如何正确鑒别硬體防火牆性能的差異

 有一些問題常令使用者困惑:在産品的功能上，各個廠商的描述十分雷同，一些“後起之秀”與知名品牌極其相似。面對這種情況，該如何鑒别?描述得十分類似的産品，即使是同一個功能，在具體實作上、在可用性和易用性上，個體差異也十分明顯。

　一、網絡層的通路控制

所有防火牆都必須具備此項功能，否則就不能稱其為防火牆。當然，大多數的路由器也可以通過自身的ACL來實作此功能。

　　1.規則編輯

　　對網絡層的通路控制主要表現在防火牆的規則編輯上，我們一定要考察:對網絡層的通路控制是否可以通過規則表現出來?通路控制的粒度是否足夠細?同樣一條規則，是否提供了不同時間段的控制手段?規則配置是否提供了友善的界面?是否可以很容易地展現網管的安全意志?

　　2.IP/MAC位址綁定

　　同樣是IP/MAC位址綁定功能，有一些細節必須考察，如防火牆能否實作IP位址和MAC位址的自動搜集?對違反了IP/MAC位址綁定規則的通路是否提供相應的報警機制?因為這些功能非常實用，如果防火牆不能提供IP位址和MAC位址的自動搜集，網管可能被迫采取其他的手段獲得所管轄使用者的IP與MAC位址，這将是一件非常乏味的工作。

　　3、NAT(網絡位址轉換)

　　這一原本路由器具備的功能已逐漸演變成防火牆的标準功能之一。但對此一項功能，各廠家實作的差異非常大，許多廠家實作NAT功能存在很大的問題:難于配置和使用，這将會給網管員帶來巨大的麻煩。我們必須學習NAT的工作原理，提高自身的網絡知識水準，通過分析比較，找到一種在NAT配置和使用上簡單處理的防火牆。

　　二、應用層的通路控制

　　這一功能是各個防火牆廠商的實力比拼點，也是最出彩的地方。因為很多基于免費 作業系統實作的防火牆雖然可以具備狀态監測子產品(因為Linux、FreeBSD等的核心子產品已經支援狀态監測)，但是對應用層的控制卻無法實作“拿來主義”，需要實實在在的程式設計。

　　對應用層的控制上，在選擇防火牆時可以考察以下幾點。

　　1.是否提供HTTP協定的内容過濾?

　　目前企業網絡環境中，最主要的兩種應用是WWW通路和收發電子郵件。能否對WWW通路進行細粒度的控制反映了一個防火牆的技術實力。

　　2.是否提供SMTP協定的内容過濾?

　　對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、洩漏機密資訊等等，能否提供基于SMTP協定的内容過濾以及過濾的粒度粗細成了使用者關注的焦點。

　　3. 是否提供FTP協定的内容過濾?

　　在考察這一功能時一定要細心加小心，很多廠家的防火牆都宣傳說具備FTP的内容過濾，但細心對比就會發現，其中絕大多數僅實作了FTP協定中兩個指令的控制:PUT和GET。好的防火牆應該可以對FTP其他所有的指令進行控制，包括CD、LS等，要提供基于指令級控制，實作對目錄和檔案的通路控制，全部過濾均支援通配符。

　　三、管理和認證

　　這是防火牆非常重要的功能。目前，防火牆管理分為基于WEB界面的WUI管理方式、基于圖形使用者界面的GUI管理方式和基于指令行CLI的管理方式。

　　各種管理方式中，基于指令行的CLI方式最不适合防火牆。

　　WUI和GUI的管理方式各有優缺點。 WUI的管理方式簡單，不用專門的管理軟體，隻要配備浏覽器就行;同時，WUI的管理界面非常适合遠端管理，隻要防火牆配置一個可達的IP，可實作在美國管理位于中國分公司的防火牆。

　　WUI形式的防火牆也有缺點:首先，WEB界面非常不适合進行複雜、動态的頁面顯示，一般的WUI界面很難顯示豐富的統計圖表，是以對于 審計、統計功能要求比較苛刻的使用者，盡量不要選擇WUI方式;另外，它将導緻防火牆管理安全威脅增大，如果使用者在家裡通過浏覽器管理位于公司的防火牆，信任關系僅僅依賴于一個簡單的使用者名和密碼，黑客很容易猜測到密碼，這增加了安全威脅。

　　GUI是目前絕大多數防火牆普遍采用的方式。這種方式的特點是專業，可以提供豐富的管理功能，便于管理者對防火牆進行配置。但缺點是需要專門的管理端軟體，同時在遠端和集中管理方面沒有WUI管理方式靈活。

　　四、審計和日志以及存儲方式

　　目前絕大多數防火牆都提供了審計和日志功能，差別是審計的粒度粗細不同、日志的存儲方式和存儲量不同。

　　很多防火牆的審計和日志功能很弱，這一點在那些以DOM、DOC等電子盤(并且不提供網絡資料庫支援)為存儲媒體的防火牆中展現得尤為明顯，有些甚至沒有區分事件日志和通路日志。如果需要豐富的審計和日志功能，就需要考察防火牆的存儲方式，如果是DOM、DOC等Flash電子盤的存儲方式，将可能限制審計和日志的功能效果。

　　目前絕大多數防火牆審計日志采用硬碟存儲的方式，這種方式的優點是可以存儲大量的日志(幾個G到幾十個G)，但是在某些極端的情況下，如異常掉電，硬碟受到的損壞往往要比電子盤的損壞嚴重。

　　好的防火牆應該提供多種存儲方式，便于使用者靈活選擇和使用。

　　五、如何區分包過濾和狀态監測

　　一些小公司為了推銷自己的防火牆産品，往往宣稱采用的是狀态監測技術; 從表面上看，我們往往容易被迷惑。這裡給出區分這兩種技術的小技巧。

　　1. 是否提供實時連接配接狀态檢視?

　　狀态監測防火牆可以提供檢視目前連接配接狀态的功能和界面，并且可以實時斷掉目前連接配接，這個連接配接應該具有豐富的資訊，包括連接配接雙方的IP、端口、連接配接狀态、連接配接時間等等，而簡單包過濾卻不具備這項功能。

　　2. 是否具備動态規則庫?

　　某些應用協定不僅僅使用一個連接配接和一個端口，往往通過一系列相關聯的連接配接完成一個應用層的操作。比如FTP協定，使用者指令是通過對21端口的連接配接傳輸，而資料則通過另一個臨時建立的連接配接(預設的源端口是20，在PASSIVE模式下則是臨時配置設定的端口)傳輸。對于這樣的應用，包過濾防火牆很難簡單設定一條安全規則，往往不得不開放所有源端口為20的通路。

　　狀态監測防火牆則可以支援動态規則，通過跟蹤應用層會話的過程自動允許合法的連接配接進入，禁止其他不符合會話狀态的連接配接請求。對于FTP來說，隻需防火牆中設定一條對21端口的通路規則，就可以保證FTP傳輸的正常，包括PASSIVE方式的資料傳輸。這一功能不僅使規則更加簡單，同時消除了必須開放所有20端口的危險。