域名預(yù)訂/競價，好“米”不錯過

作為保障網(wǎng)絡(luò)安全的主要設(shè)備，經(jīng)過多年的發(fā)展，防火墻技術(shù)已逐漸成熟。即便如此，用戶在購買防火墻時仍需擦亮眼睛。

防火墻是一種在內(nèi)外網(wǎng)邊界上部署的訪問控制裝置，用于防止未經(jīng)授權(quán)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的通信。防火墻主要分為三種類型：簡單的包過濾防火墻、狀態(tài)/動態(tài)檢測防火墻、應(yīng)用代理防火墻。

防火墻控制是網(wǎng)絡(luò)數(shù)據(jù)的對象，通過對用戶的2到7層的策略進行檢查，根據(jù)檢查結(jié)果決定接受，下降或限制流量。雖然實際的防火墻也可以取代路由器和交換機的一部分，但對這些功能的結(jié)果太多的重點只能是物物交換。

由于防火墻設(shè)備在網(wǎng)絡(luò)中的引入，防火墻的必然要求可以提供相應(yīng)的支持，包括管理，環(huán)境適應(yīng)能力，與現(xiàn)有的交換機/路由器的互連，吞吐能力和適當(dāng)?shù)难舆t。這種防火墻不會網(wǎng)絡(luò)瓶頸。這些功能實際上是對防火墻的附加要求，雖然它是必要的，但不給用戶帶來附加值，它的整體要求是最好的。

雖然防火墻的開發(fā)時間比較長，但技術(shù)相對比較成熟，但新的防火墻概念，新技術(shù)仍在層出不窮。那么，如何對防火墻進行真正的評價呢？還必須從用戶使用角度進行深入的分析，從功能、性能、管理、穩(wěn)定性三個方面進行調(diào)查。

功能，表現(xiàn)為“雙層皮”

功能和性能一直是用戶評價防火墻的主要方面，尤其是由于其可量化的性能，更是對比的焦點，但真正理解這2個問題是不容易的。為了適應(yīng)用戶的環(huán)境是復(fù)雜的和需要的，為了有一個“賣點”，現(xiàn)在的防火墻一般都有很多功能，這些功能都沒有任何問題，如熱備功能已經(jīng)通過測試，動態(tài)應(yīng)用的支持也測試通過，但在實際環(huán)境中，我們可以在熱備使用視頻會議的需要和要求而不中斷的視頻開關(guān)。

這可能是一些防火墻是不是，和類似的功能組合是用戶真正需要的。此外，防火墻功能和性能一般會獨立評估，功能測試和性能測試和功能測試涉及單一功能，性能測試約2，三個簡單的應(yīng)用性能，導(dǎo)致性能作為一個功能的“雙皮”，不能真正反映了防火墻功能：測試性能是非常高的，但許多功能不能使用，在實際使用時，打開所有常用的功能，性能變得非常低。因此，有必要對防火墻的性能和功能進行評估，以評估防火墻的性能。

具體的評價應(yīng)該從以下幾個方面展開：

•2～7層的訪問控制功能，特別是濾波層深度的應(yīng)用。函數(shù)應(yīng)該能夠地址映射、端口映射、主干VLAN支持、用戶認(rèn)證、動態(tài)包過濾，對使用任意組合的流量控制等功能。

•安全功能，重點放在抗synflood攻擊。目前，在“黑客”的攻擊行為，最常用的，最有效的是DDoS（分布式拒絕服務(wù)攻擊），這是由于服務(wù)器拒絕服務(wù)。防火墻作為網(wǎng)絡(luò)的一個渠道，來保證網(wǎng)絡(luò)的安全保護，需要重點關(guān)注的安全保護功能可以過濾攻擊的同時保證正常訪問，是否源地址攻擊和真實源地址攻擊同時有效地欺騙，可以保護服務(wù)器免受沖擊。這個函數(shù)應(yīng)該能夠地址映射、端口映射、主干VLAN支持、用戶認(rèn)證、動態(tài)包過濾、流量控制等同時或任意組合。

•實際性能。性能測試一般包括六個方面：吞吐量、延遲、丟包率、回接、并發(fā)連接數(shù)、新連接率，實際性能是在接近實際用戶使用性能的。

•新連接率。由于網(wǎng)絡(luò)應(yīng)用的波動較大，即在不同的時間訪問特性的差異，防火墻也能適應(yīng)這種情況，相應(yīng)的指標(biāo)，新的連接速率。考慮到用戶網(wǎng)絡(luò)的復(fù)雜性和應(yīng)用，還需要打開常用的功能，如：數(shù)據(jù)包過濾、內(nèi)容過濾、抗攻擊等情況，測試新的連接速率。

管理是關(guān)鍵

用戶要使用安全的防火墻系統(tǒng)，就要實現(xiàn)一套防火墻的安全策略，這是對防火墻的實際操作人員提出了更高的要求。由于不同防火墻的管理存在差異，因此，管理者的管理難度可能會導(dǎo)致錯誤配置，從而使網(wǎng)絡(luò)安全風(fēng)險。因為每個網(wǎng)絡(luò)管理員都不能被要求成為網(wǎng)絡(luò)安全專家，所以管理是網(wǎng)絡(luò)安全的關(guān)鍵。刪除權(quán)限管理、通信加密等，還需要把重點放在管理上的方便性和集中管理的這2個方面。

單一管理方便，防火墻應(yīng)該提供各種管理，為管理員在不同的使用場合，如高級別的管理員進行全面管理防火墻的串口命令行模式；遠程維護和管理SSH方式；網(wǎng)絡(luò)遠程配置；圖形用戶界面的遠程配置和監(jiān)控。

其中，網(wǎng)頁模式無需安裝客戶端軟件，更方便靈活；圖形用戶界面安裝更麻煩，但靈活性強。早期：很多服務(wù)器管理員，當(dāng)服務(wù)器受到攻擊的時候直接安裝個軟件防火墻。實際上這樣的作用并不大，因為已經(jīng)到了服務(wù)器的應(yīng)用層。不管怎樣，流量已經(jīng)是到服務(wù)器的網(wǎng)卡，比如攻擊者一旦加大流量，帶寬耗盡自然全部掛了。

針對早幾年攻擊流量小作用是非常明顯，而且優(yōu)點是成本低，也許幾百塊就可以解決問題?，F(xiàn)在時代不同了，動不動就是幾十G上百G的攻擊無處不在。高防CDN是從接入層以及網(wǎng)絡(luò)層+應(yīng)用層來解決問題，比較適合于現(xiàn)在的大流量攻擊。攻擊者發(fā)起攻擊后，流量會直接到高防接入硬件防火墻，集群防火墻會過濾過99%以上的攻擊應(yīng)用，仍有大量的CC可能沒有辦法完全過濾。CC流量到了CDN節(jié)點服務(wù)器，通過限制訪問頻率以及其它防CC策略實現(xiàn)封停無效的IP。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！