經典回顧：十戒　認清防火牆評測與管理

【賽迪網-IT技術報道】2007年，筆者一共寫了兩篇防火牆管理方面的評論，一篇是《中國計算機報》上《防火牆測評需規避六個誤區》，一篇是《計算機世界》上的《防火牆管理四大傻》。兩大IT傳媒，正好一家來了一篇。

6加上4，正好是10條。前6條教大家怎麼買牆，後4條教大家怎麼用牆。仔細想想，確實可以算是防火牆管理的10條警言了，整合起來，很值得防火牆管理者們參考。注意，管理者的範疇不僅是管理員，還有決策者。

重新列一下：

防火牆測評－－買

第一條：不要誤信含糊實驗條件的驚人數字

親閱過無數防火牆產品廣告，一個個白紙黑字標稱的4G吞吐量讓人炫目，但如果把「64字節小包」、「線速」、「堅持幾分鐘」之類字眼拋出來，銷售人員就會對吞吐量自己先變的吞吞吐吐起來。所以不能輕信廠商提供的各項資料，必須拿標準實驗條件的測試結果來比對，或者重新搭建環境親自來測試。

第二條：不要喜歡數字，而不考慮可管理性

在測評中，用戶往往過多地關注性能數字，但對於實際的網絡安全管理來講，兩種產品間2%的差異、5%的差異就算10%的差異，真的能帶來本質的區別麼？一台防火牆配置界面操作是否方便？有否完備的日誌管理功能？本牆能否儲存日誌？有無月度CPU、記憶體統計功能？可否方便查詢已配策略……比起性能數字來，測評這些看似不切主題，但這種問題可是「誰用誰知道」！

第三條：不要關注花哨功能，卻不瞭解性能的隱憂

這年頭的防火牆，功能都是多多的，訪問控制、防病毒、入侵檢測/防禦、VPN，叫功能異構也好，叫統一威脅管理也好，像個雜貨鋪一樣。說這些功能「花哨」，是因為它們啟動起來，對硬體資源性能的吞噬能力超乎人的想像。所以，擬定測評方案時就輕易不要把這些列在功能項裡了吧？

第四條：不要不科學看待高性能硬體架構

硬體防火牆的性能高下離不開硬體架構種類。所謂高性能硬體架構，是對應於X86的傳統工控機架構而言的，常見的有NP、ASIC等。對於高性能硬體架構，我們既不能不關注，也不能迷信。但關注的同時，又不能過分推崇「NP」「ASIC」，因為，最強的不一定是最好的和最適合你的。

第五條：不要不結合自己網絡特點考慮，不結合自己的安全戰略考慮

脫離了用戶自身的網絡環境特點來測試防火牆是很不科學的，不基於自己安全戰略設計防火牆測試指標，更是背離了產品應用的初衷。網絡特點告訴用戶自己的網裡在跑什麼樣的包，構成成分、多大、什麼協議。安全戰略告訴用戶防火牆買了是為了做什麼，要怎麼部、怎麼配、怎麼管。我們要為了「部」、「配」、「管」而「選」而「測」。

第六條：不要不警惕測試中的作弊行為

產品銷售與購買屬於商業行為，商業就不得不提防欺騙，在測試中則是要警惕作弊行為。假設極個別廠商製作了專門用來測試的高性能「競爭測試版」產品唬人，假設極個別廠商在設備內作一些手腳(如用網線直接連通)，那麼整個測試結果就會對其他誠信的廠商很不公平。

防火牆管理－－用

第七條：不能對防火牆期望過高

防火牆，顧名思義，是旨在防範威脅之「火」的牆。不幸的是，這只是一廂情願，管理員在防火牆上合理合法地為Web服務開一個80端口，黑客就可以利用軟體漏洞來個SQL注入或者跨站攻擊。客觀地講，沒有防火牆是萬萬不能的，但有了防火牆不是萬能的。

而用戶們常常認識不到這點，要麼以為邊界上部署了防火牆就可以高枕無憂，要麼把安全責任一股腦推到網管或防火牆管理員頭上，要麼凡是想重點保護什麼信息資產就一定用防火牆把它罩起來……這樣過高期望防火牆功效，會讓整個信息系統疏於防範，建設投入不當，最終導致信息系統在高風險層面運轉－－說它為「傻」並不為過。

科學的做法是，對防火牆保持正確清醒的認識，理解它是網絡層通信行為控制的有力武器，能為訪問控制提供強有力的支撐，但它在安全方面的作用也只限於此，安全世界裡有更多更重要的工作要留給其他安全技術實現，不要對防火牆有不切實際的期望。

第八條：不能對防火牆未以重任

把防火牆定位為「網絡層通信行為控制的有力武器」，有的讀者會說這種觀念太陳舊，認為現在應用層防火牆遍地都是，為什麼要忽視防火牆的應用層控制能力？這就正應了防火牆管理的第二傻，給防火牆分配了與其能力不相當的重任。

我們固然可以在防火牆上開啟反病毒、入侵檢測、抗DoS攻擊等諸多其實連廠家都不真心推薦的功能，但這樣的後果就是產品性能大受損耗，防火牆的CPU和記憶體在高風險位運轉，甚至幫助入侵者實現他們夢寐以求的「拒絕服務」。

這麼做確實很傻，有不少用戶寄希望於外國的名牆、好牆能實現一牆多能，或者寄希望於ASIC把防火牆變得多才多藝，或者寄希望於小企業小環境使用。殊不知－－外國牆也一樣有性能損耗，老外反入侵也仰仗IPS；ASIC尚無法完全賦予防火牆這麼好的身手; 小企業首先未必有這麼豐富的安全需求，就算有，防火牆性能不足也一樣會殃及小企業。

科學的做法是，讓防火牆做好本職工作，盡量避免讓它兼職或做第二職業。

第九條：不能對防火牆濫用異構

異構是體現安全管理中冗余思想的一種好方法，會增加安全保障係數。但什麼事情都怕做過頭了，我們可以適當採用異構，但如果迷信異構，濫用異構，就會成為防火牆管理的第三傻－－不管有無實際需要，用兩個品牌的防火牆串起來保護。

濫用異構經常會導致無用功。其實防火牆的訪問控制，可以被比喻成保安在門口查驗來客的身份證，不管設多少層崗，查的內容如果一樣就毫無意義。即使你用中外保安各一個，他們也都是在看阿拉伯數字，沒什麼區別（當然，如果某些用戶應國家法律或監管需要而進行中外防火牆異構，要另當別論）。濫用異構的另一個重大危害是帶來管理的複雜性，不同品牌防火牆的協同管理會很辛苦。

科學的做法是，慎重考慮防火牆異構問題，按需部署，不要過分推崇異構，以免走上濫用之路。

第十條：不能讓防火牆規則粗放

防火牆的看家本事是執行檢查工作。一項檢查工作是否有效，關鍵看檢查依據定得如何，而防火牆的檢查依據就是訪問控制規則。

防火牆的訪問控制規則有兩個要素，一是控制服務（通信端口）；二是控制訪問源、目的地址（IP）。用戶一般都知道嚴格控制前者，但對後者有時就粗放管理。如果用戶使用了其他認證手段，在地址控制上粗放些倒無可厚非，否則就是第四傻。

其實網絡訪問控制中，控制地址的重要性大於控制服務。服務由系統提供，理論上講，系統安全做好了，關閉了不必要的端口併除去同一安全域內互訪的端口，剩下的端口或許都得對外開放，只是開放的源地址不同。這就凸顯了控制地址的重要性。

而且要控制地址，就需要控制到具體的IP。除非諸如80端口之類確實要對任何應用提供服務的端口，否則不要輕易開放網段。另外，開放C類段未必比B類段安全很多，就像原本是要篩沙子的密格濾網，你開小窟窿和開大窟窿有多少本質區別呢？

有人可能會說，如此詳細控制會讓規則激增，防火牆不堪重負。這個問題要靠改善網絡部署或採用其他認證手段為防火牆代勞，不能為了性能就不堅持訪問控制的安全性原則。

科學的做法是，防火牆要對地址嚴格細緻地控制，如果性能不濟，通過綜合規劃來解決，不能因為「將就」而留下安全隱患。

以上是筆者總結的防火牆管理中的幾個誤區，值得用戶和工程實施人員關注。雖然「傻」這個字顯得很絕對，但為了不被惡意入侵者事後同樣用這個字嘲笑我們，大家還是事前把自己看得傻一點好。

(