防火墙的选型

网络和信息安全是目前的一个热门话题，各个安全公司和厂家都在从事这方面的研究、开发和市场工作，其中各个公司的市场定位和安全方面的定位也是不一样的。安全领域包含了防火墙、防病毒、防黑客、安全评估和审计、认证、签名、加密、安全监控、系统备份和恢复等，其中每一项技术提供了系统的一个方面的技术保证；而一个系统往往是包含很多内容和组件，这就使任何一种单一的技术只能为系统的安全发挥一定的作用。理想的安全系统应该是集成所有各种可能的安全技术，防范所有可能的安全漏洞。在一个合理的安全模型中，安全应该是技术、管理、策略的紧密结合体，只有任何一个方面都不能保证系统的安全。目前，市场上有很多安全公司为客户提供了技术保证，实现基础就是他们的产品。

    防火墙作为系统安全的主要手段和技术保证之一，主要定位在保证网络层的安全和网络之间的隔离，阻止来自外部的攻击和破坏。

目前，防火墙的种类和厂家有很多，实现技术细节也各个不同，每个厂家在推销产品时引进很多新的概念和术语，给客户选择产品时造成了不便。如何选择适合客户自己网络环境下的防火墙，满足自己的需要是一个很难的问题。对于防火墙来说，安全性是它的第一功能，所有其它功能都是围绕防火墙的安全性来展开的，有的是功能上扩充、有的是性能上的提高、有的是易用性强调。下面就防火墙选择时几个重要的指标作一描述。

关于防火墙的安全性
防火墙的安全功能是防火墙的本职功能，衡量和选择防火墙首先要考虑的就是它的安全性。目前，防火墙的实现技术有三种：应用层网关、状态检测、包过滤，另外也有三者的混合技术。传统的观念是应用层网关最安全、包过滤最不安全，这种描述不一定正确；应该是应用层网关的控制粒度最细，包过滤的控制粒度最粗；关键要看这种粒度控制是否适合您的网络环境和安全需要。

在客户的环境中，防火墙系统和厂商的防火墙产品是不一样的，防火墙系统包括了防火墙产品、防火墙的运行平台和环境、相应的防火墙安全控制策略、防火墙的审计策略及防火墙的管理手段等；而防火墙产品只是防火墙系统中一个重要的部分，也就是厂商提供的部分。防火墙系统的安全性和防火墙产品的安全性不是等同的。
一般来说，厂商所说的防火墙的安全性是指产品本身的安全性，而不能等同于客户环境下防火墙系统的安全性；各个评测机构所说的哪个防火墙最安全，指的是测试环境下防火墙系统的安全性，它体现了防火墙及其合理、坚固、安全配置的安全性，包含了测试安装人员的经验和技术。

防火墙的实现方式有两种：一种是基于专用硬件和操作系统的硬件防火墙；另一种是基于商用操作系统的防火墙。对于这两种实现形式，安全性的含义是不一样的。

对于基于商用操作系统的防火墙，安全性包括：操作系统本身的安全性、防火墙的安全性、配置和策略的合理性及管理的安全性。一般来说商用操作系统本身并不是为防火墙的安全目的而设计的，它是通用的，提供各类服务，而且有大量的与安全有关的补丁；Internet上对它的攻击方式也最多。要保证这一类防火墙系统的安全性，必须花大量时间来加固防火墙运行的操作系统的安全性，在投入运行后，时刻关注新的补丁的出现并及时加固。对于这一类防火墙，对用户的要求比较高，要求熟悉操作系统的各个方面，并有人负责不断的更新和加固。只要合理的配置，这一类防火墙是安全的。

对于基于专用硬件和操作系统的防火墙，安全性只和防火墙产品及安全策略相关。操作系统是专门为防火墙而设计的，充分地考虑了操作系统的安全，无需打补丁和加固。这一类防火墙系统的安全性只和管理和它本身有关系。

对于商用防火墙产品，国际上有一个专门的机构ICSA来对它的安全性进行测试，并授予证书。所以在选择防火墙时，要考虑是否是ICSA认证的。对于防火墙产品的安全性，有一个说法是：没有不安全的防火墙产品，只有不安全的配置。

还要强调的是，不管哪类防火墙，防火墙系统的安全是动态的，并不是一成不变的。

对于客户来说，所需要的是防火墙系统的安全性，而不是防火墙产品本身的安全性。
关于防火墙的性能
防火墙的性能包含几个方面的指标

n         防火墙的并发连接数：和同时访问的用户数有关；

n         防火墙的包速率：每秒包转发速率，与包大小有关；

n         防火墙的转发速率：每秒通讯吞吐量；

n         防火墙的延时：由于防火墙带来的通讯延时；

  
防火墙的性能衡量基准是与没有防火墙时网络比较的，即直接用线连接通讯时的比较。

有关性能方面：防火墙系统的性能和防火墙产品的性能是不一样的，客户需要的是防火墙系统的性能而不是防火墙产品本身的性能。

和防火墙系统性能相关的因素：

n         防火墙产品；

n         防火墙所运行的硬件环境；

n         防火墙的安全策略；

n         防火墙的附加功能等；

对于基于商用操作系统的防火墙产品来说，直接与运行的硬件平台和操作系统相关。由于商用操作系统和硬件并不是专门为防火墙设计的，它是通用平台，适用于各种应用，防火墙只是它的一个应用。要保证这一类防火墙的高性能，需要对操作系统的软硬件配置进行优化，使之适合于防火墙的应用。防火墙的硬件与内存、硬盘、CPU数量、主频和硬件类型有关；另外，防火墙的安全策略内容也是一个性能的重要影响指标。同一个防火墙运行在不同的硬件平台会表现出不同的性能，这就是为什么我们会看到同一防火墙会有不同的评测结果。通过扩展硬件的配置可以提高防火墙的性能。
对于基于硬件的防火墙系统，性能与所选用的型号有关系，和所部署的安全策略有关系。这一类防火墙的性能由专用硬件决定，性能的扩展是通过多个防火墙来实现的。

对于防火墙的性能永远和投资有关系，只有在同样的投资情况比较防火墙的性能才是合理的。

防火墙系统的性能和投资成正比，和策略数、策略的复杂性、功能成反比。

同一个厂家的防火墙产品不同的型号在性能上都是有差异的，我们在考虑防火墙的性能时，一定首先考虑我们的需要的性能是什么，需要的功能是什么，然后才能选择最合适的防火墙。

关于防火墙的可靠性
防火墙的安全定位是控制不同网络之间的访问，并不是隔断网络，所以防火墙的可靠性是很重要的，只有可靠的防火墙才是可用的。尤其是关键业务的网络，网络的畅通是第一的，不容许由于防火墙而导致的网络的畅通性的影响，只有畅通加安全才是客户的需要。

防火墙系统的可靠性和防火墙的组成有关系，是各个组件的可靠性的综合。一般来说对于基于通用平台的防火墙系统，可靠性和运行的主机硬件、操作系统、防火墙软件本身有关系。防火墙运行硬件、操作系统的故障会导致防火墙系统的不可靠。在这类防火墙系统中，系统的不可靠因素比较多；另外由于硬件平台本身是由一些可移动的组件，如硬盘、网卡等组成的，这些组件的可移动性也是不可靠的隐患。

对于基于专用硬件的防火墙系统的组件比较少，不可靠因素相对少一些；另外，可移动的组件也少，它的各个组件是紧密耦合的。

针对可靠性的问题，各个防火墙厂商都推出了自己的高可靠性备份解决方案，有的是和别的公司的合作，有的是自己专有方案。不过，可靠性和投资直接相关的，没有绝对可靠的产品。在选型时，考虑适度的可靠以及和投资的匹配，达到最小的投资，最大的可靠性。

关于防火墙的管理
防火墙系统的安全性和防火墙的管理直接相关，只有好的管理手段，才能保证安全的防火墙。防火墙系统的管理考虑管理的易用性、简单性、可用性。对于大型企业来说对管理的重视程度更高。管理的内容有日程维护、防火墙配置、策略制定、监控、日志和报告等。

目前，防火墙系统的管理特性有：

n         集中管理、配置、监控、报告；

n         组模式管理，复用配置和策略信息；

n         安全的远程管理；

n         基于浏览器管理；

n         GUI管理界面；

n         防火墙的日程维护和审计；

防火墙系统的管理包括：

n         防火墙产品本身的管理；

n         防火墙运行平台的管理；

在考虑防火墙的管理特性时，充分考虑以上的因素，同时注意管理实现的复杂性。

VPN
VPN是在公网上实现私有专用网的一种方式。包括网络对网络的加密和网络对个人的加密，在选择VPN时注意以下因素：

n         VPN实现技术和标准的符合程度；

n         VPN产品和其它厂家的兼容性；

n         VPN的支持能力，包括：Tunnel数、性能等；

n         配置VPN的简单性；

n         加密算法的强度和可用性；

在选择防火墙时要考虑到VPN是否是自己的需要之一，如果需要则一定要选择带有VPN的防火墙。

关于防火墙的易用性
防火墙的易用性和客户的投资价值直接相关，易用性表现在以下几个方面：

n         是否易于安装和部署，充分考虑防火墙系统建立对原有网络的影响和改动，衡量这种工作量的负担和复杂性；

n         是否易于日常使用，对最终用户的感觉和是否有使用上的影响，是否会影响用户的日常使用习惯；

n         防火墙系统是否易于日常维护；

n         是否稳定可靠；

易用性主要从网络安全管理的日常工作着手。

关于防火墙附加功能
防火墙的本职工作是保护网络的安全，但是安全是一个整体的架构，在这个架构下还有其它种类的安全技术，好多防火墙产品本身融合了很多其他的功能和技术。我们在选择这些附加功能时，首先要考虑的是哪些功能是防火墙的必要的、那些功能是我们必要的，哪些功能是可有可无的。有两个原则：一个是防火墙所带的附加功能越多，可能带来的防火墙的安全漏洞就越多；另一个原则是，防火墙所带的附加功能并不是这种功能领域最好的。从另一方面来讲，我们又希望各种功能的紧密集成，紧密集成和功能的最好是一个折中体。

一般来说防火墙所带的附加功能有：

n         VPN功能；

n         带宽管理功能；

n         URL过滤功能；

n         日志分析功能；

n         内容扫描病毒；

n         防病毒功能；

另外还有一些定制的功能。

在常见功能的实现中，大部分功能是给第三方厂家提供接口，通过第三方的解决方案实现。在防火墙的发展趋势中，有一个是防火墙中不是必要的功能依赖于防火墙之外的设备来完成。我们在选择这些附加功能时，必须和我们的整个企业安全架构相关联，选择必要的附加功能。

关于防火墙的升级
防火墙系统的安全是一个动态过程，今天是安全的系统，明天未必如此，所以要充分考虑防火墙系统的升级。防火墙系统的升级包括了运行平台的升级和防火墙软件本身的升级。一般要求升级工作量和复杂性不要太大。

对于基于软件的防火墙系统，我们必须考虑操作系统的升级。

选择升级时，我们考虑以下的内容：

n         升级方式：远程或本地；

n         升级工作量；

n         升级复杂性；

n         升级对生产中的防火墙系统的影响；

n         是否可以集中升级；

n         是否需要从新安装；

n         是否升级过程自动化；

n         是否需要重新配置；

防火墙的选型建议
目前有很多防火墙厂商，比较著名的有CheckPoint的Firewall、Cisco的PIX、Network Associate的Gauntlet Active Firewall、Netscreen的Netscreen-10/100/1000/5 Firewall等。技术方面主要分布在基于状态检测和基于应用层网关两大类。每一类防火墙都有它的独特的特点和个性，Checkpoint的GUI界面是一大特色、Cisco以性能著名、NAI以独特的技术为名、Netscreen以性能和简单易用性而出名，这些防火墙都有自己的定位。碰到这些防火墙产品使我们眼花缭乱，难以决策。

我们认为在选型时应注意下列内容：

n         明确我们所需要和期望的安全性、功能和性能；

n         明确我们的投资范围，衡量性价比；

n         考虑我们的安全管理人员的经验、精力和技术素质；及所需要的管理手段和方式；

n         同一基准下，比较防火墙的各项参数；

n         对附加功能的定义和期望；

n         日常维护手段和策略；

    考虑了以上因素后，针对自己的需求，选择合适于自己环境和需求的防火墙。