为保障网络安全加一道防火墙

来源：中国IT实验室   时间:2009-12-18  作者：秩名  点击：次  责任编辑：Flyfox
TAG:   网络安全 防火墙 保障   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

1993年，中国第一条64K专线接通了国际互联网，弹指10年间，网络时代给我们的工作、生活带来了巨大的变化。这10年，网络以几何级数式的膨胀增长，网络传输的信息量空前增加，传统数据加上语音、视频、多媒体等大量的信息流，对于网络的带宽不断地提出了新的需求。另一方面，网络安全越来越成为一个不容忽视的课题。据IDC于2002年调查显示，在过去的5年中，每天都有因受到黑客攻击而造成严重损失的事件。安全产品和网络攻击如同矛和盾的较量，每一天都在演绎着网络安全新的传说。从1996年底到2002年初，国内安全市场经历了“军阀混战”的时期，安全厂商经受了一次大的洗礼。自 2002年下半年至今，国内网络安全市场中，安全厂商优胜劣汰，形成了以几家大专业厂商为主导的局面。现在，就网络安全产品中的防火墙产品，在新时期，防火墙选型需要注意的几个问题作以说明。

防火墙：一道安全屏障

防火墙是一种控制隔离技术，采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障，用以分隔被保护网络与外部网络系统，防止发生不可预测、潜在的破坏性侵入。防火墙设备像在两个网络之间设置了一道关卡，能根据用户的安全策略控制出入网络的信息流，防止非法信息流入被保护的网络内，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。所以，在选用防火墙的时候，一定要从性能指标、安全性、复杂环境适应性、安全审计、配置管理方便性等方面去考虑。

性能指标要满足网络应用和发展要求

网络发展到如今，网络的流量呈现了迅速增长的趋势，那么所选择的防火墙能否满足网络的大数据流量要求呢?防火墙的性能指标，体现了防火墙能否胜任指定环境的处理能力需求，是否具备较好的可用性。通常遵从RFC2544、RFC1242和RFC2647标准，主要包括吞吐量、丢包率、延迟、背靠背包、最大并发连接数、每秒新建立连接数六项指标。

吞吐量是防火墙在各种帧长的满负载(100M或1000M)双向(Bidirectional Traffic)UDP数据包情况下的稳定性表现，是其它指标的基础。它反映的是防火墙的数据包转发能力。其中， 64字节帧长小包的处理能力，对于反映防火墙数据包的转发能力尤其重要，现已引起国内外厂商和用户的关注。在这方面，有些国内企业，如东方龙马的龙马卫士防火墙64字节帧长的双向处理能力超过了60%。防火墙丢包率这项测试，是用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。延迟这项测试通常是指测试从测试数据帧的最后一个比特进入被测设备端口开始，至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。背靠背包是指以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。最后两项分别测试防火墙的每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数。了解这些之后，我们会明白，采用具有优异性能的防火墙，是我们保护投资的一种有效方式。

复杂环境适应性

防火墙工作模式常见有三种：路由模式、透明模式和混合模式。所谓混合模式是指将一台防火墙当作两台来用，这样的防火墙存在着路由和透明两种工作模式。防火墙只支持前两种工作模式已经不能适应复杂网络的安全需求，往往这时候的解决方案就是用两台防火墙来完成，一台工作在路由模式，另一台工作在透明模式。但是这样会使用户成倍地增加防火墙的投入费用，同时增加管理成本。

在防火墙基本功能和安全性满足要求的时候，我们还要考虑对于复杂网络的适应性。国内有相当多数的网络没有考虑安全性的问题，网络先运行，一段时间之后，才考虑增加安全设备。所以存在很多这样的现象：先建网络，后增加防火墙。这势必给防火墙提出了一个要求—让防火墙去适应各种各样的网络环境。举一个例子，在用户已经运行的网络中，对外开放的服务器采用C/S结构，将与之通信的外网IP地址做到应用程序中，这个时候，我们要求防火墙支持透明模式。进一步的一个例子，这台服务器处于DMZ(非军事化)区域，同时，单位局域网用户又有上网需求，同时隐藏IP。这时，内网和外网采用路由模式，而DMZ区服务器和外网采用透明模式。整个防火墙工作是既有路由，又有透明的混合工作模式。这本来需要两个防火墙完成的工作，由一台防火墙很好地满足了需求。

顶一下

(0)

0%

踩一下

(0)

0%

服务器安全资讯网(Fuancn.CN)登载此文仅为传递更多信息之目的，并不意味着赞同其观点或证实其描述。

本文引用地址：双击复制发送给您的朋友！

上一篇：防火墙对网络安全的防护作用 下一篇：解析如何评估并部署Web应用防火墙