作为保障网络安全的主要设备,经过多年的发展,防火墙技术已逐渐成熟。即便如此,用户在购买防火墙时仍需擦亮眼睛。
防火墙是一种在内外网边界上部署的访问控制装置,用于防止未经授权的内部网络和外部网络的通信。防火墙主要分为三种类型:简单的包过滤防火墙、状态/动态检测防火墙、应用代理防火墙。
防火墙控制是网络数据的对象,通过对用户的2到7层的策略进行检查,根据检查结果决定接受,下降或限制流量。虽然实际的防火墙也可以取代路由器和交换机的一部分,但对这些功能的结果太多的重点只能是物物交换。
由于防火墙设备在网络中的引入,防火墙的必然要求可以提供相应的支持,包括管理,环境适应能力,与现有的交换机/路由器的互连,吞吐能力和适当的延迟。这种防火墙不会网络瓶颈。这些功能实际上是对防火墙的附加要求,虽然它是必要的,但不给用户带来附加值,它的整体要求是最好的。
虽然防火墙的开发时间比较长,但技术相对比较成熟,但新的防火墙概念,新技术仍在层出不穷。那么,如何对防火墙进行真正的评价呢?还必须从用户使用角度进行深入的分析,从功能、性能、管理、稳定性三个方面进行调查。
功能,表现为“双层皮”
功能和性能一直是用户评价防火墙的主要方面,尤其是由于其可量化的性能,更是对比的焦点,但真正理解这2个问题是不容易的。为了适应用户的环境是复杂的和需要的,为了有一个“卖点”,现在的防火墙一般都有很多功能,这些功能都没有任何问题,如热备功能已经通过测试,动态应用的支持也测试通过,但在实际环境中,我们可以在热备使用视频会议的需要和要求而不中断的视频开关。
这可能是一些防火墙是不是,和类似的功能组合是用户真正需要的。此外,防火墙功能和性能一般会独立评估,功能测试和性能测试和功能测试涉及单一功能,性能测试约2,三个简单的应用性能,导致性能作为一个功能的“双皮”,不能真正反映了防火墙功能:测试性能是非常高的,但许多功能不能使用,在实际使用时,打开所有常用的功能,性能变得非常低。因此,有必要对防火墙的性能和功能进行评估,以评估防火墙的性能。
具体的评价应该从以下几个方面展开:
•2~7层的访问控制功能,特别是滤波层深度的应用。函数应该能够地址映射、端口映射、主干VLAN支持、用户认证、动态包过滤,对使用任意组合的流量控制等功能。
•安全功能,重点放在抗synflood攻击。目前,在“黑客”的攻击行为,最常用的,最有效的是DDoS(分布式拒绝服务攻击),这是由于服务器拒绝服务。防火墙作为网络的一个渠道,来保证网络的安全保护,需要重点关注的安全保护功能可以过滤攻击的同时保证正常访问,是否源地址攻击和真实源地址攻击同时有效地欺骗,可以保护服务器免受冲击。这个函数应该能够地址映射、端口映射、主干VLAN支持、用户认证、动态包过滤、流量控制等同时或任意组合。
•实际性能。性能测试一般包括六个方面:吞吐量、延迟、丢包率、回接、并发连接数、新连接率,实际性能是在接近实际用户使用性能的。
•新连接率。由于网络应用的波动较大,即在不同的时间访问特性的差异,防火墙也能适应这种情况,相应的指标,新的连接速率。考虑到用户网络的复杂性和应用,还需要打开常用的功能,如:数据包过滤、内容过滤、抗攻击等情况,测试新的连接速率。
管理是关键
用户要使用安全的防火墙系统,就要实现一套防火墙的安全策略,这是对防火墙的实际操作人员提出了更高的要求。由于不同防火墙的管理存在差异,因此,管理者的管理难度可能会导致错误配置,从而使网络安全风险。因为每个网络管理员都不能被要求成为网络安全专家,所以管理是网络安全的关键。删除权限管理、通信加密等,还需要把重点放在管理上的方便性和集中管理的这2个方面。
单一管理方便,防火墙应该提供各种管理,为管理员在不同的使用场合,如高级别的管理员进行全面管理防火墙的串口命令行模式;远程维护和管理SSH方式;网络远程配置;图形用户界面的远程配置和监控。
其中,网页模式无需安装客户端软件,更方便灵活;图形用户界面安装更麻烦,但灵活性强。早期:很多服务器管理员,当服务器受到攻击的时候直接安装个软件防火墙。实际上这样的作用并不大,因为已经到了服务器的应用层。不管怎样,流量已经是到服务器的网卡,比如攻击者一旦加大流量,带宽耗尽自然全部挂了。
针对早几年攻击流量小作用是非常明显,而且优点是成本低,也许几百块就可以解决问题。现在时代不同了,动不动就是几十G上百G的攻击无处不在。高防CDN是从接入层以及网络层+应用层来解决问题,比较适合于现在的大流量攻击。攻击者发起攻击后,流量会直接到高防接入硬件防火墙,集群防火墙会过滤过99%以上的攻击应用,仍有大量的CC可能没有办法完全过滤。CC流量到了CDN节点服务器,通过限制访问频率以及其它防CC策略实现封停无效的IP。