下一代防火墙的技术原则
目录
防火墙
防火墙的本质功能就是隔离网络,通过防火墙可以把普通区域、重点区域等各种逻辑网络进行隔离,避免了不安全因素的扩散。
可靠性设计
- 硬件可靠性
- 双机热备
- 链路负债均衡域热备
性能模型
- 吞吐量(一般是打包测试下的数据)
- 小包转发时吞吐量
- 规则数目对效率的影响
- 每秒建立连接速度
- 并发连接数目
- 延时
网络隔离
- 整个防火墙的网络隔离体系是否具有清晰的逻辑结构
例如,防火墙至少应该具有单独的 DMZ 区域。 - 网络区域应该不依赖于物理接口提供网络隔离的划分
如果依靠物理接口进行网络隔离,很明显不能满足各种方案的灵活实施,网络隔离是一个逻辑上面的概念,必须可以灵活设定才能更好的满足业务的实施。 - 是不是考虑了针对隧道、VPN、VLAN 接口等各种虚拟接口的实施
区域隔离必须考虑各种虚拟接口的实施以及和各种 VPN、VLAN 等业务的配合实施。 - 考虑防火墙本身的安全问题
访问控制 + 基于流的状态检测技术
基于用户 + 应用 的管控能力
下一代防火墙,不仅能够根据 IP 地址进行安全策略控制。需要能够根据用户身份进行安全策略控制。
防火墙应该能够监控用户的上下线动作,并根据用户/用户组进行用户权限的控制、带宽分配等。
下一代防火墙,不仅能够根据端口进行策略控制。需要能够根据协议内容进行深度应用识别,并根据识别的结果进行基于应用的管控。
应用层的威胁防护
下一代防火墙,集成应用的识别、解码能力,能够检测网络蠕虫、僵尸网络以及其他基于应用的攻击,
并且能够检测应用中传输的内容,进行应用层内容过滤,防止敏感信息泄露和非法信息的传输。
地址转换能力
攻击防范能力
攻击防范的能力是防火墙的一个核心功能,防火墙必须具有高效、可靠的攻击防范的能力,防火墙需要具有如下基本功能防范能力:
- 具有针对 Dos(拒绝式服务攻击)的防范能力
- 具有针对各种畸形报文进行防范的能力,可以智能的识别出攻击包
- 可以抵御各种扫描等窥探攻击。
- 优秀的处理性能,因为 Dos 攻击的一个重要特征就是网络流量突然增大
- 具有准确的识别攻击能力。
很多防火墙在处理 Dos 攻击的时候,仅仅能保证防火墙后端的流量趋于网络可以接受的范围,但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常,可以保证服务器不会瘫痪,但是这样
处理还是会阻挡正常用户上网、访问等的报文,因此虽然网络层面是正常的,但是真正的服务还是被拒绝了,因此还是不能达到真正的 Dos 攻击防御的目的。
防火墙的组网适应能力
- 比较丰富的接口类型
- 支持动态路由协议
- 透明模式
- 支持各种虚拟接口
VPN 业务
- 最常用的 VPN 技术是 IP VPN,包括 IPSEC/ L2TP/GRE VPN 等。
IP VPN 技术的作用是使远程分支和移动办公用户安全高效地接入到企业网。
防火墙管理系统
- 应该具有良好的人机界面,可以通过多种方式对防火墙设备进行管理。
- 防火墙设备应该具有方便的升级手段,可以实现热补丁等在线升级功能。
- 防火墙应该支持图形化管理方式,方便防火墙的配置和策略管理等功能。
- 防火墙应该支持远程维护、监控的手段。
- 远程登陆应该支持安全可靠的方式,例如支持通过 SSH 进行远程登陆。
防火墙的日志系统
- 系统日志提供了一种事后审计的方式。
防火墙设备针对各种操作记录、攻击信息等情况应该可以提供详细的日志,
并且可以提供日志查询、过滤等的手段,
浙公网安备 33010602011771号