|
防火墻產(chǎn)品的選型
資源天下 2019/8/18 9:53:30
1. 做好需求分析
選擇合適產(chǎn)品的一個前提條件就是����,明確用戶的具體需求�。因此�����,選擇產(chǎn)品的第一個步驟就是針對用戶的網(wǎng)絡(luò)結(jié)構(gòu)����、業(yè)務(wù)應(yīng)用系統(tǒng)、用戶及通信流量規(guī)模�����、防攻擊能力�、可靠性、可用性����、易用性等具體需求進(jìn)行分析。
首先���,要考慮網(wǎng)絡(luò)結(jié)構(gòu)����。包括網(wǎng)絡(luò)邊界出口鏈路的帶寬要求、數(shù)量等情況���,比如邊界連接多個ISP��;IP地址規(guī)劃對防火墻地址轉(zhuǎn)換的需求����,比如對路由模式和透明網(wǎng)橋模式的支持��;是否需要按照不同安全級別設(shè)立多個網(wǎng)段����,如設(shè)置內(nèi)網(wǎng)�����、外網(wǎng)��、�;饏^(qū)等三個或三個以上網(wǎng)段。目前�����,市場上的大多防火墻都至少支持三個口,甚至更多�����。
其次�,要考慮到業(yè)務(wù)應(yīng)用系統(tǒng)需求。防火墻對特定應(yīng)用的支持功能和性能���,比如對視頻���、語音、數(shù)據(jù)庫應(yīng)用穿透防火墻的支持能力���;防火墻對應(yīng)用層信息過濾����,比如對垃圾郵件�����、病毒���、非法信息等過濾��;對應(yīng)用系統(tǒng)是否具有負(fù)載均衡功能���。
第三����,要考慮用戶及通信流量規(guī)模方面的需求����。網(wǎng)絡(luò)規(guī)模大小、跨防火墻訪問的網(wǎng)絡(luò)用戶數(shù)量����,要求防火墻具有較高的最大并發(fā)連接數(shù);網(wǎng)絡(luò)邊界的通信流量要求防火墻具有較高的吞吐量��、較低的丟包率�、較低的延時等性能指標(biāo)�,防止出現(xiàn)網(wǎng)絡(luò)性能瓶頸。
最后�,還要考慮到可靠性、可用性�、易用性等方面的需求。支撐高可用、高可靠的網(wǎng)絡(luò)平臺���,要求防火墻必須達(dá)到一定的冗余能力����,包括對雙機(jī)熱備���、負(fù)載均衡�����、多機(jī)集群等的支持能力����。對于大型網(wǎng)絡(luò)分布式防火墻配置�����,要求有集中控管能力�����、管理界面的友好性�����、遠(yuǎn)程配置的安全保密等功能。
2. 堅定選擇原則
在整理出具體的需求以后���,可以得到一份防火墻的需求分析報告��。下一步的工作就是在眾多的品牌和檔次中選出滿足需求的產(chǎn)品�����,并考慮一定的擴(kuò)展性要求��。選擇的主要原則有:
第一�����,以需求為導(dǎo)向���,選擇最適合用戶需求的產(chǎn)品。這里強(qiáng)調(diào)最適合并不意味著某一種或某幾種性能及功能最好��,因為評價一款防火墻的性能及功能指標(biāo)很多���,是一個大集合,用戶應(yīng)集中在自己真正需要的那些指標(biāo),超出用戶需求子集的指標(biāo)不能作為選擇依據(jù)��;而且不同廠家可能擁有不同的技術(shù)優(yōu)勢��,某些指標(biāo)好���,某些指標(biāo)弱�����,有時需要進(jìn)行折中考慮��。另外�����,還要考慮到用戶可承受的性價比���。
第二, 對于產(chǎn)品的選型�,可參考的指標(biāo)來源與廠家提供的技術(shù)白皮書、各種測評機(jī)構(gòu)的橫向?qū)Ρ葴y試報告�,從中可以了解產(chǎn)品的一些基本性能情況。但由于測試時間����、測試條件的差異性�,把這些測試報告做橫向?qū)Ρ鹊膮⒖純r值不是太高����。
第三,要完全按照用戶的實際需求來對比各種產(chǎn)品的滿足程度��,最好是根據(jù)需求�����,定制一套測試方案��,并對防火墻在統(tǒng)一測試條件和測試環(huán)境下進(jìn)行橫向?qū)Ρ葴y試���,這樣出來的測試結(jié)果才真正具有可比性��。關(guān)于防火墻選型測試的技術(shù)標(biāo)準(zhǔn)可以參照《包過濾防火墻安全技術(shù)要求GB/T18019-1999》����、《應(yīng)用級防火墻安全技術(shù)要求GB/T18020-1999》��、《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則GB/T18336-2001》以及RFC2544���、RFC2647�����、RFC3511等標(biāo)準(zhǔn)和文檔���。
3. 明確常用指標(biāo)
由于防火墻的各項指標(biāo)具有較強(qiáng)的專業(yè)性,用戶要把這些似懂非懂的指標(biāo)與需求一一對應(yīng)起來尚存在一定的難度���,因此���,用戶在選擇時,有必要把防火墻的主要指標(biāo)和需求聯(lián)系起來����。
目前,防火墻常用的技術(shù)指標(biāo)包括性能指標(biāo)�����、功能指標(biāo)�、防攻擊指標(biāo)以及防火墻對集中管理、分級管理���、日志管理等功能的支持���,提供較為友好和安全的配置方式和工具等�����。
性能指標(biāo)主要包括吞吐量�、丟包率�����、延遲��、最大并發(fā)連接數(shù)����、并發(fā)連接處理速率等。用戶在選擇時����,應(yīng)該根據(jù)自身的網(wǎng)絡(luò)規(guī)模和需求,對上述幾個指標(biāo)參數(shù)進(jìn)行詳細(xì)了解��,選擇適合的產(chǎn)品,可以向有關(guān)專家詢問請教���。
功能指標(biāo)主要體現(xiàn)為幾個方面:對網(wǎng)絡(luò)層包過濾���、連接狀態(tài)檢測功能的支持���;對常見標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的支持功能�����,例如802.1q����、SNMP�����、IGMP�、H.323、RIP��、等IP網(wǎng)絡(luò)協(xié)議����;對應(yīng)用層的訪問控制和過濾功能的支持�;對源/目標(biāo)地址轉(zhuǎn)換功能�����、路由/透明網(wǎng)橋混合工作模式功能的支持�;流量控制(帶寬管理);用戶管理與認(rèn)證�;防火墻設(shè)備雙機(jī)熱備、雙機(jī)負(fù)載均衡����、多機(jī)集群等的支持能力,以及防火墻對應(yīng)用服務(wù)器的負(fù)載均衡能力�����。
4. 安全轉(zhuǎn)向一體化的防護(hù)
大多數(shù)的企業(yè)網(wǎng)絡(luò)都非常復(fù)雜�����,要保護(hù)它們免于當(dāng)今難以捉摸且快速傳播的混合威脅����,是一件非常不容易的事。人們希望在提供自動化、實時的檢測與防護(hù)措施的同時��,可提供一體化的安全保護(hù)����,解決方案也要能簡化安全的管理。
|
|
相關(guān)專業(yè)論文
|
|
|
推薦專業(yè)論文
|
|
|
|
|
|