工作，由一臺(tái)防火墻很好地滿足了需求。
　　
　　另一方面，對(duì)于一個(gè)大的網(wǎng)絡(luò)，防火墻能否通過(guò)簡(jiǎn)單的配置，實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的安全需求。對(duì)于用戶、IP、服務(wù)都可以定義相應(yīng)的組，簡(jiǎn)化安全規(guī)則數(shù)目。
　　
　　AAA&日志
　　
　　隨著網(wǎng)絡(luò)安全的發(fā)展，用戶對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)的不斷深入，AAA（認(rèn)證、授權(quán)、記賬）已經(jīng)不可避免地融入防火墻�，F(xiàn)在用戶對(duì)AAA的要求越來(lái)越高，已經(jīng)遠(yuǎn)遠(yuǎn)地超越了簡(jiǎn)單的用戶名/口令認(rèn)證的階段，逐步走向全面、標(biāo)準(zhǔn)的AAA。從目前校園網(wǎng)和某些科研機(jī)構(gòu)的應(yīng)用來(lái)看，防火墻必須在框架設(shè)計(jì)階段就考慮到AAA才能滿足用戶的需求，而且必須提供相應(yīng)的工具，使防火墻的AAA系統(tǒng)與用戶原有的認(rèn)證系統(tǒng)平滑過(guò)渡。
　　
　　日志作為防火墻重要的一環(huán)已經(jīng)是毋庸置疑的了，但是如何有效地使用和管理防火墻日志，是許多國(guó)內(nèi)廠商沒有解決的問(wèn)題。經(jīng)過(guò)這幾年的發(fā)展，人們逐漸意識(shí)到產(chǎn)品標(biāo)準(zhǔn)化、國(guó)際化是大勢(shì)所趨。目前，多數(shù)國(guó)內(nèi)防火墻廠商使用Oracle、SQL Server等商業(yè)數(shù)據(jù)庫(kù)進(jìn)行日志管理，出現(xiàn)了兩頭不靠的尷尬局面。一方面對(duì)于中小型用戶，商業(yè)數(shù)據(jù)庫(kù)提高了總體成本和管理難度，有牛刀殺雞之嫌；另一方面對(duì)于真正的大型企業(yè)用戶，一般防火墻廠商提供的日志分析管理軟件，又達(dá)不到企業(yè)級(jí)應(yīng)用的要求。目前，現(xiàn)實(shí)的做法是向第三方工業(yè)標(biāo)準(zhǔn)靠齊，比如Webtrends的WELF，提供給用戶簡(jiǎn)單快捷、行之有效的解決問(wèn)題辦法，并且使大型企業(yè)用戶可以使用專業(yè)的第三方防火墻日志分析軟件�，F(xiàn)在，國(guó)外許多廠商，例如netscreen、checkpoint都宣布對(duì)這個(gè)格式支持，國(guó)內(nèi)有些廠商也已經(jīng)實(shí)現(xiàn)對(duì)這個(gè)格式的支持，如龍馬衛(wèi)士防火墻的日志就是完全采用WELF格式實(shí)現(xiàn)的。
　　
　　配置管理的方便性
　　
　　網(wǎng)絡(luò)的發(fā)展方向是網(wǎng)絡(luò)會(huì)越來(lái)越大。作為防火墻產(chǎn)品，是否支持集中管理，管理信息是否是加密傳輸，是否支持多種管理方式，例如命令行、圖形化界面等，是擺在防火墻開發(fā)商面前的新課題。
　　
　　安全是個(gè)永遠(yuǎn)的話題。安全技術(shù)在不斷發(fā)展進(jìn)步，需要我們提高警惕，增加防范能力。
　　
　　作者：網(wǎng)絡(luò)安全技術(shù)專家 管中偉