天瑞科技 - 深圳电脑维修，深圳电脑维护，深圳电脑修理， 上门维修电脑，深圳电脑上门维修

天瑞电脑公司　　正在为您转接...

防火墙作为网络安全体系的 何通信行为进行安全处理，如控 网络系统中的敏感位置，自身还 重要性不言而喻。

基础和核心控制设备，它贯穿于受控 制、审计、报警、反应等，同时也承 要面对各种安全威胁，因此，选用一

网络通信主干线，对通过受控干线的任 担着繁重的通信任务。由于其自身处于 个安全、稳定和可靠的防火墙产品，其

■ 注意一：防火墙自身是否安全

防火墙自身的安全性主 自身具有完整信任关系的操作系 的，同时防火墙自身的安全实现 ：

要体现在自身设计和管理两个方面。 统才可以谈论系统的安全性。而应用 也直接影响整体系统的安全性。防火

设计的安全性关键在于操作系统，只有 系统的安全是以操作系统的安全为基础 墙安全指标最终可归结为以下两个问题

1. 防火墙是否基于安全（甚至是专用）的操作系统；

2. 防火墙是否采用专用的硬件平台。

只有基于安全（甚至是 全。

专用）的操作系统并采用专用硬件平

台的防火墙才可能保证防火墙自身的安

■ 注意二：系统是否稳定

就一个成熟的产品来说, 系统的稳定性是 未最后定型或经过严格的大量测试就被推向了市场 员愿意把自己的网络作为防火墙的测试平台。防火 以从以下几个渠道获得：

最基本的要求。目前，由于种种原因，国内有些防火墙尚 ，这样一来其稳定性就可想而知了。相信没有一个网管人 墙的稳定性情况从厂家的宣传材料中是看不出来的, 但可

1. 国家权威的测评认证机构, 如公安部 心。

计算机安全产品检测中心和中国国家信息安全测评认证中

2. 与其它产品相比，是否获得更多的国家权威机构的认证、推荐和入网证明（书）。

3. 实际调查，这是最 , 特别是用户们对于该防火墙的 如政府机关、国家部委、证券或

有效的办法, 考察这种防火墙是否已 评价。如有可能, 最好咨询一下那些 银行系统、军队用户等。

经有了使用单位, 其用户量也至关重要 对稳定性要求较高的重要单位的用户,

4. 自己试用，先在自己的网络上进行一 机现象的话，这种产品就可以完全不用考虑了。

段时间的试用（一个月左右），如果在试用期间时常有宕

5. 厂商开发研制的历 的开发经历恐怕难保产品的稳定

史，这也是一个重要指标，通过以往 性。

的经验，一般来说，如果没有两年以上

6. 厂商的实力，这一 多少等等。相信一家注册资金几

点也应该着重考虑，如资金、技术开 百万。人员不过二三十人的公司是不

发人员、市场销售人员和技术支持人员 可能保证产品的稳定性的。

■ 注意三：是否高效

高性能是防火墙的一个 出的安全代价。如果由于使用防 是无法接受的。一般来说，防火 少个连接也可以计算出一个指标

重要指标，它直接体现了防火墙的可 火墙而带来了网络性能较大幅度地下 墙加载上百条规则，其性能下降不应 ，虽然这并不能完全定义或控制。

用性，也体现了用户使用防火墙所需付 降的话，就意味着安全代价过高，用户 超过5％（指包过滤防火墙）。支持多

■ 注意四：是否可靠

可靠性对防火墙类访问控制设备来说尤为 高可靠性的措施一般是提高本身部件的强健性、增 设计冗余度，如使用工业标准、电源热备份、系统

重要，其直接影响受控网络的可用性。从系统设计上，提 大设计阈值和增加冗余部件，这要求有较高的生产标准和 热备份等。

■ 注意五：功能是否灵活

对通信行为的有效控制，要求防火墙设备 控制注意。控制注意的有效性、多样性、级别目标 高效和质量。例如对普通用户，只要对 IP 地址进 必须允许高级别子网对低级别子网进行单向访问； 份进行过滤。

有一系列不同级别，满足不同用户的各类安全控制需求的 的清晰性、制定的难易性和经济性等，体现着控制注意的 行过滤即可；如果是内部有不同安全级别的子网，有时则 如果还有移动用户如出差人员的话，还要求能根据用户身

■ 注意六：配置是否方便

在网络入口和出口处安 设备的配置, 还得面对由于运行 过长期运行后，内部情况极端复 有！那就是支持透明通信的防火 任何改动，所做的工作只相当于 恢复原状即可。

装新的网络设备是每个网管员的恶梦 不稳定而遭至的铺天盖地的责难。其 杂，做任何改动都需要一段整合期。 墙，它依旧接在网络的入口和出口处 接一个网桥或Hub。需要时, 两端一

, 因为这意味着必须修改几乎全部现有 实有时并不是设备有问题, 而是网络经 防火墙有没有比较简洁的安装方法呢？ , 但是在安装时不需要对原网络配置做 连线就可以工作； 不需要时，将网线

目前市场上支持透明方 式或网关方式，只有极少数防火 时显然具有更大的方便性。

式的防火墙较多, 在选购时需要仔细 墙可以工作于混合模式, 即可以同时

鉴别。大多数防火墙只能工作于透明方 作为网关和网桥，后一种防火墙在使用

配置方便性的另一个方面是管理的方便性 （当然这也是很重要的），90%的Cisco路由器就是 否支持串口终端管理。

。网络设备和桌面设备不同， 界面的美观不代表方便性 通过命令行进行管理的。在选择防火墙时也应该考察它是

■ 注意七：管理是否简便

网络技术发展很快，各 火墙类访问控制设备，除安全控 墙的管理在充分考虑安全需要的 理工具和管理权限。

种安全事件不断出现，这就要求安全 制注意的不断调整外，业务系统访问 前提下，必须提供方便灵活的管理方

管理员经常调整网络安全注意。对于防 控制的调整也很频繁，这些都要求防火 式和方法，这通常体现为管理途径、管

防火墙设备首先是一个 下，安全管理员大多由网管人员 录管理及管理命令的在线帮助等 和不太熟悉的管理人员来说是一 火墙里输入规则，那真是一件痛 理方便性的降低。

网络通信设备，管理途径的提供要兼 兼任，因此，管理方式还要适合网管 。管理工具主要为GUI类管理器，用 种有效的管理方式（如果有上百条规 苦的事）。权限管理是管理本身的基

顾通常网络设备的管理方式。现实情况 人员管理的操作习惯，如远程telnet登 它管理很直观，这对于设备的初期管理 则的管理量，网管人员一条一条地往防 础，但是严格的权限认证可能会带来管

综上所述，是否具有满足以上要求的综合 。

管理方式是网管人员在选择防火墙时需要重点考察的内容

■ 注意八：是否可以抵抗拒绝服务攻击

在当前的网络攻击中, 攻击。拒绝服务攻击可以分为两

拒绝服务攻击是使用频率最高的方法 类。

, Yahoo！等网站遭受的就是拒绝服务

一类是由于操作系统或应用软件本身设计 有通过打补丁的办法来解决；另一类是由于TCP/IP 大,如Synflooding等。

或编程上的缺陷而造成的，由此带来的攻击种类很多, 只 协议本身的缺陷造成的, 只有有数的几种，但危害性非常

要求防火墙解决第一类 此在判断到底是不是攻击时常常 的误报率。而且这类攻击检测产 做的是对付第二类攻击, 当然要 之一，目前有很多防火墙号称可 危害而不是抵御这种攻击。因此

攻击显然是强人所难。系统缺陷和病 出现误报现象，目前国内外的入侵检 品不能装在防火墙上, 否则防火墙可 彻底解决这类攻击也是很难的。抵抗 以抵御拒绝服务攻击，实际上严格地 在采购防火墙时，网管人员应该详细

毒不同, 没有病毒码可以作为依据, 因 测产品对这类攻击的检测至少有 50% 能把合法的报文认为是攻击。防火墙能 拒绝服务攻击应该是防火墙的基本功能 说，它应该是可以降低拒绝服务攻击的 考察这一功能的真实性和有效性。

■ 注意九：是否可以针对用户身份进行过滤

防火墙过滤报文时, 最 , 只要打听到内部网里谁可以穿 针对用户身份而不是IP地址进行 , 保证用户在登录防火墙时, 口 称的一致。

基础的是针对 IP 地址进行过滤。大 过防火墙，那么将自己的 IP 地址改 过滤的办法。目前防火墙上常用的是 令不会在网络上泄露, 这样防火墙就

家都知道，IP 地址是非常容易修改的 成和他的一样就可以了。这就需要一个 一次性口令验证机制, 通过特殊的算法 可以确认登录上来的用户确实和他所声

这样做的好处有两个: 一，用户可以随便 进行适当地过滤；二，用户出差时, 可以通过登录 上泄露口令。这种方法在没有加密手段或加密成本

找一台机器, 登录防火墙, 防火墙也可以判断他的权限, 公司的防火墙访问公司内部的服务器, 不用担心在电话网 较高时还是比较实用的。

■ 注意十：是否具有可扩展、可升级性

用户的网络不是一成不 ，公司内部可能具有不同安全级 三个网络接口，分别接外部网、 ，因为有些防火墙设计成只支持

变的，现在可能主要是在公司内部网 别的子网，这就需要在这些子网之间 内部网和SSN。因此，在购买防火墙 三个接口的，不具有扩展性。

和外部网之间做过滤，随着业务的发展 做过滤。目前市面上的防火墙一般标配 时必须问清楚，是否可以增加网络接口

和防病毒产品类似，随着网络技术的发展 此时支持软件升级就很重要了。如果不支持软件升 的更换，而在更换期间您的网络是不设防的，同时

和黑客攻击手段的变化，防火墙也必须不断地进行升级， 级的话，为了抵御新的攻击手段，用户就必须进行硬件上 您也要为此花费更多的钱。

以上就是我们认为您在选购防火墙时需要 的选购就不会成为难题了。