作为确保网络安全的主要设备,经过多年的发展,防火墙技术已经逐渐成熟。即使这样,用户在购买防火墙时仍需要睁大眼睛。
防火墙是一种部署在内部和外部网络边界上的访问控制设备,可防止内部和外部网络之间的未经授权的通信。防火墙主要有三种类型:简单的数据包筛选防火墙,状态/动态检测防火墙和应用程序代理防火墙。
防火墙控制是网络数据的对象。它检查用户的2到7层策略,并根据检查结果决定接受,丢弃或限制流量。尽管实际的防火墙也可以代替路由器和交换机的一部分,但是过分强调这些功能的结果只能说实话。
由于网络中引入了防火墙设备,因此防火墙的必然要求可以提供相应的支持,包括管理,环境适应性,与现有交换机/路由器的互连,吞吐量和适当的延迟。这种防火墙没有网络瓶颈。这些功能实际上是防火墙的附加要求。尽管这是必要的,但不会为用户带来附加值。它的整体要求是最好的。
尽管防火墙的开发时间比较长,但是技术相对成熟,新的防火墙概念和新技术仍在不断涌现。那么,如何真正评估防火墙?我们还必须从用户使用的角度进行深入分析,并从功能,性能,管理和稳定性三个方面进行调查。
功能,表现为“双层皮”
功能和性能一直是用户评估防火墙的主要方面,尤其是由于防火墙具有可量化的性能,它们是比较的重点,但是要真正理解这两个问题并不容易。为了适应用户环境的复杂和需要,为了有一个“卖点”,当前的防火墙通常具有很多功能,这些功能没有任何问题,例如热备功能已经过测试,动态应用程序支持还经过了测试,但是,在实际环境中,我们可以使用视频会议而无需中断热备用,从而满足视频会议的需求。
可能有些防火墙没有,而用户真正需要的是类似功能的组合。另外,防火墙功能和性能通常是独立评估的。功能测试和性能测试以及功能测试涉及单个功能。性能测试大约为2,三个简单的应用程序性能,导致性能成为功能的“双重外观”,不能真正反映防火墙功能:测试性能非常高,但是许多功能无法使用。在实际使用中,所有常用功能都已打开,并且性能变得很差。因此,有必要评估防火墙的性能和功能以评估防火墙的性能。
具体评估应从以下几个方面进行:
•2到7层访问控制功能,尤其是过滤层深度的应用。功能应该能够进行地址映射,端口映射,骨干VLAN支持,用户身份验证,动态数据包过滤以及流控制功能的任意组合。
•安全功能,着重于防突水攻击。当前,最常见和最有效的“黑客”攻击类型是DDoS(分布式拒绝服务攻击),这是由于服务器拒绝服务所致。防火墙充当网络的通道,以确保网络的安全性。需要重点关注的安全保护功能可以过滤攻击,同时确保正常访问。源地址攻击和实际源地址攻击是否可以同时有效地欺骗,可以保护服务器免受影响。此功能应能够同时或以任意组合方式进行地址映射,端口映射,主干VLAN支持,用户身份验证,动态数据包筛选,流控制等。
•实际表现。性能测试通常包括六个方面:吞吐量,延迟,丢包率,回程,并发连接数和新连接率。实际性能接近实际用户性能。
•新的连接速率。由于网络应用的波动很大,即在不同时间的访问特性不同,因此防火墙也可以适应这种情况,相应的指标和新的连接速率。考虑到用户网络的复杂性和应用,还必须打开常用功能(例如数据包过滤,内容过滤和抗攻击性)以测试新的连接速率。
管理是关键
如果用户要使用安全的防火墙系统,则必须实施一组防火墙安全策略。这对防火墙的实际操作人员提出了更高的要求。由于不同防火墙的管理差异,管理人员的管理困难可能导致配置错误,从而带来网络安全风险。由于不能要求每个网络管理员都必须是网络安全专家,因此管理是网络安全的关键。删除权限管理,通信加密等也需要着眼于管理便利性和集中管理两个方面。
单一管理很方便。防火墙应提供各种管理功能,以便管理员在不同的场合使用,例如高级管理员可以完全管理防火墙的串行命令行模式;远程维护和管理SSH模式;网络远程配置;图形用户界面远程配置和监视。
其中,网页模式不需要安装客户端软件,更加方便灵活。图形用户界面的安装比较麻烦,但是很灵活。早期:许多服务器管理员会在服务器受到攻击时直接安装软件防火墙。实际上,这种效果并不好,因为它已经到达服务器的应用程序层。无论如何,流量已经在服务器的网卡上。例如,一旦攻击者增加了流量,带宽耗尽自然就会挂断。
早期攻击流量的小影响非常明显,其优点是成本低,也许几百美元就可以解决问题。现在时代不同了。每天都有数十个G到处都有数百个G攻击。高清CDN从接入层,网络层+应用层解决了这一问题,更适合于当前的高流量攻击。攻击者发起攻击后,流量将直接进入高安全性访问硬件防火墙,而群集防火墙将过滤超过99%的攻击应用程序。仍有大量CC可能无法完全过滤。 CC流量到达CDN节点服务器,并且通过限制访问频率和其他CC预防策略来阻止无效IP。
以上来自创新互联小编的分享,创新互联为大家提供专业化服务器托管,服务器租用,主机托管,云服务器租用等服务器相关资源,详情欢迎咨询客服了解。
