|
網(wǎng)絡技術是從1990年代中期發(fā)展起來的新技術�,它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作����,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機�����、存儲資源�、數(shù)據(jù)資源、信息資源����、知識資源、專家資源�����、大型數(shù)據(jù)庫���、網(wǎng)絡、傳感器等�。 當前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段��。 產品類型
從防火墻產品和技術發(fā)展來看�����,分為三種類型:基于路由器的包過濾防火墻�、基于通用
操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻�。
LAN接口
列出支持的LAN接口類型:防火墻所能保護的網(wǎng)絡類型,如以太網(wǎng)��、快速以太網(wǎng)����、千兆以
太網(wǎng)、ATM���、令牌環(huán)及FDDI等����。
支持的最大LAN接口數(shù):指防火墻所支持的局域網(wǎng)絡接口數(shù)目��,也是其能夠保護的不同內
網(wǎng)數(shù)目����。
服務器平臺:防火墻所運行的操作系統(tǒng)平臺(如Linux、UNIX��、Win NT�����、專用安全操作系
統(tǒng)等)。
協(xié)議支持
支持的非IP協(xié)議:除支持IP協(xié)議之外����,又支持AppleTalk、DECnet�、IPX及NETBEUI等協(xié)議
���。
建立VPN通道的協(xié)議: 構建VPN通道所使用的協(xié)議�����,如密鑰分配等����,主要分為IPSec��,PP
TP�、專用協(xié)議等��。
可以在VPN中使用的協(xié)議:在VPN中使用的協(xié)議�,一般是指TCP/IP協(xié)議。
加密支持
支持的VPN加密標準:VPN中支持的加密算法, 例如數(shù)據(jù)加密標準DES�����、3DES、RC4以及國
內專用的加密算法���。
除了VPN之外���,加密的其他用途: 加密除用于保護傳輸數(shù)據(jù)以外,還應用于其他領域����,
如身份認證、報文完整性認證�����,密鑰分配等���。
提供基于硬件的加密: 是否提供硬件加密方法,硬件加密可以提供更快的加密速度和更
高的加密強度�。
認證支持
支持的認證類型: 是指防火墻支持的身份認證協(xié)議,一般情況下具有一個或多個認證方
案�����,如RADIUS、Kerberos���、TACACS/TACACS+��、 口令方式��、數(shù)字證書等�。
夠為本地
或遠程用戶提供經過認證與授權的對網(wǎng)絡資源的訪問�����,防火墻管理員必須決定客戶以何種方
式通過認證��。
列出支持的認證標準和CA互操作性:廠商可以選擇自己的認證方案�����,但應符合相應的國
際標準�����,該項指所支持的標準認證協(xié)議��,以及實現(xiàn)的認證協(xié)議是否與其他CA產品兼容互通�����。
支持數(shù)字證書:是否支持數(shù)字證書��。
訪問控制
通過防火墻的包內容設置:包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成����,它應涵蓋對
所有出入防火墻的數(shù)據(jù)包的處理方法�,對于沒有明確定義的數(shù)據(jù)包,應該有一個缺省處理方
法�;過濾規(guī)則應易于理解,易于編輯修改�����;同時應具備一致性檢測機制����,防止沖突。IP包過
濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進行過濾�����,如果IP頭中的協(xié)議字段表
明封裝協(xié)議為ICMP��、TCP或UDP,那么再根據(jù)ICMP頭信息(類型和代碼值)�、TCP頭信息(源端
口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過濾,其他的還有MAC地址過濾����。應
用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應用服務過濾����、基于UDP的應用服務過濾要求
以及動態(tài)包過濾技術等。
在應用層提供代理支持:指防火墻是否支持應用層代理�����,如HTTP���、FTP、TELNET����、SNMP等
。代理服務在確認客戶端連接請求有效后接管連接����,代為向服務器發(fā)出連接請求,代理服務
器應根據(jù)服務器的應答�����,決定如何響應客戶端請求��,代理服務進程應當連接兩個連接(客戶
端與代理服務進程間的連接�、代理服務進程與服務器端的連接)。為確認連接的唯一性與時
效性���,代理進程應當維護代理連接表或相關數(shù)據(jù)庫(最小字段集合)�,為提供認證和授權���,
代理進程應當維護一個擴展字段集合�。
在傳輸層提供代理支持:指防火墻是否支持傳輸層代理服務���。
允許FTP命令防止某些類型文件通過防火墻:指是否支持FTP文件類型過濾。
用戶操作的代理類型:應用層高級代理功能��,如HTTP����、POP3 �����。
支持網(wǎng)絡地址轉換(NAT):NAT指將一個IP地址域映射到另一個IP地址域����,從而為終端主
機提供透明路由的方法�����。NAT常用于私有地址域與公有地址域的轉換以解決IP地址匱乏問題�。
在防火墻上實現(xiàn)NAT后,可以隱藏受保護網(wǎng)絡的內部結構���,在一定程度上提高了網(wǎng)絡的安全性
�。
支持硬件口令�����、智能卡: 是否支持硬件口令�����、智能卡等�,這是一種比較安全的身份認證
技術。
防御功能
支持病毒掃描: 是否支持防病毒功能�,如掃描電子郵件附件中的DOC和ZIP文件�,F(xiàn)TP中
的下載或上載文件內容,以發(fā)現(xiàn)其中包含的危險信息�。
提供內容過濾: 是否支持內容過濾,信息內容過濾指防火墻在HTTP���、FTP���、SMTP等協(xié)議
層,根據(jù)過濾條件�����,對信息流進行控制��,防火墻控制的結果是:允許通過�、修改后允許通過
��、禁止通過�����、記錄日志、報警等����。 過濾內容主要指URL、HTTP攜帶的信息:Java Applet���、
JavaScript��、ActiveX和電子郵件中的Subject��、To����、From域等�����。
能防御的DoS攻擊類型:拒絕服務攻擊(DoS)就是攻擊者過多地占用共享資源�����,導致服務
器超載或系統(tǒng)資源耗盡����,而使其他用戶無法享有服務或沒有資源可用�����。防火墻通過控制����、檢
測與報警等機制�,可在一定程度上防止或減輕DoS黑客攻擊��。
阻止ActiveX�、Java�、Cookies、Javascript侵入:屬于HTTP內容過濾���,防火墻應該能夠
從HTTP頁面剝離Java Applet��、ActiveX等小程序及從Script����、PHP和ASP等代碼檢測出危險代
碼或病毒��,并向瀏覽器用戶報警。同時���,能夠過濾用戶上載的CGI、ASP等程序�,當發(fā)現(xiàn)危險
代碼時,向服務器報警���。
安全特性
支持轉發(fā)和跟蹤ICMP協(xié)議(ICMP 代理):是否支持ICMP代理�,ICMP為網(wǎng)間控制報文協(xié)議
�。
提供入侵實時警告:提供實時入侵告警功能,當發(fā)生危險事件時�,是否能夠及時報警,
報警的方式可能通過郵件����、呼機、手機等����。
提供實時入侵防范:提供實時入侵響應功能,當發(fā)生入侵事件時����,防火墻能夠動態(tài)響應
��,調整安全策略����,阻擋惡意報文�����。
識別/記錄/防止企圖進行IP地址欺騙:IP地址欺騙指使用偽裝的IP地址作為IP包的源地
址對受保護網(wǎng)絡進行攻擊�,防火墻應該能夠禁止來自外部網(wǎng)絡而源地址是內部IP地址的數(shù)據(jù)
包通過。
管理功能
通過集成策略集中管理多個防火墻:是否支持集中管理�����,防火墻管理是指對防火墻具有
管理權限的管理員行為和防火墻運行狀態(tài)的管理�,管理員的行為主要包括:通過防火墻的身
份鑒別�,編寫防火墻的安全規(guī)則,配置防火墻的安全參數(shù)���,查看防火墻的日志等。防火墻的
管理一般分為本地管理��、遠程管理和集中管理等��。
提供基于時間的訪問控制:是否提供基于時間的訪問控制。
支持SNMP監(jiān)視和配置:SNMP是簡單網(wǎng)絡管理協(xié)議的縮寫�����。
本地管理:是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對防火墻進
行配置管理�����。
遠程管理:是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對防火墻進行管理����,管理
的通信協(xié)議可以基于FTP、TELNET����、HTTP等。
支持帶寬管理:防火墻能夠根據(jù)當前的流量動態(tài)調整某些客戶端占用的帶寬����。
負載均衡特性:負載均衡可以看成動態(tài)的端口映射,它將一個外部地址的某一TCP或UDP
端口映射到一組內部地址的某一端口����,負載均衡主要用于將某項服務(如HTTP)分攤到一組
內部服務器上以平衡負載。
失敗恢復特性(failover):指支持容錯技術�,如雙機熱備份��、故障恢復�,雙電源備份等
���。
記錄和報表功能
防火墻處理完整日志的方法:防火墻規(guī)定了對于符合條件的報文做日志��,應該提供日志
信息管理和存儲方法�。
提供自動日志掃描:指防火墻是否具有日志的自動分析和掃描功能�����,這可以獲得更詳細
的統(tǒng)計結果����,達到事后分析��、亡羊補牢的目的�。
提供自動報表�����、日志報告書寫器:防火墻實現(xiàn)的一種輸出方式���,提供自動報表和日志報
告功能�����。
警告通知機制:防火墻應提供告警機制���,在檢測到入侵網(wǎng)絡以及設備運轉異常情況時����,
通過告警來通知管理員采取必要的措施����,包括E-mail、呼機�、手機等。
提供簡要報表(按照用戶ID或IP 地址):防火墻實現(xiàn)的一種輸出方式�,按要求提供報表
分類打印。
提供實時統(tǒng)計:防火墻實現(xiàn)的一種輸出方式��,日志分析后所獲得的智能統(tǒng)計結果����,一般
是圖表顯示。
列出獲得的國內有關部門許可證類別及號碼:這是防火墻合格與銷售的關鍵要素之一���,
其中包括:公安部的銷售許可證�、國家信息安全測評中心的認證證書、總參的國防通信入網(wǎng)
證和國家保密局的推薦證明等��。
網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中�����,正因如此�����,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上����、軟件上、所用標準上......�����,各項技術都需要適時應勢,對應發(fā)展���,這正是網(wǎng)絡迅速走向進步的催化劑�����。
|
溫馨提示:喜歡本站的話��,請收藏一下本站�����!
