作者:潘镭
本文讨论了选择防火墙须考虑的基本原则和基本标准,以及应该考虑的企业的特殊要求。
1 选择防火墙须考虑的基本原则
——首先应该明确你的目的,想要如何操作这个系统,亦即只允许想要的工作通过,比如某企业只需要电子函件服务,则该企业将防火墙设置为只允许电子函件服务通过,而禁止FTP、WWW等服务,还是允许多种业务通过防火墙,但要设置相应的监测、计量、注册和稽核等。
——其次,是想要达到什么级别的监测和控制。根据网络用户的实际需要,建立相应的风险级别,随之便可形成一个需要监测、允许、禁止的清单。再根据清单的要求来设置防火墙的各项功能。
——第三是费用问题。在市场上,防火墙的售价极为悬殊,从几万元到数十万元,甚至到百万元。因为各企业用户使用的安全程度不尽相同,因此厂商所推出的产品也有所区分,甚至有些公司还推出类似模块化的功能产品,以符合各种不同企业的安全要求。安全性越高,实现越复杂,费用也相应的越高,反之费用较低。这就需要对网络中需保护的信息和数据进行详细的经济性评估。一般网络安全防护系统的造价占需保护的资源价值的1%左右。所以在装配防火墙时,费用与安全性的折衷是不可避免的,这也就决定了“绝对安全”的防火墙是不存在的。但是可以在现有经济条件下尽可能科学地配置各种防御措施,使防火墙充分发挥作用。
2 选择防火墙的基本标准
——广义地说,只要是能够限制封包通行的网络设备,或安装在各种操作系统上的软件都可以用来当作防火墙。我们可以由不同特性的防火墙设计方式来评估各种防火墙是否足够安全,以及能否满足企业的安全需求。具体说来,有以下几类指标。
——(1)防火墙的管理难易度
——防火墙的管理难易度也是防火墙能否达到目的的主要考虑因素之一。若防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功能。一般企业之所以很少以已有的网络设备直接当作防火墙的原因,除了先前提到的包过滤,并不能达到完全的控制之外,设定工作困难、须具备完整的知识以及不易除错等管理问题更是一般企业不愿意使用的主要原因。
——(2)防火墙自身的安全性
——大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略一点,防火墙也是网络上的主机之一,也可能存在安全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。
——大部分防火墙都安装在一般的操作系统上,如UNIX、NT系统等。在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁。此时,任何的防火墙控制机制都可能失效,因为当一个黑客取得了防火墙上的控制权以后,黑客几乎可为所欲为地修改防火墙上的存取规则(Access Rule),进而侵入更多的系统。因此,防火墙自身仍应有相当高的安全保护。
——(3)NCSC的认证标准
——我们常会看到或听到某些防火墙具有B、C级等安全等级规范。安全等级规范是怎么一回事?白皮书是美国国家安全局(NSA)的国家电脑安全中心(NCSC)颁布的官方标准,它将一个电脑系统可接受的信任程度予以分级,依安全性由高至低划分为A、B、C、D四个等级,这些安全等级不是线性的,而是以指数级上升的。
——(4)最好能弥补其他操作系统之不足
——一个好的防火墙必须是建立在操作系统之前而不是在操作系统之上,所以操作系统有的漏洞可能并不会影响到一个好的防火墙系统所提供的安全性,由于硬件平台的普及以及执行效率的因素,大部分企业均会把对外提供各种服务的服务器分散至许多操作平台上,但我们在无法保证所有主机安全的情况下,选择防火墙作为整体安全的保护者,这正说明了操作系统提供了B级或是C级的安全并不一定会直接对整体安全造成影响,因为一个好的防火墙必须能弥补操作系统的不足。
——(5)能否为使用者提供不同平台的选择
——由于防火墙并非完全由硬件构成,所以软件(操作系统)所提供的功能以及执行效率一定会影响到整体的表现,而使用者的操作意愿及熟悉程度也是必须考虑的重点。因此一个好的防火墙不但本身要有良好的执行效率,也应该提供多平台的执行方式供使用者选择,毕竟使用者才是完全的控制者,应该选择一套符合现有环境需求的软件,而非为了软件的限制而改变现有环境。
——(6)能否向使用者提供完善的售后服务
——由于有新的产品出现,就有人会研究新的破解方法,所以一个好的防火墙提供者必须有一个庞大的组织作为使用者的安全后盾,也应该有众多的使用者所建立的口碑为防火墙作见证。
——(7)应该考虑企业的特殊需求
——企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常常成为选择防火墙的考虑因素之一,常见的需求如下:
——a.IP地址转换(IP Address Translation)
——进行IP地址转换有两个好处:其一是隐藏内部网络真正的IP地址,这可以使黑客Hacker)无法直接攻击内部网络,这也是笔者之所以要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部使用保留的IP地址,这对许多IP地址不足的企业是有益的。
——b.双重DNS
——当内部网络使用没有注册的IP地址, 或是防火墙进行IP地址转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP地址与给予外界的IP地址将会不同,有的防火墙会提供双重DNS,有的则必须在不同主机上各安装一个DNS。
——c.虚拟企业网络(VPN)
——VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密, 建立一个虚拟通道,让两者间感觉是在同一个网络上,可以安全且不受拘束地互相存取。这对总公司与分公司之间或公司与外出的员工之间,需要直接联系,又不愿花费大量金钱另外申请专线或用长途电话拨号连接时,将会非常有用。
——d.扫毒功能
——大部分防火墙都可以与防病毒防火墙搭配实现扫毒功能,有的防火墙则可以直接集成扫毒功能,差别只是扫毒工作是由防火墙完成,或是由另一台专用的计算机完成。
——e.特殊控制需求
——有时候企业会有特别的控制需求,如限制特定使用者才能发送E-mail,限制同时上网人数,限制使用时间或Block Java、ActiveX等,依需求不同而定。
3 结束语
——防火墙是企业网络安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。而一个好的防火墙不但应该具备包括检查、认证、警告、纪录的功能,并且能够为使用者可能遇到的困境,事先提出解决方案,如IP地址不足形成的IP地址转换的问题, 信息加密/解密的问题,大企业要求能够透过Internet集中管理的问题等,是选择防火墙时必须考虑的重点。