第3个回答 2019-04-06
第一要素:防火墙的基本功能
防火墙系统可以说是网络的第一道防线,因此一个企业在决定使用防火墙保护内部网络的安全时,它首先需要了解一个防火墙系统应具备的基本功能,这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能:
防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许,否则就禁止”;
防火墙本身支持安全策略,而不是添加上去的;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用ftp和telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上;拥有界面友好、易于编程的ip过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源ip地址、协议类型、源和目的tcp/udp端口、tcp包的ack位、出站和入站网络接口等。
如果用户需要nntp(网络消息传输协议)、xwindow、http和gopher等服务,防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能,以减少smtp服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问,应把信息服务器和其他内部服务器分开。
防火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。此外,为了使日志具有可读性,防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证,设计尽量简单,以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。
正像前面提到的那样,internet每时每刻都在发生着变化,新的易攻击点随时可能会产生。当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的可适应性是很重要的。
第二要素:企业的特殊要求
企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常会成为选择防火墙的考虑因素之一,常见的需求如下:
1、网络地址转换功能(nat)
进行地址转换有两个好处:其一是隐藏内部网络真正的ip,这可以使黑客无法直接攻击内部网络,这也是笔者之所以要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部使用保留的ip,这对许多ip不足的企业是有益的。
2、双重dns
当内部网络使用没有注册的ip地址,或是防火墙进行ip转换时,dns也必须经过转换,因为,同样的一个主机在内部的ip与给予外界的ip将会不同,有的防火墙会提供双重dns,有的则必须在不同主机上各安装一个dns。