6.在防火牆設計中需要做哪些基本設計決策?
在負責防火牆的設計、制定工程計畫以及實施或監督安裝的幸運兒面前,有許多基本設計問題等著他去解決。
首先,最重要的問題是,它應體現你的公司或機構打算如何運行這個系統的策略:安裝後的防火牆是為了明確地拒絕除對於連接到網路至關重的服務之外的所有服務,或者,安裝就緒的防火牆是為以非威脅方式對“魚貫而入”的訪問("queuing" access)提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執狂;防火牆的最終功能可能將是行政上的結果,而非工程上的決策。
第二個問題是:你需要何種程度的監視、冗餘度以及控制水準?通過解決第一個問題,確定了可接受的風險水準(例如你的偏執到何種程度)後,你可以列出一個必須監測什麼傳輸、必須允許什麼傳輸流通行以及應當拒絕什麼傳輸的清單。換句話說,你開始時先列出你的總體目標,然後把需求分析與風險評估結合在一起,挑出與風險始終對立的需求,加入到計畫完成的工作的清單中。
第三個問題是財務上的問題。在此,我們只能以模糊的表達方式論述這個問題,但是,試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如,一個完整的防火牆的高端產品可能價值10萬美元,而低端產品可能是免費的。像在Cisco或類似的路由器上做一些奇妙的配置這類免費選擇不會花你一分錢,只需要工作人員的時間和幾杯咖啡。從頭建立一個高端防火牆可能需要幾個人工月,它可能等於價值3萬美元的工作人員工資和利潤。系統管理開銷也是需要考慮的問題。建立自行開發的防火牆固然很好,但重要的是使建立的防火牆不需要費用高昂的不斷干預。換句話說,在評估防火牆時,重要的是不僅要以防火牆目前的費用來評估它,而且要考慮到像支持服務這類後續費用。
出於實用目的,我們目前談論的是網路服務提供商提供的路由器與你內部網路之間存在的靜態傳輸流路由服務,因此基於為一事實,在技術上,還需要做出幾項決策。傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現,或通過代理網關和服務在應用層實現。
需要做出的決定是,是否將暴露的簡易機放置在外部網路上為telnet、ftp、news等運行代理服務,或是否設置像篩檢程式這樣的遮罩路由器,允許與一臺或多臺內部電腦的通信。這兩種方式都存在著優缺點,代理機可以提供更高水準的審計和潛在的安全性,但代價是配置費用的增加,以及可能提供的服務水準的降低(由於代理機需要針對每種需要的服務進行開發)。由來以久的易使性與安全性之間的平衡問題再次死死地困擾著我們。
作為保護網路的主力安全設備,經過多年的發展,防火牆的技術已經逐步趨於成熟。即便如此,用戶在選購防火牆時仍需擦亮眼睛。
防火牆是一種部署在內外網邊界上的訪問控制設備,用來防止未經授權的通信進出被保護的內部網路,通過邊界控制強化內部網路的安全策略。防火牆主要分為簡單包過濾防火牆、狀態/動態檢測防火牆、應用程式代理防火牆三種。
附加功能適用就好
防火牆控制的對象是網路數據,通過執行用戶針對2~7層制定的策略進行檢查,根據檢查結果決定接受、丟棄還是限制流量。雖然實際上防火牆也可以替換一部分路由器和交換機的功能,但過分強調這些功能的結果只能是捨本逐末。
由於在網路中引入了防火牆設備,必然要求防火牆能夠提供相應的支持,包括可管理、環境適應能力、與已有交換機/路由器的互聯互通、一定的吞吐能力和適當的延遲等,這樣防火牆才不會成為網路瓶頸。這些功能實際上是對防火牆的附加要求,雖然是必要的,但不會給用戶帶來增值,其總體要求是“適合就是最好的”。
雖然防火牆發展時間比較長,技術相對成熟,但關於防火牆的新概念、新技術仍然層出不窮。那麼,應該如何真實評價防火牆呢?還得從用戶使用的角度深入分析,從功能/性能、管理、穩定性三方面進行考察。
功能、性能不能“兩層皮”
功能和性能一直是用戶評價防火牆的主要方面,尤其是性能由於其可量化,更是對比的重點,但真正搞明白這兩個問題卻不容易。
為了適應用戶的複雜環境和需求,也為了擁有“賣點”,現在的防火牆一般具有很多功能,這些功能單獨看都沒什麼問題,比如雙機熱備功能已經通過測試,H.323動態應用支持也測試通過,但在實際環境中,我們可能需要在雙機熱備情況下使用H.323視頻會議,並要求切換時視頻不中斷,這樣可能有的防火牆就不行了,而類似的組合功能卻是用戶真正需要的。此外,防火牆的功能和性能一般會獨立評估,分為功能測試和性能測試兩部分,功能測試關心單個功能有無,性能測試關心二、三層簡單應用的性能,結果導致功能性能“兩層皮”,不能真正反映防火牆能力:測試中性能很高,但很多功能不能用,在實際使用中,當把常用的功能都打開後,性能變得很低。因此,必須把性能和功能評估結合起來才能真實評價防火牆。具體的評價應從以下幾方面入手:
2~7層訪問控制功能,尤其是應用層深度過濾。該功能應該能和地址映射、端口映射、VLAN Trunk支持、用戶認證、動態包過濾、流量控制等功能任意組合使用。
安全功能,重點是抗Synflood。目前,在“駭客”的攻擊行為中,使用最多、最有效的是DDoS(分佈式拒絕服務攻擊),它造成的結果是伺服器拒絕服務。防火牆作為網路的單一通道,要保證受保護網路的安全,需要重點考察安全防護功能能否在過濾攻擊的同時保證正常訪問,是否對偽造源地址攻擊和真實源地址攻擊同時有效,能否保護伺服器免受衝擊。該功能應能和地址映射、端口映射、VLAN Trunk支持、用戶認證、動態包過濾、流量控制等同時或任意組合使用。
實用性能。性能測試一般包括6個主要方面:吞吐量、延遲、丟包率、背靠背、併發連接數、新建連接速率,實用性能即考察在接近用戶真實使用情況下的性能。
新建連接速率。由於網路應用具有波動性大,即不同時間訪問量差異很大的特點,要求防火牆也能適應這種情況,相應的考量指標即新建連接速率。考慮到用戶網路和應用的複雜性,還需要打開常用功能,例如:包過濾、內容過濾、抗攻擊等情況下測試新建連接速率。
管理是關鍵
用戶要使用一個安全的防火牆系統,就需要實行一套安全的防火牆策略,這就對防火牆的實際操作人員提出了較高要求。由於不同防火牆在管理上存在差異,因此,管理的難易程度可能造成管理員的錯誤配置,使網路產生安全隱患。因為無法要求每個網路管理員都是網路安全專家,所以管理是網路安全的關鍵。除去許可權管理、通信加密外,還需要重點考察單機管理方便性和集中管理這兩個方面。
就單機管理方便性來說,防火牆應能提供多種管理方式,供管理員在不同場合使用,例如:串口命令行方式適合水準較高的管理員對防火牆進行全面管理;SSH方式適合遠程維護管理;Web方式適合遠程配置;GUI方式適合遠程配置和監控。其中,Web方式不用安裝客戶端軟體,比較方便靈活;GUI安裝比較麻煩,但靈活性較強。
另外,防火牆的大客戶、行業客戶很多,管理成本可能非常高,能否對防火牆進行集中管理也很重要,包括安全策略集中定制和下發、日誌集中管理與分析、設備級聯管理與即時監控等。其中,策略的集中管理最重要,因為需要保證整個企業的策略一致和安全。
綜合考察穩定性
防火牆因為串接在網路中,一旦出現故障則會導致網路中斷,因此,穩定性是評價防火牆的一個重要指標。由於種種原因,有些系統尚未最後定型或未經過嚴格的大量測試就被推向了市場,其穩定性可想而知。但穩定性很難直接測試,一般來說,一些久經考驗的系統的穩定性才有一定保證,如果是新的軟體或硬體系統,需要在應用中不斷完善才能逐漸穩定。用戶可以通過權威的測評認證機構、實際調查、試用、廠商實力等多個方面加以判斷。 |