教你鑒別硬件防火墻性能的差異

一、網(wǎng)絡(luò)層的訪問控制
    所有防火墻都必須具備此項功能，否則就不能稱其為防火墻。當然，大多數(shù)的路由器也可以通過自身的ACL來實現(xiàn)此功能。
    1.規(guī)則編輯
    對網(wǎng)絡(luò)層的訪問控制主要表現(xiàn)在防火墻的規(guī)則編輯上，我們一定要考察:對網(wǎng)絡(luò)層的訪問控制是否可以通過規(guī)則表現(xiàn)出來?訪問控制的粒度是否足夠細?同樣一條規(guī)則，是否提供了不同時間段的控制手段?規(guī)則配置是否提供了友善的界面?是否可以很容易地體現(xiàn)網(wǎng)管的安全意志?
    2.IP/MAC地址綁定
    同樣是IP/MAC地址綁定功能，有一些細節(jié)必須考察，如防火墻能否實現(xiàn)IP地址和MAC地址的自動搜集?對違反了IP/MAC地址綁定規(guī)則的訪問是否提供相應(yīng)的報警機制?因為這些功能非常實用，如果防火墻不能提供IP地址和MAC地址的自動搜集，網(wǎng)管可能被迫采取其他的手段獲得所管轄用戶的IP與 MAC地址，這將是一件非常乏味的工作。
    3、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)
    這一原本路由器具備的功能已逐漸演變成防火墻的標準功能之一。但對此一項功能，各廠家實現(xiàn)的差異非常大，許多廠家實現(xiàn)NAT功能存在很大的問題:難于配置和使用，這將會給網(wǎng)管員帶來巨大的麻煩。我們必須學(xué)習(xí)NAT的工作原理，提高自身的網(wǎng)絡(luò)知識水平，通過分析比較，找到一種在NAT配置和使用上簡單處理的防火墻。
    二、應(yīng)用層的訪問控制
    這一功能是各個防火墻廠商的實力比拼點，也是最出彩的地方。因為很多基于免費操作系統(tǒng)實現(xiàn)的防火墻雖然可以具備狀態(tài)監(jiān)測模塊(因為Linux、FreeBSD等的內(nèi)核模塊已經(jīng)支持狀態(tài)監(jiān)測)，但是對應(yīng)用層的控制卻無法實現(xiàn)“拿來主義”，需要實實在在的編程。
    對應(yīng)用層的控制上，在選擇防火墻時可以考察以下幾點。
    1.是否提供HTTP協(xié)議的內(nèi)容過濾?
    目前企業(yè)網(wǎng)絡(luò)環(huán)境中，最主要的兩種應(yīng)用是WWW訪問和收發(fā)電子郵件。能否對WWW訪問進行細粒度的控制反映了一個防火墻的技術(shù)實力。
    2.是否提供SMTP協(xié)議的內(nèi)容過濾?
    對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、泄漏機密信息等等，能否提供基于SMTP協(xié)議的內(nèi)容過濾以及過濾的粒度粗細成了用戶關(guān)注的焦點。
    3. 是否提供FTP協(xié)議的內(nèi)容過濾?
    在考察這一功能時一定要細心加小心，很多廠家的防火墻都宣傳說具備FTP的內(nèi)容過濾，但細心對比就會發(fā)現(xiàn)，其中絕大多數(shù)僅實現(xiàn)了FTP協(xié)議中兩個命令的控制:PUT和GET。好的防火墻應(yīng)該可以對FTP其他所有的命令進行控制，包括CD、LS等，要提供基于命令級控制，實現(xiàn)對目錄和文件的訪問控制，全部過濾均支持通配符。