防火墙的测试与选购1.ppt

防火墙的测试与选购 通常所说的“防火墙”是指位于网络连接的边界防火墙，它是内、外部网络问的第一道安全关口。如图所示的是一款边界防火墙。它的主要作用就是通过不同的过滤规划或安全防护策略保护内部网络不受外部网络的攻击。 防火墙的选购第一步 选择合适产品的一个前提条件就是，明确用户的具体需求。因此，选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。 首先，要考虑网络结构。包括网络边界出口链路的带宽要求、数量等情况，比如边界连接多个ISP;IP地址规划对防火墙地址转换的需求，比如对路由模式和NAT模式的支持;是否需要按照不同安全级别设立多个网段，如设置内网、外网、停火区等三个或三个以上网段。目前，市场上的大多防火墙都至少支持三个口，甚至更多。 　　其次，要考虑到业务应用系统需求。防火墙对特定应用的支持功能和性能，比如对视频、语音、数据库应用穿透防火墙的支持能力;防火墙对应用层信息过滤，比如对垃圾邮件、病毒、非法信息等过滤;对应用系统是否具有负载均衡功能。 　第三，要考虑用户及通信流量规模方面的需求。网络规模大小、跨防火墙访问的网络用户数量，要求防火墙具有较高的最大并发连接数;网络边界的通信流量要求防火墙具有较高的吞吐量、较低的丢包率、较低的延时等性能指标，防止出现网络性能瓶颈。 　　最后，还要考虑到可靠性、可用性、易用性等方面的需求。支撑高可用、高可靠的网络平台，要求防火墙必须达到一定的冗余能力，包括对双机热备、负载均衡、多机集群等的支持能力。对于大型网络分布式防火墙配置，要求有集中控管能力、管理界面的友好性、远程配置的安全必威体育官网网址等功能。 防火墙选购第二步—坚定选择原则 在整理出具体的需求以后，可以得到一份防火墙的需求分析报告。下一步的工作就是在众多的品牌和档次中选出满足需求的产品，并考虑一定的扩展性要求。选择的主要原则有: 　　第一，以需求为导向，选择最适合用户需求的产品。这里强调最适合并不意味着某一种或某几种性能及功能最好，因为评价一款防火墙的性能及功能指标很多，是一个大集合，用户应集中在自己真正需要的那些指标，超出用户需求子集的指标不能作为选择依据;而且不同厂家可能拥有不同的技术优势，某些指标好，某些指标弱，有时需要进行折中考虑。另外，还要考虑到用户可承受的性价比。 第二， 对于产品的选型，可参考的指标来源与厂家提供的技术白皮书、各种测评机构的横向对比测试报告，从中可以了解产品的一些基本性能情况。但由于测试时间、测试条件的差异性，把这些测试报告做横向对比的参考价值不是太高。 　　第三，要完全按照用户的实际需求来对比各种产品的满足程度，最好是根据需求，定制一套测试方案，并对防火墙在统一测试条件和测试环境下进行横向对比测试，这样出来的测试结果才真正具有可比性。关于防火墙选型测试的技术标准可以参照《包过滤防火墙安全技术要求GB/T18019-1999》、《应用级防火墙安全技术要求GB/T18020-1999》、《信息技术 安全技术 信息技术安全性评估准则GB/T18336-2001》以及RFC2544、RFC2647、RFC3511等标准和文档。 　防火墙选购第三步—明确常用指标 由于防火墙的各项指标具有较强的专业性，用户要把这些似懂非懂的指标与需求一一对应起来尚存在一定的难度，因此，用户在选择时，有必要把防火墙的主要指标和需求联系起来。 　　目前，防火墙常用的技术指标包括性能指标、功能指标、防攻击指标以及防火墙对集中管理、分级管理、日志管理等功能的支持，提供较为友好和安全的配置方式和工具等。 　　性能指标主要包括吞吐量、丢包率、延迟、最大并发连接数、并发连接处理速率等。用户在选择时，应该根据自身的网络规模和需求，对上述几个指标参数进行详细了解，选择适合的产品，可以向有关专家询问请教。 1．软、硬防火墙的选型考虑 软件防火墙是安装在计算机平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计，采用专用的网络芯片处理数据包。 第三种：芯片级防火墙 　　它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了 2．防火墙技术类型的考虑 目前在市场中的防火墙根据所采用的主要过滤技术可划分为包过滤型防火墙、应用代理型防火墙和状态包过滤型防火墙3种。 3、防火墙产品的类型——路由器集成式和硬件独立式防火墙 。 在边界防火墙中，如果从硬件结构来看的话，基本上有两大类：．路由器集成式和硬件独立式防火墙。前者是在边界路由器基础上辅以软件，添加一些包过