企業(yè)防火墻該如何選擇

在IT安全領(lǐng)域，防火墻是一個(gè)重要的角色，通常被部署在企業(yè)網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)中間，來(lái)保護(hù)企業(yè)網(wǎng)中的計(jì)算機(jī)、應(yīng)用程序和其它資源免遭外部攻擊。然而由于很多人對(duì)防火墻接觸的很少，加上防火墻種類(lèi)繁多，常常讓一些新手朋友在選擇購(gòu)買(mǎi)防火墻的時(shí)候感到困惑，本文筆者將和大家一起簡(jiǎn)單了解一下在購(gòu)買(mǎi)防火墻需要明確的一些概念，以及不同類(lèi)型防火墻的主要優(yōu)點(diǎn)和缺點(diǎn)。

一、防火墻概念及選購(gòu)要素

盡管防火墻有很多種分類(lèi)，我們還是可以給它下一個(gè)廣泛的定義：一系列相關(guān)的安全程序被安裝在一個(gè)網(wǎng)絡(luò)入口服務(wù)器(或?qū)Ｓ迷O(shè)備)上，兩者共同筑起一道安全“墻”，共同保護(hù)內(nèi)網(wǎng)資源免遭外網(wǎng)人員攻擊。

盡管所有防火墻都運(yùn)行軟件，防火墻市場(chǎng)本身還是被人們劃分為兩大陣營(yíng)：硬件防火墻和軟件防火墻。硬件防火墻是專(zhuān)門(mén)的安全設(shè)備，上面預(yù)裝著安全軟件，其操作系統(tǒng)一般是專(zhuān)用操作系統(tǒng)。另一方面，軟件防火墻通�？梢员话惭b在任何可用的服務(wù)器上，服務(wù)器的操作系統(tǒng)一般是通用的網(wǎng)絡(luò)操作系統(tǒng)，諸如Windows或Linux等。

企業(yè)在選擇防火墻產(chǎn)品的時(shí)候，沒(méi)有一套完全正確的規(guī)則可參考，因?yàn)槊總�(gè)企業(yè)的實(shí)際網(wǎng)絡(luò)環(huán)境不一樣，而且每個(gè)企業(yè)對(duì)防火墻功能要求也不同，因此企業(yè)通常要立足于需要和自己公司的實(shí)際情況來(lái)選擇合適的防火墻。不過(guò)在選購(gòu)防火墻的時(shí)候，還是有一些要考慮的共同問(wèn)題，如以下問(wèn)題。

·防火墻的體系架構(gòu)(硬件還是軟件);

·防火墻要求的并發(fā)會(huì)話(huà)(session)數(shù)量是多少，并發(fā)會(huì)話(huà)數(shù)是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)會(huì)話(huà)連接的最大數(shù)目，它反映防火墻對(duì)多個(gè)連接的訪(fǎng)問(wèn)控制能力和連接狀態(tài)跟蹤能力。這個(gè)參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點(diǎn)數(shù);

·外部訪(fǎng)問(wèn)的類(lèi)型和范圍要求;

·需要的VPN(虛擬專(zhuān)用網(wǎng))協(xié)議的數(shù)量和類(lèi)型;要求保護(hù)的并發(fā)VPN的數(shù)量; ·喜歡的管理用戶(hù)界面(命令行、圖形或基于網(wǎng)頁(yè))，以及是否需要高可用性功能。

防火墻的價(jià)格相差很大，用戶(hù)保護(hù)家庭或小企業(yè)網(wǎng)絡(luò)的簡(jiǎn)單防火墻價(jià)格比較低，而用于專(zhuān)門(mén)保護(hù)企業(yè)資源的行業(yè)級(jí)別的硬件防火墻價(jià)格則非常高。

沒(méi)有兩個(gè)企業(yè)的網(wǎng)絡(luò)是完全相同的，因此廠(chǎng)商提供了許多不同類(lèi)型的防火墻實(shí)現(xiàn)(包括基于硬件和軟件的)，來(lái)滿(mǎn)足特定客戶(hù)需要。最基本的實(shí)現(xiàn)可以被劃分為包過(guò)濾、電路層和應(yīng)用層三類(lèi)。

二、包過(guò)濾防火墻

單純的包過(guò)濾防火墻除了過(guò)濾數(shù)據(jù)包之外什么操作也不做。包過(guò)濾防火墻根據(jù)預(yù)先定義好的規(guī)則來(lái)決定接受或拒絕IP數(shù)據(jù)包。通過(guò)包過(guò)濾，該防火墻仔細(xì)的檢查每一個(gè)數(shù)據(jù)包的協(xié)議和地址信息;數(shù)據(jù)包的內(nèi)容不檢查。

包過(guò)濾防火墻檢查每一個(gè)傳入包，查看包中可用的基本信息(源地址和目的地址、端口號(hào)、協(xié)議等)。然后，將這些信息與設(shè)立的規(guī)則相比較。舉個(gè)例子來(lái)說(shuō)，如果你設(shè)定了規(guī)則阻擋外網(wǎng)用戶(hù)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)或設(shè)備使用telnet，而包的目的端口是23的話(huà)，那么該包就會(huì)被丟棄。

圖1、包過(guò)濾防火墻

多個(gè)復(fù)雜規(guī)則的組合也是可行的。如果允許Web連接，但只針對(duì)特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過(guò)。 主要優(yōu)勢(shì)：

包過(guò)濾防火墻相對(duì)比較簡(jiǎn)單，成本較低，部署簡(jiǎn)單快速。

現(xiàn)在單純的硬件包過(guò)濾防火墻已經(jīng)比較少，不過(guò)多數(shù)防火墻中都具有包過(guò)濾功能。而一般家用和小企業(yè)用的軟件防火墻多數(shù)屬于此類(lèi)防火墻，Windows早期內(nèi)置的防火墻就屬于包過(guò)濾防火墻。另外，對(duì)于使用Linux操作系統(tǒng)的朋友來(lái)說(shuō)，也可以配置其自帶防火墻實(shí)現(xiàn)包過(guò)濾功能。

三、鏈路級(jí)防火墻

這類(lèi)防火墻不是簡(jiǎn)單的接受或拒絕數(shù)據(jù)包，它還根據(jù)一系列預(yù)定義規(guī)則來(lái)決定一個(gè)連接是否合法。如果一切通過(guò)驗(yàn)證，防火墻會(huì)打開(kāi)一個(gè)會(huì)話(huà)，并允許指定源地址的數(shù)據(jù)通過(guò)防火墻進(jìn)入網(wǎng)絡(luò)內(nèi)部。這個(gè)通信只被允許在限定時(shí)間內(nèi)進(jìn)行。

圖2、鏈路級(jí)防火墻

另外，這個(gè)防火墻還可以根據(jù)以下對(duì)象來(lái)執(zhí)行連接驗(yàn)證，例如源IP地址或源端口，目的IP地址或目的端口，使用的協(xié)議，用戶(hù)ID，密碼和時(shí)間等等，多數(shù)情況下要根據(jù)幾種條件的組合來(lái)進(jìn)行驗(yàn)證。我們可以看出，包級(jí)別的過(guò)濾在這種防火墻中也可能發(fā)生。

主要優(yōu)點(diǎn)：

·鏈路級(jí)防火墻通常比應(yīng)用層防火墻更快，因?yàn)樗鼈儓?zhí)行更少的操作;

·通過(guò)禁用特定互聯(lián)網(wǎng)源地址與內(nèi)部計(jì)算機(jī)的連接，鏈路級(jí)防火墻可以幫助保護(hù)整個(gè)網(wǎng)絡(luò);

·通過(guò)與網(wǎng)絡(luò)地址解析聯(lián)合使用，你可以使用鏈路級(jí)防火墻來(lái)阻止外部用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)IP地址。

主要缺點(diǎn)：

·運(yùn)行在傳輸層，因此必須要對(duì)傳輸函數(shù)編程進(jìn)行比較大的修改。這可能影響到網(wǎng)絡(luò)的性能和運(yùn)行。

《企業(yè)防火墻該如何選擇》全文內(nèi)容當(dāng)前網(wǎng)頁(yè)未完全顯示，剩余內(nèi)容請(qǐng)?jiān)L問(wèn)下一頁(yè)查看。

·鏈路級(jí)防火墻需要安裝人員和維護(hù)人員具有一定的專(zhuān)業(yè)知識(shí)。

四、應(yīng)用級(jí)防火墻

在這種防火墻實(shí)現(xiàn)方式中，防火墻的角色是一個(gè)應(yīng)用程序代理，與遠(yuǎn)端系統(tǒng)實(shí)現(xiàn)所有數(shù)據(jù)交換。這種防火墻背后的設(shè)計(jì)思想是讓所有服務(wù)器藏在防火墻后面，對(duì)遠(yuǎn)端系統(tǒng)不可見(jiàn)。

一個(gè)應(yīng)用層防火墻可以根據(jù)特定規(guī)則來(lái)接受或拒絕通信。舉個(gè)例子來(lái)說(shuō)，這種防火墻可以允許某些命令被傳送到一個(gè)服務(wù)器上，而拒絕其它命令。這個(gè)技術(shù)還可以被用來(lái)限制訪(fǎng)問(wèn)特定的文件類(lèi)型，同樣也可以為授權(quán)和未授權(quán)用戶(hù)提供不同級(jí)別的訪(fǎng)問(wèn)級(jí)別。

圖3、應(yīng)用級(jí)防火墻

對(duì)于那些喜歡對(duì)網(wǎng)絡(luò)流量進(jìn)行詳細(xì)監(jiān)控和記錄日志的用戶(hù)來(lái)說(shuō)，可能會(huì)比較喜歡應(yīng)用層防火墻，因?yàn)槭褂脩?yīng)用防火墻實(shí)現(xiàn)這些功能非常簡(jiǎn)單，而且不會(huì)進(jìn)一步影響性能。IT管理員可以設(shè)定一個(gè)應(yīng)用層防火墻來(lái)實(shí)現(xiàn)在預(yù)定義事件發(fā)生的時(shí)候觸發(fā)報(bào)警器和發(fā)出提示。應(yīng)用程序網(wǎng)關(guān)一般被部署在一臺(tái)單獨(dú)的聯(lián)網(wǎng)計(jì)算機(jī)上，人們通常稱(chēng)之為代理服務(wù)器。

除了上述三種類(lèi)型的防火墻外，還有一種狀態(tài)檢查多級(jí)防火墻，這類(lèi)防火墻通常由廠(chǎng)商作為“最佳品牌”解決方案來(lái)提供，目的是將前面幾種防火墻的優(yōu)點(diǎn)組合起來(lái)。狀態(tài)防火墻可以執(zhí)行網(wǎng)絡(luò)包過(guò)濾，同時(shí)還可以識(shí)別和處理應(yīng)用層的數(shù)據(jù)。這類(lèi)防火墻通�？梢蕴峁┏瑥�(qiáng)網(wǎng)絡(luò)保護(hù)，但是價(jià)格可能比較昂貴。

另外值得注意的是，多數(shù)防火墻廠(chǎng)商提供了一系列的輔助功能，來(lái)提供那些基本防火墻服務(wù)之外的功能。此類(lèi)的功能包括反病毒保護(hù)，內(nèi)容過(guò)濾，入侵防護(hù)和網(wǎng)絡(luò)行為和使用報(bào)表。隨著網(wǎng)絡(luò)安全的迅速發(fā)展，對(duì)于企業(yè)來(lái)說(shuō)，購(gòu)買(mǎi)一個(gè)可以輕松升級(jí)到更高性能和更多新功能的產(chǎn)品，這是一個(gè)不錯(cuò)的觀(guān)點(diǎn)。

企業(yè)防火墻該如何選擇 [篇2]

在it安全領(lǐng)域，防火墻是一個(gè)重要的角色，通常被部署在企業(yè)網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)中間，來(lái)保護(hù)企業(yè)網(wǎng)中的計(jì)算機(jī)、應(yīng)用程序和其它資源免遭外部攻擊。然而由于很多人對(duì)防火墻接觸的很少，加上防火墻種類(lèi)繁多，常常讓一些新手朋友在選擇購(gòu)買(mǎi)防火墻的時(shí)候感到困惑，本文筆者將和大家一起簡(jiǎn)單了解一下在購(gòu)買(mǎi)防火墻需要明確的一些概念，以及不同類(lèi)型防火墻的主要優(yōu)點(diǎn)和缺點(diǎn)。 

一、防火墻概念及選購(gòu)要素 

盡管防火墻有很多種分類(lèi)，我們還是可以給它下一個(gè)廣泛的定義：一系列相關(guān)的安全程序被安裝在一個(gè)網(wǎng)絡(luò)入口服務(wù)器(或?qū)Ｓ迷O(shè)備)上，兩者共同筑起一道安全“墻”，共同保護(hù)內(nèi)網(wǎng)資源免遭外網(wǎng)人員攻擊。 

盡管所有防火墻都運(yùn)行軟件，防火墻市場(chǎng)本身還是被人們劃分為兩大陣營(yíng)：硬件防火墻和軟件防火墻。硬件防火墻是專(zhuān)門(mén)的安全設(shè)備，上面預(yù)裝著安全軟件，其操作系統(tǒng)一般是專(zhuān)用操作系統(tǒng)。另一方面，軟件防火墻通�？梢员话惭b在任何可用的服務(wù)器上，服務(wù)器的操作系統(tǒng)一般是通用的網(wǎng)絡(luò)操作系統(tǒng)，諸如windows或linux等。 

企業(yè)在選擇防火墻產(chǎn)品的時(shí)候，沒(méi)有一套完全正確的規(guī)則可參考，因?yàn)槊總�(gè)企業(yè)的實(shí)際網(wǎng)絡(luò)環(huán)境不一樣，而且每個(gè)企業(yè)對(duì)防火墻功能要求也不同，因此企業(yè)通常要立足于需要和自己公司的實(shí)際情況來(lái)選擇合適的防火墻。不過(guò)在選購(gòu)防火墻的時(shí)候，還是有一些要考慮的共同問(wèn)題，如以下問(wèn)題。 

·防火墻的體系架構(gòu)(硬件還是軟件); 

·防火墻要求的并發(fā)會(huì)話(huà)(session)數(shù)量是多少，并發(fā)會(huì)話(huà)數(shù)是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)會(huì)話(huà)連接的最大數(shù)目，它反映防火墻對(duì)多個(gè)連接的訪(fǎng)問(wèn)控制能力和連接狀態(tài)跟蹤能力。這個(gè)參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點(diǎn)數(shù); 

·外部訪(fǎng)問(wèn)的類(lèi)型和范圍要求; 

·需要的vpn(虛擬專(zhuān)用網(wǎng))協(xié)議的數(shù)量和類(lèi)型;要求保護(hù)的并發(fā)vpn的數(shù)量; 

·喜歡的管理用戶(hù)界面(命令行、圖形或基于網(wǎng)頁(yè))，以及是否需要高可用性功能。 

防火墻的價(jià)格相差很大，用戶(hù)保護(hù)家庭或小企業(yè)網(wǎng)絡(luò)的簡(jiǎn)單防火墻價(jià)格比較低，而用于專(zhuān)門(mén)保護(hù)企業(yè)資源的行業(yè)級(jí)別的硬件防火墻價(jià)格則非常高。 

沒(méi)有兩個(gè)企業(yè)的網(wǎng)絡(luò)是完全相同的，因此廠(chǎng)商提供了許多不同類(lèi)型的防火墻實(shí)現(xiàn)(包括基于硬件和軟件的)，來(lái)滿(mǎn)足特定客戶(hù)需要。最基本的實(shí)現(xiàn)可以被劃分為包過(guò)濾、電路層和應(yīng)用層三類(lèi)。 

二、包過(guò)濾防火墻 

單純的包過(guò)濾防火墻除了過(guò)濾數(shù)據(jù)包之外什么操作也不做。包過(guò)濾防火墻根據(jù)預(yù)先定義好的規(guī)則來(lái)決定接受或拒絕ip數(shù)據(jù)包。通過(guò)包過(guò)濾，該防火墻仔細(xì)的檢查每一個(gè)數(shù)據(jù)包的協(xié)議和地址信息;數(shù)據(jù)包的內(nèi)容不檢查。 

包過(guò)濾防火墻檢查每一個(gè)傳入包，查看包中可用的基本信息(源地址和目的地址、端口號(hào)、協(xié)議等)。然后，將這些信息與設(shè)立的規(guī)則相比較。舉個(gè)例子來(lái)說(shuō)，如果你設(shè)定了規(guī)則阻擋外網(wǎng)用戶(hù)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)或設(shè)備使用telnet，而包的目的端口是23的話(huà)，那么該包就會(huì)被丟棄。 

圖1、包過(guò)濾防火墻

多個(gè)復(fù)雜規(guī)則的組合也是可行的。如果允許web連接，但只針對(duì)特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過(guò)。 

主要優(yōu)勢(shì)： 

包過(guò)濾防火墻相對(duì)比較簡(jiǎn)單，成本較低，部署簡(jiǎn)單快速。 

現(xiàn)在單純的硬件包過(guò)濾防火墻已經(jīng)比較少，不過(guò)多數(shù)防火墻中都具有包過(guò)濾功能。而一般家用和小企業(yè)用的軟件防火墻多數(shù)屬于此類(lèi)防火墻，windows早期內(nèi)置的防火墻就屬于包過(guò)濾防火墻。另外，對(duì)于使用linux操作系統(tǒng)的朋友來(lái)說(shuō)，也可以配置其自帶防火墻實(shí)現(xiàn)包過(guò)濾功能。 

三、鏈路級(jí)防火墻 

這類(lèi)防火墻不是簡(jiǎn)單的接受或拒絕數(shù)據(jù)包，它還根據(jù)一系列預(yù)定義規(guī)則來(lái)決定一個(gè)連接是否合法。如果一切通過(guò)驗(yàn)證，防火墻會(huì)打開(kāi)一個(gè)會(huì)話(huà)，并允許指定源地址的數(shù)據(jù)通過(guò)防火墻進(jìn)入網(wǎng)絡(luò)內(nèi)部。這個(gè)通信只被允許在限定時(shí)間內(nèi)進(jìn)行。 

圖2、鏈路級(jí)防火墻

另外，這個(gè)防火墻還可以根據(jù)以下對(duì)象來(lái)執(zhí)行連接驗(yàn)證，例如源ip地址或源端口，目的ip地址或目的端口，使用的協(xié)議，用戶(hù)id，密碼和時(shí)間等等，多數(shù)情況下要根據(jù)幾種條件的組合來(lái)進(jìn)行驗(yàn)證。我們可以看出，包級(jí)別的過(guò)濾在這種防火墻中也可能發(fā)生。 

主要優(yōu)點(diǎn)： 

·鏈路級(jí)防火墻通常比應(yīng)用層防火墻更快，因?yàn)樗鼈儓?zhí)行更少的操作; 

·通過(guò)禁用特定互聯(lián)網(wǎng)源地址與內(nèi)部計(jì)算機(jī)的連接，鏈路級(jí)防火墻可以幫助保護(hù)整個(gè)網(wǎng)絡(luò); 

·通過(guò)與網(wǎng)絡(luò)地址解析聯(lián)合使用，你可以使用鏈路級(jí)防火墻來(lái)阻止外部用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)ip地址。 

主要缺點(diǎn)： 

·運(yùn)行在傳輸層，因此必須要對(duì)傳輸函數(shù)編程進(jìn)行比較大的修改。這可能影響到網(wǎng)絡(luò)的性能和運(yùn)行。 

·鏈路級(jí)防火墻需要安裝人員和維護(hù)人員具有一定的專(zhuān)業(yè)知識(shí)。 

四、應(yīng)用級(jí)防火墻 

在這種防火墻實(shí)現(xiàn)方式中，防火墻的角色是一個(gè)應(yīng)用程序代理，與遠(yuǎn)端系統(tǒng)實(shí)現(xiàn)所有數(shù)據(jù)交換。這種防火墻背后的設(shè)計(jì)思想是讓所有服務(wù)器藏在防火墻后面，對(duì)遠(yuǎn)端系統(tǒng)不可見(jiàn)。 

一個(gè)應(yīng)用層防火墻可以根據(jù)特定規(guī)則來(lái)接受或拒絕通信。舉個(gè)例子來(lái)說(shuō)，這種防火墻可以允許某些命令被傳送到一個(gè)服務(wù)器上，而拒絕其它命令。這個(gè)技術(shù)還可以被用來(lái)限制訪(fǎng)問(wèn)特定的文件類(lèi)型，同樣也可以為授權(quán)和未授權(quán)用戶(hù)提供不同級(jí)別的訪(fǎng)問(wèn)級(jí)別。 

圖3、應(yīng)用級(jí)防火墻

對(duì)于那些喜歡對(duì)網(wǎng)絡(luò)流量進(jìn)行詳細(xì)監(jiān)控和記錄日志的用戶(hù)來(lái)說(shuō)，可能會(huì)比較喜歡應(yīng)用層防火墻，因?yàn)槭褂脩?yīng)用防火墻實(shí)現(xiàn)這些功能非常簡(jiǎn)單，而且不會(huì)進(jìn)一步影響性能。it管理員可以設(shè)定一個(gè)應(yīng)用層防火墻來(lái)實(shí)現(xiàn)在預(yù)定義事件發(fā)生的時(shí)候觸發(fā)報(bào)警器和發(fā)出提示。應(yīng)用程序網(wǎng)關(guān)一般被部署在一臺(tái)單獨(dú)的聯(lián)網(wǎng)計(jì)算機(jī)上，人們通常稱(chēng)之為代理服務(wù)器。 

除了上述三種類(lèi)型的防火墻外，還有一種狀態(tài)檢查多級(jí)防火墻，這類(lèi)防火墻通常由廠(chǎng)商作為“最佳品牌”解決方案來(lái)提供，目的是將前面幾種防火墻的優(yōu)點(diǎn)組合起來(lái)。狀態(tài)防火墻可以執(zhí)行網(wǎng)絡(luò)包過(guò)濾，同時(shí)還可以識(shí)別和處理應(yīng)用層的數(shù)據(jù)。這類(lèi)防火墻通�？梢蕴峁┏瑥�(qiáng)網(wǎng)絡(luò)保護(hù)，但是價(jià)格可能比較昂貴。 

另外值得注意的是，多數(shù)防火墻廠(chǎng)商提供了一系列的輔助功能，來(lái)提供那些基本防火墻服務(wù)之外的功能。此類(lèi)的功能包括反病毒保護(hù)，內(nèi)容過(guò)濾，入侵防護(hù)和網(wǎng)絡(luò)行為和使用報(bào)表。隨著網(wǎng)絡(luò)安全的迅速發(fā)展，對(duì)于企業(yè)來(lái)說(shuō)，購(gòu)買(mǎi)一個(gè)可以輕松升級(jí)到更高性能和更多新功能的產(chǎn)品，這是一個(gè)不錯(cuò)的觀(guān)點(diǎn)。 

【企業(yè)防火墻該如何選擇】相關(guān)文章：

中小型制造企業(yè)該如何選擇11-23

裝修風(fēng)格該如何選擇11-23

洗車(chē)毛巾該如何選擇11-23

廚房瓷磚該如何選擇11-23

禮品該如何來(lái)選擇11-23

人生道路該如何選擇04-27

該如何選擇適合的健身方式04-04

我該如何選擇事業(yè)or工作11-23

IT職業(yè)學(xué)校該如何選擇11-23