防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。那么,互联网为什么要设立防火墙?
在互联网中,人们采用类似防火墙的设备,保护内部或私人的网络资源不受侵害,具备这种功能的设备被称为“防火墙”。防火墙实际是一种插在内部网与互联网之间的隔离系统,作为两者之间的关卡,起到加强系统安全与信息审查的功能。建立防火墙的目的是保护内部网络不受外来攻击,为此需要确定“防火墙安全策略” 。目前主要有两种截然不同的安全策略:一是拒绝一切未被特许的信息进入内部网;一是允许一切未被拒绝的信息进入。从网络的安全性来考虑,前都除了被确认是可信任的信息外,其他的信息都不允许通过,对网络的互联性有一定的影响,但安全性好;后者的意思是,除了被确认是来自不可信任的信息源以外的信息都可以进入内部网络,这样有利于信息交换,但存在一定的安全隐患。
防火墙
防火墙选购误区
防火墙是好,但是,若选择不当的话,可能会起到相反的作用。在这里,笔者想跟大家交流一下防火墙选购的经验。笔者结合自己与朋友防火墙管理方面的心得,总结出了防火墙选购中的五大误区。权当抛砖引玉。
误区一:太过于相信实验数据。
在防火墙的产品说明中,往往会有一些性能、功能方面的参考数字。如吞吐量有6G, 抗病毒能力有多强等等。对于这些数字我们在防火墙选购的时候不能够太过于迷信。而应该以辩证的眼光去看待这些数字。
一方面,这些数字都是实验数据。也就是说,是在一个相对合理的、干扰因素比较少的情况下得出的数据。但是,说实话,任何一个企业的网络环境都不可能达到他们测试产品的那种水准。当企业主机数量比较多,若分段不合理,就会造成比较多的网络广播,那时也会影响到这个最终的有效吞吐量。所以,对于实验室出来的数据,我们往往要打个对折。
另一方面,不能够光看某个指标。在选购防火墙的时候,有多大几十项的指标,若其中一个指标,如吞吐量,即使高达10G,但是,若其他指标跟不上去的话,那么一切都是白搭。有时候,厂商在测试产品的时候,往往会把某些功能关掉后再进行测试。在这种情况下,测试出来的数据,实用价值不会很大。因为若把其他功能关掉,就启用一项功能,则CPU等硬件资源就不会发生争夺。如此,某个指标的数字看起来就会好看许多。而在企业中部署防火墙的时候,不可能只用一项功能。把其他功能开起来的话,则这个数字就会打折扣了。
总之,在防火墙选购的时候,不要太过于相信实验数据。对于他们从实验室得出来的数字,笔者往往会给他们打个对折。打折后的数据,可能水分会少一点。所以,实验数据只能拿来参考。在有条件的情况下,网络管理员要结合自己的公司网络环境,对防火墙产品进行测试。这测试出来的结果,对于我们防火墙选购才会有参考价值。
网络管理员不要走入这个误区。否则的话,网络管理员只有自己消化由此带来的苦果了。
误区二:功能花哨却不实用。
信息化技术越来越复杂,而且防火墙的竞争也越来越激烈。所以,防火墙厂商为了提供自己产品的市场竞争力,就往往在自己的防火墙产品中集成比较多的功能,以增加市场的卖点。
对于这些功能,我们要冷眼看待。
一方面,要看看这些额外的功能企业是否需要。如有些防火墙产品中会集成等功能。但是,企业是否需要这项功能呢?网络管理员要事先考虑清楚。因为服务不仅在防火墙上可以实现,而且在路由器上也可以实现。如果企业对于有比较高的性能要求的话,甚至可以部署一个专用的服务器等等。若在防火墙上实现功能,笔者个人认为,有着画蛇添足的味道。在管理上,没有其他实现方式那边简便与人性化。
另一方面,一些额外的功能会耗费防火墙的资源。上面笔者说过,在实验室中测试产品的时候,往往只是测试单一的功能。如测试吞吐量的话,会把其他功能关闭掉。若把防火墙的功能都启用起来的话,则某个指标的数字可能需要打个两折了。所以,花哨功能多了,就会大大影响防火墙的性能。这就好像一个巨无霸,网络管理员必须为他提供更好的硬件配置,才能够让其正常的运行 [7]。