企業(yè)防火墻該如何選擇

在IT安全領(lǐng)域，防火墻是一個重要的角色，通常被部署在企業(yè)網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)中間，來保護企業(yè)網(wǎng)中的計算機、應(yīng)用程序和其它資源免遭外部攻擊。然而由于很多人對防火墻接觸的很少，加上防火墻種類繁多，常常讓一些新手朋友在選擇購買防火墻的時候感到困惑，本文筆者將和大家一起簡單了解一下在購買防火墻需要明確的一些概念，以及不同類型防火墻的主要優(yōu)點和缺點。

一、防火墻概念及選購要素

盡管防火墻有很多種分類，我們還是可以給它下一個廣泛的定義：一系列相關(guān)的安全程序被安裝在一個網(wǎng)絡(luò)入口服務(wù)器(或?qū)Ｓ迷O(shè)備)上，兩者共同筑起一道安全“墻”，共同保護內(nèi)網(wǎng)資源免遭外網(wǎng)人員攻擊。

盡管所有防火墻都運行軟件，防火墻市場本身還是被人們劃分為兩大陣營：硬件防火墻和軟件防火墻。硬件防火墻是專門的安全設(shè)備，上面預(yù)裝著安全軟件，其操作系統(tǒng)一般是專用操作系統(tǒng)。另一方面，軟件防火墻通�？梢员话惭b在任何可用的服務(wù)器上，服務(wù)器的操作系統(tǒng)一般是通用的網(wǎng)絡(luò)操作系統(tǒng)，諸如Windows或Linux等。

企業(yè)在選擇防火墻產(chǎn)品的時候，沒有一套完全正確的規(guī)則可參考，因為每個企業(yè)的實際網(wǎng)絡(luò)環(huán)境不一樣，而且每個企業(yè)對防火墻功能要求也不同，因此企業(yè)通常要立足于需要和自己公司的實際情況來選擇合適的防火墻。不過在選購防火墻的時候，還是有一些要考慮的共同問題，如以下問題。

·防火墻的體系架構(gòu)(硬件還是軟件);

·防火墻要求的并發(fā)會話(session)數(shù)量是多少，并發(fā)會話數(shù)是防火墻能夠同時處理的點對點會話連接的最大數(shù)目，它反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點數(shù);

·外部訪問的類型和范圍要求;

·需要的VPN(虛擬專用網(wǎng))協(xié)議的數(shù)量和類型;要求保護的并發(fā)VPN的數(shù)量; ·喜歡的管理用戶界面(命令行、圖形或基于網(wǎng)頁)，以及是否需要高可用性功能。

防火墻的價格相差很大，用戶保護家庭或小企業(yè)網(wǎng)絡(luò)的簡單防火墻價格比較低，而用于專門保護企業(yè)資源的行業(yè)級別的硬件防火墻價格則非常高。

沒有兩個企業(yè)的網(wǎng)絡(luò)是完全相同的，因此廠商提供了許多不同類型的防火墻實現(xiàn)(包括基于硬件和軟件的)，來滿足特定客戶需要。最基本的實現(xiàn)可以被劃分為包過濾、電路層和應(yīng)用層三類。

二、包過濾防火墻

單純的包過濾防火墻除了過濾數(shù)據(jù)包之外什么操作也不做。包過濾防火墻根據(jù)預(yù)先定義好的規(guī)則來決定接受或拒絕IP數(shù)據(jù)包。通過包過濾，該防火墻仔細的檢查每一個數(shù)據(jù)包的協(xié)議和地址信息;數(shù)據(jù)包的內(nèi)容不檢查。

包過濾防火墻檢查每一個傳入包，查看包中可用的基本信息(源地址和目的地址、端口號、協(xié)議等)。然后，將這些信息與設(shè)立的規(guī)則相比較。舉個例子來說，如果你設(shè)定了規(guī)則阻擋外網(wǎng)用戶對內(nèi)網(wǎng)計算機或設(shè)備使用telnet，而包的目的端口是23的話，那么該包就會被丟棄。

圖1、包過濾防火墻

多個復(fù)雜規(guī)則的組合也是可行的。如果允許Web連接，但只針對特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過。 主要優(yōu)勢：

包過濾防火墻相對比較簡單，成本較低，部署簡單快速。

現(xiàn)在單純的硬件包過濾防火墻已經(jīng)比較少，不過多數(shù)防火墻中都具有包過濾功能。而一般家用和小企業(yè)用的軟件防火墻多數(shù)屬于此類防火墻，Windows早期內(nèi)置的防火墻就屬于包過濾防火墻。另外，對于使用Linux操作系統(tǒng)的朋友來說，也可以配置其自帶防火墻實現(xiàn)包過濾功能。

三、鏈路級防火墻

這類防火墻不是簡單的接受或拒絕數(shù)據(jù)包，它還根據(jù)一系列預(yù)定義規(guī)則來決定一個連接是否合法。如果一切通過驗證，防火墻會打開一個會話，并允許指定源地址的數(shù)據(jù)通過防火墻進入網(wǎng)絡(luò)內(nèi)部。這個通信只被允許在限定時間內(nèi)進行。

圖2、鏈路級防火墻

另外，這個防火墻還可以根據(jù)以下對象來執(zhí)行連接驗證，例如源IP地址或源端口，目的IP地址或目的端口，使用的協(xié)議，用戶ID，密碼和時間等等，多數(shù)情況下要根據(jù)幾種條件的組合來進行驗證。我們可以看出，包級別的過濾在這種防火墻中也可能發(fā)生。

主要優(yōu)點：

·鏈路級防火墻通常比應(yīng)用層防火墻更快，因為它們執(zhí)行更少的操作;

·通過禁用特定互聯(lián)網(wǎng)源地址與內(nèi)部計算機的連接，鏈路級防火墻可以幫助保護整個網(wǎng)絡(luò);

·通過與網(wǎng)絡(luò)地址解析聯(lián)合使用，你可以使用鏈路級防火墻來阻止外部用戶訪問內(nèi)部網(wǎng)絡(luò)IP地址。

主要缺點：

·運行在傳輸層，因此必須要對傳輸函數(shù)編程進行比較大的修改。這可能影響到網(wǎng)絡(luò)的性能和運行。

《企業(yè)防火墻該如何選擇》全文內(nèi)容當(dāng)前網(wǎng)頁未完全顯示，剩余內(nèi)容請訪問下一頁查看。

·鏈路級防火墻需要安裝人員和維護人員具有一定的專業(yè)知識。

四、應(yīng)用級防火墻

在這種防火墻實現(xiàn)方式中，防火墻的角色是一個應(yīng)用程序代理，與遠端系統(tǒng)實現(xiàn)所有數(shù)據(jù)交換。這種防火墻背后的設(shè)計思想是讓所有服務(wù)器藏在防火墻后面，對遠端系統(tǒng)不可見。

一個應(yīng)用層防火墻可以根據(jù)特定規(guī)則來接受或拒絕通信。舉個例子來說，這種防火墻可以允許某些命令被傳送到一個服務(wù)器上，而拒絕其它命令。這個技術(shù)還可以被用來限制訪問特定的文件類型，同樣也可以為授權(quán)和未授權(quán)用戶提供不同級別的訪問級別。

圖3、應(yīng)用級防火墻

對于那些喜歡對網(wǎng)絡(luò)流量進行詳細監(jiān)控和記錄日志的用戶來說，可能會比較喜歡應(yīng)用層防火墻，因為使用應(yīng)用防火墻實現(xiàn)這些功能非常簡單，而且不會進一步影響性能。IT管理員可以設(shè)定一個應(yīng)用層防火墻來實現(xiàn)在預(yù)定義事件發(fā)生的時候觸發(fā)報警器和發(fā)出提示。應(yīng)用程序網(wǎng)關(guān)一般被部署在一臺單獨的聯(lián)網(wǎng)計算機上，人們通常稱之為代理服務(wù)器。

除了上述三種類型的防火墻外，還有一種狀態(tài)檢查多級防火墻，這類防火墻通常由廠商作為“最佳品牌”解決方案來提供，目的是將前面幾種防火墻的優(yōu)點組合起來。狀態(tài)防火墻可以執(zhí)行網(wǎng)絡(luò)包過濾，同時還可以識別和處理應(yīng)用層的數(shù)據(jù)。這類防火墻通�？梢蕴峁┏瑥娋W(wǎng)絡(luò)保護，但是價格可能比較昂貴。

另外值得注意的是，多數(shù)防火墻廠商提供了一系列的輔助功能，來提供那些基本防火墻服務(wù)之外的功能。此類的功能包括反病毒保護，內(nèi)容過濾，入侵防護和網(wǎng)絡(luò)行為和使用報表。隨著網(wǎng)絡(luò)安全的迅速發(fā)展，對于企業(yè)來說，購買一個可以輕松升級到更高性能和更多新功能的產(chǎn)品，這是一個不錯的觀點。

企業(yè)防火墻該如何選擇 [篇2]

在it安全領(lǐng)域，防火墻是一個重要的角色，通常被部署在企業(yè)網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)中間，來保護企業(yè)網(wǎng)中的計算機、應(yīng)用程序和其它資源免遭外部攻擊。然而由于很多人對防火墻接觸的很少，加上防火墻種類繁多，常常讓一些新手朋友在選擇購買防火墻的時候感到困惑，本文筆者將和大家一起簡單了解一下在購買防火墻需要明確的一些概念，以及不同類型防火墻的主要優(yōu)點和缺點。 

一、防火墻概念及選購要素 

盡管防火墻有很多種分類，我們還是可以給它下一個廣泛的定義：一系列相關(guān)的安全程序被安裝在一個網(wǎng)絡(luò)入口服務(wù)器(或?qū)Ｓ迷O(shè)備)上，兩者共同筑起一道安全“墻”，共同保護內(nèi)網(wǎng)資源免遭外網(wǎng)人員攻擊。 

盡管所有防火墻都運行軟件，防火墻市場本身還是被人們劃分為兩大陣營：硬件防火墻和軟件防火墻。硬件防火墻是專門的安全設(shè)備，上面預(yù)裝著安全軟件，其操作系統(tǒng)一般是專用操作系統(tǒng)。另一方面，軟件防火墻通�？梢员话惭b在任何可用的服務(wù)器上，服務(wù)器的操作系統(tǒng)一般是通用的網(wǎng)絡(luò)操作系統(tǒng)，諸如windows或linux等。 

企業(yè)在選擇防火墻產(chǎn)品的時候，沒有一套完全正確的規(guī)則可參考，因為每個企業(yè)的實際網(wǎng)絡(luò)環(huán)境不一樣，而且每個企業(yè)對防火墻功能要求也不同，因此企業(yè)通常要立足于需要和自己公司的實際情況來選擇合適的防火墻。不過在選購防火墻的時候，還是有一些要考慮的共同問題，如以下問題。 

·防火墻的體系架構(gòu)(硬件還是軟件); 

·防火墻要求的并發(fā)會話(session)數(shù)量是多少，并發(fā)會話數(shù)是防火墻能夠同時處理的點對點會話連接的最大數(shù)目，它反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點數(shù); 

·外部訪問的類型和范圍要求; 

·需要的vpn(虛擬專用網(wǎng))協(xié)議的數(shù)量和類型;要求保護的并發(fā)vpn的數(shù)量; 

·喜歡的管理用戶界面(命令行、圖形或基于網(wǎng)頁)，以及是否需要高可用性功能。 

防火墻的價格相差很大，用戶保護家庭或小企業(yè)網(wǎng)絡(luò)的簡單防火墻價格比較低，而用于專門保護企業(yè)資源的行業(yè)級別的硬件防火墻價格則非常高。 

沒有兩個企業(yè)的網(wǎng)絡(luò)是完全相同的，因此廠商提供了許多不同類型的防火墻實現(xiàn)(包括基于硬件和軟件的)，來滿足特定客戶需要。最基本的實現(xiàn)可以被劃分為包過濾、電路層和應(yīng)用層三類。 

二、包過濾防火墻 

單純的包過濾防火墻除了過濾數(shù)據(jù)包之外什么操作也不做。包過濾防火墻根據(jù)預(yù)先定義好的規(guī)則來決定接受或拒絕ip數(shù)據(jù)包。通過包過濾，該防火墻仔細的檢查每一個數(shù)據(jù)包的協(xié)議和地址信息;數(shù)據(jù)包的內(nèi)容不檢查。 

包過濾防火墻檢查每一個傳入包，查看包中可用的基本信息(源地址和目的地址、端口號、協(xié)議等)。然后，將這些信息與設(shè)立的規(guī)則相比較。舉個例子來說，如果你設(shè)定了規(guī)則阻擋外網(wǎng)用戶對內(nèi)網(wǎng)計算機或設(shè)備使用telnet，而包的目的端口是23的話，那么該包就會被丟棄。 

圖1、包過濾防火墻

多個復(fù)雜規(guī)則的組合也是可行的。如果允許web連接，但只針對特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過。 

主要優(yōu)勢： 

包過濾防火墻相對比較簡單，成本較低，部署簡單快速。 

現(xiàn)在單純的硬件包過濾防火墻已經(jīng)比較少，不過多數(shù)防火墻中都具有包過濾功能。而一般家用和小企業(yè)用的軟件防火墻多數(shù)屬于此類防火墻，windows早期內(nèi)置的防火墻就屬于包過濾防火墻。另外，對于使用linux操作系統(tǒng)的朋友來說，也可以配置其自帶防火墻實現(xiàn)包過濾功能。 

三、鏈路級防火墻 

這類防火墻不是簡單的接受或拒絕數(shù)據(jù)包，它還根據(jù)一系列預(yù)定義規(guī)則來決定一個連接是否合法。如果一切通過驗證，防火墻會打開一個會話，并允許指定源地址的數(shù)據(jù)通過防火墻進入網(wǎng)絡(luò)內(nèi)部。這個通信只被允許在限定時間內(nèi)進行。 

圖2、鏈路級防火墻

另外，這個防火墻還可以根據(jù)以下對象來執(zhí)行連接驗證，例如源ip地址或源端口，目的ip地址或目的端口，使用的協(xié)議，用戶id，密碼和時間等等，多數(shù)情況下要根據(jù)幾種條件的組合來進行驗證。我們可以看出，包級別的過濾在這種防火墻中也可能發(fā)生。 

主要優(yōu)點： 

·鏈路級防火墻通常比應(yīng)用層防火墻更快，因為它們執(zhí)行更少的操作; 

·通過禁用特定互聯(lián)網(wǎng)源地址與內(nèi)部計算機的連接，鏈路級防火墻可以幫助保護整個網(wǎng)絡(luò); 

·通過與網(wǎng)絡(luò)地址解析聯(lián)合使用，你可以使用鏈路級防火墻來阻止外部用戶訪問內(nèi)部網(wǎng)絡(luò)ip地址。 

主要缺點： 

·運行在傳輸層，因此必須要對傳輸函數(shù)編程進行比較大的修改。這可能影響到網(wǎng)絡(luò)的性能和運行。 

·鏈路級防火墻需要安裝人員和維護人員具有一定的專業(yè)知識。 

四、應(yīng)用級防火墻 

在這種防火墻實現(xiàn)方式中，防火墻的角色是一個應(yīng)用程序代理，與遠端系統(tǒng)實現(xiàn)所有數(shù)據(jù)交換。這種防火墻背后的設(shè)計思想是讓所有服務(wù)器藏在防火墻后面，對遠端系統(tǒng)不可見。 

一個應(yīng)用層防火墻可以根據(jù)特定規(guī)則來接受或拒絕通信。舉個例子來說，這種防火墻可以允許某些命令被傳送到一個服務(wù)器上，而拒絕其它命令。這個技術(shù)還可以被用來限制訪問特定的文件類型，同樣也可以為授權(quán)和未授權(quán)用戶提供不同級別的訪問級別。 

圖3、應(yīng)用級防火墻

對于那些喜歡對網(wǎng)絡(luò)流量進行詳細監(jiān)控和記錄日志的用戶來說，可能會比較喜歡應(yīng)用層防火墻，因為使用應(yīng)用防火墻實現(xiàn)這些功能非常簡單，而且不會進一步影響性能。it管理員可以設(shè)定一個應(yīng)用層防火墻來實現(xiàn)在預(yù)定義事件發(fā)生的時候觸發(fā)報警器和發(fā)出提示。應(yīng)用程序網(wǎng)關(guān)一般被部署在一臺單獨的聯(lián)網(wǎng)計算機上，人們通常稱之為代理服務(wù)器。 

除了上述三種類型的防火墻外，還有一種狀態(tài)檢查多級防火墻，這類防火墻通常由廠商作為“最佳品牌”解決方案來提供，目的是將前面幾種防火墻的優(yōu)點組合起來。狀態(tài)防火墻可以執(zhí)行網(wǎng)絡(luò)包過濾，同時還可以識別和處理應(yīng)用層的數(shù)據(jù)。這類防火墻通常可以提供超強網(wǎng)絡(luò)保護，但是價格可能比較昂貴。 

另外值得注意的是，多數(shù)防火墻廠商提供了一系列的輔助功能，來提供那些基本防火墻服務(wù)之外的功能。此類的功能包括反病毒保護，內(nèi)容過濾，入侵防護和網(wǎng)絡(luò)行為和使用報表。隨著網(wǎng)絡(luò)安全的迅速發(fā)展，對于企業(yè)來說，購買一個可以輕松升級到更高性能和更多新功能的產(chǎn)品，這是一個不錯的觀點。 

【企業(yè)防火墻該如何選擇】相關(guān)文章：

中小型制造企業(yè)該如何選擇11-23

裝修風(fēng)格該如何選擇11-23

洗車毛巾該如何選擇11-23

廚房瓷磚該如何選擇11-23

禮品該如何來選擇11-23

人生道路該如何選擇04-27

該如何選擇適合的健身方式04-04

我該如何選擇事業(yè)or工作11-23

IT職業(yè)學(xué)校該如何選擇11-23