教你鑒別硬件防火墻性能的差異

一、網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制
    所有防火墻都必須具備此項(xiàng)功能，否則就不能稱(chēng)其為防火墻。當(dāng)然，大多數(shù)的路由器也可以通過(guò)自身的ACL來(lái)實(shí)現(xiàn)此功能。
    1.規(guī)則編輯
    對(duì)網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制主要表現(xiàn)在防火墻的規(guī)則編輯上，我們一定要考察:對(duì)網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制是否可以通過(guò)規(guī)則表現(xiàn)出來(lái)?訪(fǎng)問(wèn)控制的粒度是否足夠細(xì)?同樣一條規(guī)則，是否提供了不同時(shí)間段的控制手段?規(guī)則配置是否提供了友善的界面?是否可以很容易地體現(xiàn)網(wǎng)管的安全意志?
    2.IP/MAC地址綁定
    同樣是IP/MAC地址綁定功能，有一些細(xì)節(jié)必須考察，如防火墻能否實(shí)現(xiàn)IP地址和MAC地址的自動(dòng)搜集?對(duì)違反了IP/MAC地址綁定規(guī)則的訪(fǎng)問(wèn)是否提供相應(yīng)的報(bào)警機(jī)制?因?yàn)檫@些功能非常實(shí)用，如果防火墻不能提供IP地址和MAC地址的自動(dòng)搜集，網(wǎng)管可能被迫采取其他的手段獲得所管轄用戶(hù)的IP與 MAC地址，這將是一件非常乏味的工作。
    3、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)
    這一原本路由器具備的功能已逐漸演變成防火墻的標(biāo)準(zhǔn)功能之一。但對(duì)此一項(xiàng)功能，各廠(chǎng)家實(shí)現(xiàn)的差異非常大，許多廠(chǎng)家實(shí)現(xiàn)NAT功能存在很大的問(wèn)題:難于配置和使用，這將會(huì)給網(wǎng)管員帶來(lái)巨大的麻煩。我們必須學(xué)習(xí)NAT的工作原理，提高自身的網(wǎng)絡(luò)知識(shí)水平，通過(guò)分析比較，找到一種在NAT配置和使用上簡(jiǎn)單處理的防火墻。
    二、應(yīng)用層的訪(fǎng)問(wèn)控制
    這一功能是各個(gè)防火墻廠(chǎng)商的實(shí)力比拼點(diǎn)，也是最出彩的地方。因?yàn)楹芏嗷诿赓M(fèi)操作系統(tǒng)實(shí)現(xiàn)的防火墻雖然可以具備狀態(tài)監(jiān)測(cè)模塊(因?yàn)長(zhǎng)inux、FreeBSD等的內(nèi)核模塊已經(jīng)支持狀態(tài)監(jiān)測(cè))，但是對(duì)應(yīng)用層的控制卻無(wú)法實(shí)現(xiàn)“拿來(lái)主義”，需要實(shí)實(shí)在在的編程。
    對(duì)應(yīng)用層的控制上，在選擇防火墻時(shí)可以考察以下幾點(diǎn)。
    1.是否提供HTTP協(xié)議的內(nèi)容過(guò)濾?
    目前企業(yè)網(wǎng)絡(luò)環(huán)境中，最主要的兩種應(yīng)用是WWW訪(fǎng)問(wèn)和收發(fā)電子郵件。能否對(duì)WWW訪(fǎng)問(wèn)進(jìn)行細(xì)粒度的控制反映了一個(gè)防火墻的技術(shù)實(shí)力。
    2.是否提供SMTP協(xié)議的內(nèi)容過(guò)濾?
    對(duì)電子郵件的攻擊越來(lái)越多:郵件炸彈、郵件病毒、泄漏機(jī)密信息等等，能否提供基于SMTP協(xié)議的內(nèi)容過(guò)濾以及過(guò)濾的粒度粗細(xì)成了用戶(hù)關(guān)注的焦點(diǎn)。
    3. 是否提供FTP協(xié)議的內(nèi)容過(guò)濾?
    在考察這一功能時(shí)一定要細(xì)心加小心，很多廠(chǎng)家的防火墻都宣傳說(shuō)具備FTP的內(nèi)容過(guò)濾，但細(xì)心對(duì)比就會(huì)發(fā)現(xiàn)，其中絕大多數(shù)僅實(shí)現(xiàn)了FTP協(xié)議中兩個(gè)命令的控制:PUT和GET。好的防火墻應(yīng)該可以對(duì)FTP其他所有的命令進(jìn)行控制，包括CD、LS等，要提供基于命令級(jí)控制，實(shí)現(xiàn)對(duì)目錄和文件的訪(fǎng)問(wèn)控制，全部過(guò)濾均支持通配符。