企業級防火墻選購,部署指南

     一、選擇防火墻的要求 

    1?防火墻應具備的基本功能 

     支持“除非明確允許，否則就禁止”的設計策略，即使這種策略不是最初使用的策略；本身支持安全策略，而不是添加上去的；如果組織機構的安全策略發生改變，可以加入新的服務；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術允許和禁止服務；可以使用FTP和Telnet等服務代理，以便先進的認證手段就可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據數據包的性質進行包過濾，數據包的性質有目標和源IP地址、協議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網絡接口等；

     如果用戶需要NNTP（網絡消息傳輸協議），X window，HTTP和Gopher等服務，防火墻應該包含相應的代理服務程序。防火墻也應具有集中郵件的功能，以減少SMTP服務器和外界服務器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應允許公眾對站點的訪問。防火墻應把信息服務器和其他內部服務器分開。 

    2?其他功能 

     防火墻應該能夠集中和過濾撥入訪問，并可以記錄網絡流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應具有精簡日志的能力。如果防火墻使用UNIX操作系統，則應提供一個完全的UNIX操作系統和其他一些保證數據完整的工具，應該安裝所有的操作系統的補丁程序。雖然沒有必要讓防火墻的操作系統和公司內部使用的操作系統一樣，但在防火墻上運行一個管理員熟悉的操作系統會使管理變得簡單。 

     防火墻的強度和正確性應該可被驗證。防火墻的設計應該簡單，以便管理員理解和維護。防火墻和相應的操作系統應該用補丁程序進行升級且升級必須定期進行。 

     正像前面提到的那樣，因特網每時每刻都在發生著變化，新的易攻擊點隨時可能會產生。當新的危險出現時，新的服務和升級工作可能會對防火墻的安裝產生潛在的阻力，因此防火墻的適應性是很重要的。 

    二、購買還是自己構筑 

     一些企業具有自己組裝防火墻的能力，他們使用可用的軟件組件和設備或自己編寫一個防火墻程序。另外一些企業利用經銷商提供的防火墻技術服務，例如相應的硬件和軟件、開發安全策略、風險評估、安全檢測和安全培訓等。 

     企業自己構筑防火墻的優勢是內部

[1] [2] [3] [4] [5]