企業(yè)級防火墻選購,部署指南

 當(dāng)一個企業(yè)決定用防火墻來實施組織的安全策略后，下一步要做的就是選擇一個安全、實惠、合適的防火墻。選擇防火墻時，要考慮以下幾方面問題。

     一、選擇防火墻的要求 

    1?防火墻應(yīng)具備的基本功能 

     支持“除非明確允許，否則就禁止”的設(shè)計策略，即使這種策略不是最初使用的策略；本身支持安全策略，而不是添加上去的；如果組織機構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進的認證手段就可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進行包過濾，數(shù)據(jù)包的性質(zhì)有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等；

     如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議），X window，HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應(yīng)允許公眾對站點的訪問。防火墻應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。 

    2?其他功能 

     防火墻應(yīng)該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡(luò)流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡日志的能力。如果防火墻使用UNIX操作系統(tǒng)，則應(yīng)提供一個完全的UNIX操作系統(tǒng)和其他一些保證數(shù)據(jù)完整的工具，應(yīng)該安裝所有的操作系統(tǒng)的補丁程序。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運行一個管理員熟悉的操作系統(tǒng)會使管理變得簡單。 

     防火墻的強度和正確性應(yīng)該可被驗證。防火墻的設(shè)計應(yīng)該簡單，以便管理員理解和維護。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補丁程序進行升級且升級必須定期進行。 

     正像前面提到的那樣，因特網(wǎng)每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產(chǎn)生。當(dāng)新的危險出現(xiàn)時，新的服務(wù)和升級工作可能會對防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的適應(yīng)性是很重要的。 

    二、購買還是自己構(gòu)筑 

     一些企業(yè)具有自己組裝防火墻的能力，他們使用可用的軟件組件和設(shè)備或自己編寫一個防火墻程序。另外一些企業(yè)利用經(jīng)銷商提供的防火墻技術(shù)服務(wù)，例如相應(yīng)的硬件和軟件、開發(fā)安全策略、風(fēng)險評估、安全檢測和安全培訓(xùn)等。 

     企業(yè)自己構(gòu)筑防火墻的優(yōu)勢是內(nèi)部

[1] [2] [3] [4] [5] 

【企業(yè)級防火墻選購,部署指南】相關(guān)文章：

防火墻·什么是防火墻04-26

防火墻·什么是防火墻類型04-26

圣誕節(jié)出游指南：教你如何選購便宜機票04-27

部署04-30

防火墻·什么是DoS04-26

防火墻·什么是NAT04-26

防火墻·什么是DMZ04-26

孩子生命的“防火墻”04-29

防火墻技術(shù)論文09-13

防火墻·什么是硬件參數(shù)04-26