搭建系統安全：手把手教你選購防火牆

【賽迪網-IT技術報道】【社區整理】對於市面上種類品牌繁多的防火牆，選購者們是不是會很頭疼呢？究竟是看重這個防火牆廠商的知名度還是它的功能？到底國內防火牆好還是國外防火牆更優秀？他們都各自有什麼優勢呢？

不同環境的網絡，對於防火牆的要求各不一樣。比如說IDS功能、VPN功能，對於一些小型的公司來說就不需要這些功能。再比如說流量和性能、處理能力之間的關係，究竟多大規模的網絡，多大的流量需要多大的性能和多強的處理能力才算是合適呢？那麼就需要選購者對於防火牆的選型方面仔細考慮了。

防火牆的分類：

第一種：軟體防火牆

這裡指的是網絡版的軟體防火牆而不是個人防火牆。個人防火牆在網上有很多可以免費下載的，不需要花錢買。軟體防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這台計算機就是整個網絡的網關。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網絡版軟體防火牆最出名的莫過於Checkpoint。

第二種：硬體防火牆

這裡說的硬體防火牆是指所謂的硬體防火牆。之所以加上"所謂"二字是針對芯片級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆，他們都基於PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。

第三種：芯片級防火牆

它們基於專門的硬體平台，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火牆速度更快，處理能力更強，性能更高。做這類防火牆最出名的廠商莫過於NetScreen.其他的品牌還有FortiNet,算是後起之秀了。

對防火牆的分類有了初步的瞭解之後，選購者比較關心的就是下面所說的這三種防火牆各自的優缺點以及這幾種防火牆對於不同的網絡環境的應用有何不同。弄清楚這些才能對防火牆本身有個比較好的瞭解，對於選購也是及其有幫助的。

在防火牆的應用上，除了防火牆的基本功能之外，還根據企業用戶的需要添加了許多其他的擴展功能。

通常有NAT、DNS、VPN、IDS等。由於軟體防火牆和硬體防火牆是運行於一定操作系統上的特定軟體，所以一些防火牆所需要實現的功能就可以像大家普遍使用的軟體一樣，分成許多個模塊。一些防火牆的廠商也是這樣做的，他們將一些擴展的功能劃分出來，如果需要使用則另行購買安裝。例如IDS功能，有些公司已經購買了專業的IDS產品，那麼防火牆上單加了一個IDS的功能則顯得有些多餘。那麼就可以不再購買防火牆中IDS的部分。

芯片級防火牆的核心部分就是ASIC芯片，所有的功能都集成做在這一塊小小的芯片上，可以選擇這些功能是否被啟用。由於有專用硬體的支持，在性能和處理速度上高出前兩種防火牆很多，在擁有全部功能後處理速度還是比較令人滿意的。

大多數人在選購防火牆的時候會著重於這個防火牆相對於其他防火牆都多出什麼功能，性能高多少之類的問題。但對於防火牆來說，自身的安全性決定著全網的安全性。

由於軟體防火牆和硬體防火牆的結構是軟體運行於一定的操作系統之上，就決定了它的功能是可以隨著客戶的實際需要而做相應調整的，這一點比較靈活。當然了，在性能上來說，多添加一個擴展功能就會對防火牆處理資料的性能產生影響，添加的擴展功能越多，防火牆的性能就越下降。

由於前兩種防火牆運行於操作系統之後，所以它的安全性很大程度上決定於操作系統自身的安全性。無論是UNIX、Linux、還是FreeBSD系統，它們都會有或多或少的漏洞，一旦被人取得了控制權，整個內網的安全性也就無從談起了，黑客可以隨意修改防火牆上的策略和訪問權限，進入內網進行任意破壞。由於芯片級防火牆不存在這個問題，自身有很好的安全保護，所以較其他類型的防火牆安全性高一些。

芯片級防火牆專有的ASIC芯片，促使它們比其他種類的防火牆速度更快，處理能力更強。專用硬體和軟體強大的結合提供了線快速處理深層次信息包檢查、堅固的加密、複雜內容和行為掃瞄功能的優化。不會在網絡流量的處理上出現瓶頸。

防毒對於一個企業來說也是必不可少的。芯片級防火牆的後起之秀Fortinet就可以在網關處結合FortiContent技術為各種網絡資料交易和企業網絡進行高級別的病毒安全防護,保護內部網絡的安全。大部分防火牆都可以與防病毒軟體搭配實現掃毒功能，而掃毒功能通常是由其他的server來實現處理的。如此互動，與在防火牆在進行流量處理的同時就完成的掃毒功能相比自然是差了許多。

在小型且不需要其他特殊功能的網絡來說，硬體防火牆無非是比較好的選擇。由於不需要擴展功能，或者擴展功能用的比較少，另行購買的模塊就少，在價格上和使用方面就比芯片級要合算。

在瞭解了防火的種類以及它們各自的優缺點之後，在具體進行選購時，還應該就每台防火牆的各項參數指示進行對比，從眾多的型號中選出真正適合自己企業的防火牆，這將是我們下一部分所要講述的內容。

防火牆選型中的關鍵參數詳解

在防火牆的選型中離不開那些參數，而搞懂那些參數意味著選購者能買到一款稱心如意的防火牆。

並發會話數

並發會話連接數指的是防火牆或代理伺服器對其業務信息流的處理能力，是防火牆能夠同時處理的點對點會話連接的最大數目，它反映防火牆對多個連接的訪問控制能力和連接狀態跟蹤能力。這個參數的大小可以直接影響到防火牆所能支持的最大信息點數。

大多數人也許不明白，普通會話數會有幾千到幾十萬不等，那麼是不是內網中的機器數量跟會話數有直接聯繫呢？想到這裡，其實答案馬上就能出來了。舉例說明，一個並發會話數代表一台機器打開的一個窗口或者一個頁面。那麼內網中一台機器同時開很多頁面，並且聊天工具或者網絡遊戲同時進行著，那麼這一台機器佔用的會話數就會有幾十到幾百不等。內網中同時在線的機器數量越多，需要的會話數就越多。所以，根據防火牆的型號不同，型號越大，並發會話數就會越多。

在一些防火牆中還有另外一個概念，那就是每秒新建會話數。假設在第一時間，已經佔用了防火牆的全部會話數，在下一秒，就要等待防火牆處理完之前不需要的會話數才能讓需要的人繼續使用剩餘的會話數。那麼這個每秒新增會話數就很重要了。如果每秒新增會話數不夠的話，剩下的人就要等待有新的會話數出來。那麼就會體現為上網速度很慢。瞭解了這一情況，選購者就不會承擔這個防火牆導致網速變慢的黑鍋了。

性能

防火牆的性能對於一個防火牆來說是至關重要的，它決定了每秒鐘可能通過防火牆的最大資料流量，以bps為單位。從幾十兆到幾百兆不等，千兆防火牆還會達到幾個G的性能。關於性能的比較，參看防火牆的彩頁介紹就可以比較的出來，比較明瞭。

工作模式

目前市面上的防火牆都會具備三種不同的工作模式，路由模式、NAT模式還有透明模式。

透明模式時，防火牆過濾通過防火牆的封包，而不會修改資料包包頭中的任何來源或目的地信息。所有接口運行起來都像是同一網絡中的一部分。此時防火牆的作用更像是Layer 2(第2層)交換機或橋接器。在透明模式下，接口的IP地址被設置為0.0.0.0，防火牆對於用戶來說是可視或"透明"的。

處於"網絡地址轉換(NAT)"模式下時，防火牆的作用與Layer 3(第3層)交換機(或路由器)相似，將綁定到外網區段的IP封包包頭中的兩個組件進行轉換：其源IP地址和源端口號。防火牆用目的地區段接口的IP地址替換發送封包的主機的源IP地址。另外，它用另一個防火牆生成的任意端口號替換源端口號。

路由模式時，防火牆在不同區段間轉發信息流時不執行NAT；即，當信息流穿過防火牆時，IP封包包頭中的源地址和端口號保持不變。與NAT不同，不需要為了允許入站會話到達主機而建立路由模式接口的映射和虛擬IP地址。與透明模式不同，內網區段中的接口和外網區段中的接口在不同的子網中。

管理界面

管理一個防火牆的方法一般來說是兩種：圖形化界面(GUI)和命令行界面(CLI)。

圖形界面最常見的方式是通過web方式(包括http和https)和java等程序編寫的界面進行遠程管理；命令行界面一般是通過console口或者telnet/ssh進行遠程管理。

接口

防火牆的接口也分為以太網口(10M)、快速以太網口(10/100M)、千兆以太網口(光纖接口)三種類型。防火牆一般都預先設有具有內網口、外網口和DMZ區接口和默認規則，有的防火牆也預留了其它接口用於用戶自定義其它的獨立保護區域。防火牆上的RS232 Console口主要用於初始化防火牆時的進行基本的配置或用於系統維護。另外有的防火牆還有可能提供PCMCIA插槽、IDS鏡像口、高可用性接口(HA)等，這些是根據防火牆的功能來決定的。

策略設置

防火牆提供具有單個進入和退出點的網絡邊界。由於所有信息流都必須通過此點，因此可以篩選並引導所有通過執行策略組列表(區段間策略、內部區段策略和全局策略)產生的信息流。

策略能允許、拒絕、加密、認證、排定優先次序、調度以及監控嘗試從一個安全區段流到另一個安全區段的信息流。可以決定哪些用戶和信息能進入和離開，以及它們進入和離開的時間和地點。

簡單的說，防火牆應該具有靈活的策略設置，針對源和目的IP地址、網絡服務以及時間幾個方面實施不同的安全策略。

內容過濾

面對當前互聯網上的各種有害信息，有的防火牆還增加了URL阻斷、關鍵詞檢查、Java Apple、ActiveX和惡意腳本過濾等。

入侵檢測

黑客普通攻擊的實時檢測。實時防護來自IP Source Routing、IP Spoofing、SYN flood、ICMP flood、UDP flood、Address sweep、Tear drop attack、Winnuke attack、Port Scan Attack、Ping of Death、Land attack、拒絕服務和許多其他的攻擊。並且在檢測到有攻擊行為時能通過電子郵件或其它方式通知系統管理員。

用戶認證

完善的用戶認證機制，可以指定內部用戶必須經過認證，方可訪問不可信網絡。防火牆可以限定只有授權用戶可以通過防火牆進行一些有限制的活動，可以使用內建用戶資料庫、外部Raduis資料庫或IP/MAC綁定等多數認證方式，對於內部網絡的安全又多了一層保障。

虛擬專用網VPN

在網絡之間或網絡與客戶端之間進行安全通訊。可以支持的最大VPN數目，支持的加密方式(手工密鑰、IKE、PKI、DES、3DES和AES加密等)，是否支持完全的正反向加密，是否有冗余的VPN網關。

一般異地辦公的網絡都會注意這點。尤其是加密方式。不過硬的加密方式會導致黑客竊取機密文件等。所以加密的方式越高級越好。

日誌/監控

防火牆對受到的攻擊和通過防火牆的請求應具有完備的日誌功能，包括安全日誌、時間日誌和傳輸日誌。最好可以通過同步分析軟體同步到指定主機上，實現對日誌的詳盡審計。

高可用性

提高可用性和負載分配。HA端口：專用於兩點間通訊連接。分兩種工作方式：一是兩台防火牆同時工作，共同負擔網絡流量，在其中一台防火牆中斷的同時，另外一台自動接管所有任務，保證不會發生網絡中斷；另外一種是在同一時間只使用其中一台防火牆，當其不能正常工作時，另外一台防火牆立刻接管當前的防火牆，不會造成網絡中斷。

寫在最後

掌握了文章中提到的這些關鍵性要素對於選購防火牆的標準相信就可以有一個明確的概念了，也希望能通過本文幫助您選購到稱心的防火牆產品。

（