如何选择一个好的防火墙呢?
一、自身的安全性。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。
二、系统的稳定性。由于种种原因,有些系统尚未最后定型或经过严格的大量测试就被推向了市场,其稳定性可想而知。可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断;
三、是否高效。一般来说,防火墙加载上百条规则,其性能下降不应超过 5~10 %(指包过滤防火墙);
四、是否可靠。有较高的生产标准和设计冗余度能提高系统可靠性的;
五、是否功能灵活、强大。例如对普通用户,只要对 IP 地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问。
六、是否配置方便。
七、是否可以抵抗拒绝服务攻击。在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法。目前有很多防火墙号称可以抵御拒绝服务攻击,但严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击;
八、是否可扩展、可升级。
群雄逐鹿,谁能胜出?大家都知道拒绝服务(DOS)攻击中的SYN DOS拒绝服务攻击吧,它是最常见最滥用的拒绝服务模式。对于恶意攻击者来说他们使用一些特殊工具大量产生这种导致服务器等待的虚假IP地址的SYN数据包,由于这个IP地址根本没有机器存在,自然不会有任何回应,所以服务器只有傻乎乎的为这些数据包做了个列表,然后一个一个等下去!这些等待花去的时间累加起来就变成了影响正常数据传输的原因,因为攻击者不停发送SYN数据包,服务器就无限的等下去,其他数据包就进不去服务器了。很多人只能痛心的看着他们的服务器被SYN数据包折磨得CPU持久不下100%……它甚至是目前绝大多数防火墙无法防护的,因为要防护这种攻击必须要求防火墙具有数据流指纹检测技术,由于技术含量非常高,大多数宣称使用类似技术的防火墙大都只是局部的应用,所以无法防护大规模的SYN DDOS攻击。
目前市面上极受关注的防火墙技术数据流指纹检测技术,就是专门来抵御大规模的SYN DOS攻击的。傲盾产品,这个已有3年多的发展历史的老牌防火墙,相信大家并不会感到陌生,其就是使用了目前最先进的第三代防火墙技术数据流指纹检测技术,并具有完全知识版权的防火墙,能有效阻止臭名昭著的“拒绝服务”(DOS)攻击和“分布式拒绝服务”(DDOS),保护服务器免受来自Internet上的黑客和入侵者的攻击、破坏。近日,由傲盾公司自主研发的新产品傲盾防拒绝服务系统通过了公安部计算机信息系统安全产品质量监督检验中心认证,提供各种企业级功能防火墙产品,无论从效率、稳定性、安全性和透明性等方面都领先于同类产品,是目前世界上性能价格比最高的网络防火墙产品。目前傲盾防火墙产品并由“2004全国百强商业网站”商务中国(www.bizcn.com )全国独家发售。
产品特点
值得一提的是,可靠性对防火墙类访问控制设备来说是最为重要的,直接影响受控网络的可用性。那么我们从从系统设计上来看看傲盾防火墙如何做到可靠性。傲盾防火墙采用专门设计、自行开发的独立操作系统的网络核心,使得它有着最贴近系统底层的高效率。并且,由于完全是自行开发的系统,使得它可以告别一切不稳定的因素。核心数据流指纹检测技术,可以确保每个进入的数据包都是合法有效的,一旦确认,连接的合法性防火墙就会信任这个连接,不再对后续包进行复杂的处理。抵抗拒绝服务攻击(DOS) 正是本系统的最大优势,可以抵御各种已知的拒绝服务攻击,通过合理的调配参数,还可以抵抗未知的DOS攻击。此外,傲盾防拒绝服务系统还提供一年的免费升级和技术支持,让使用者无“后顾之忧”。