硬件防火墻選購已經(jīng)被不少企業(yè)提上議程，防火墻選購方法是企業(yè)安全管理員們最想了解的問題。我們在硬件防火墻選購指南：數(shù)據(jù)篇中，通過對(duì)數(shù)據(jù)的分析談了談關(guān)于硬件防火墻的選購方法，那么本篇我們將通過硬件防火墻的功能側(cè)面談?wù)勅绾芜x購。

硬件防火墻選購指南一，VPN功能不可缺：

對(duì)于硬件防火墻來說如何有效的分清非法用戶以及授權(quán)用戶對(duì)內(nèi)網(wǎng)的訪問是非常關(guān)鍵的，很多企業(yè)在外都有分支機(jī)構(gòu)，分支網(wǎng)絡(luò)要想接入到本部網(wǎng)絡(luò)中必須通過VPN接入服務(wù)，因此對(duì)于企業(yè)級(jí)硬件防火墻來說VPN功能是不可獲缺的。

通過VPN我們可以將遠(yuǎn)程授權(quán)用戶或遠(yuǎn)程授權(quán)網(wǎng)絡(luò)與本部區(qū)域進(jìn)行連接，而另一方面非法用戶以及沒有獲取相關(guān)權(quán)限的用戶是不能夠順利穿越防火墻的。因此在我們選擇硬件防火墻時(shí)是否支持VPN功能是一個(gè)主要考察因素。

除了VPN功能外防火墻所支持的VPN隧道數(shù)同樣含糊不得，對(duì)于具備一萬個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)來說防火墻應(yīng)該支持的VPN隧道數(shù)在2000以上，這樣才能夠保證同時(shí)多人次多終端的訪問能夠順利接入。另外最好在考察防火墻時(shí)確定其自身的VPN是集成硬件的方式，支持Site-to-SiteVPN，支持VPN星形部署方式，支持多端口并發(fā)VPN隧道功能。支持VPN隧道的NAT穿越，支持IPSECVPN，支持SSLVPN，可支持用戶B/S方式無縫接入，支持USBKEY進(jìn)行SSLVPN雙因素認(rèn)證?？傊P(guān)于VPN的功能越全越好，畢竟網(wǎng)絡(luò)安全問題很大一部分都是由于外網(wǎng)接入與訪問造成的，所以VPN功能的強(qiáng)大與否直接決定企業(yè)網(wǎng)絡(luò)安全。同時(shí)強(qiáng)大的VPN擴(kuò)展功能和訪問應(yīng)用技術(shù)可以為日后硬件防火墻和企業(yè)內(nèi)網(wǎng)安全系統(tǒng)升級(jí)做好充足的準(zhǔn)備。

硬件防火墻選購指南二，與時(shí)俱進(jìn)IPV6需兼容：

正如上文所說我們在選購硬件防火墻時(shí)需要將日后的升級(jí)和改造因素考慮進(jìn)去，因此在網(wǎng)絡(luò)IP地址兼容性方面必須考慮IPV6的引入。在國內(nèi)很多設(shè)備目前都是雙網(wǎng)運(yùn)行，IPV4與IPV6并存，未來國內(nèi)網(wǎng)絡(luò)也會(huì)逐步推進(jìn)IPV6網(wǎng)絡(luò)的發(fā)展，因此在硬件防火墻設(shè)置以及選購時(shí)IPV6的完美支持非常重要。

硬件防火墻選購指南三，安全功能不拖后腿：

硬件防火墻除了日常使用的包過濾和協(xié)議過濾等功能外，其他針對(duì)網(wǎng)絡(luò)的擴(kuò)展功能也是需要在選購時(shí)考慮清楚的。硬件防火墻自身的安全功能不能脫日后網(wǎng)絡(luò)過濾的后腿。根據(jù)筆者參與政府采購以及多次選購硬件防火墻的經(jīng)驗(yàn)，以下安全功能需要在購買前進(jìn)行權(quán)衡。

(1)支持敏感文件類型過濾，支持JavaApplet、ActiveX阻斷，支持URL過濾、URL關(guān)鍵字過濾、URL列表上載、下載。工作模式支持路由、NAT、透明及混合等多種模式。這些組件和插件程序都隨時(shí)隨地威脅我們的內(nèi)網(wǎng)應(yīng)用，所以硬件防火墻應(yīng)該有效支持對(duì)他們的過濾。

(2)支持各種IP服務(wù)，支持各種工作模式下多媒體協(xié)議(如H.323)的安全控制和通過。H.323多媒體協(xié)議在VOIP等語音技術(shù)中廣泛應(yīng)用，因此如果想在企業(yè)內(nèi)網(wǎng)建立VOIP語音通訊系統(tǒng)的話，硬件防火墻就一定要能夠針對(duì)相關(guān)協(xié)議進(jìn)行安全控制和適當(dāng)過濾。

(3)支持抗DoS/DDoS攻擊提供SYNFlood攻擊防護(hù)、畸形報(bào)文防護(hù)、IP報(bào)文分片攻擊防護(hù)、IP異常選項(xiàng)檢測、TCP異常檢測、IP地址欺騙防護(hù)、IP地址掃描攻擊防護(hù)、端口掃描防護(hù)。DDos是目前威脅服務(wù)器和企業(yè)膃肭蜾蠃應(yīng)用的主要?dú)⑹?，因此一臺(tái)性能高效的硬件防火墻針對(duì)DDos的防御能力是需要在選購時(shí)深思熟慮的。雖然目前硬件防火墻還不能夠從根本上徹底避免DDos對(duì)企業(yè)網(wǎng)絡(luò)的攻擊，但是好的硬件防火墻可以過濾掉盡可能多的攻擊，從而最大限度的減少DDos對(duì)企業(yè)帶寬和資源的損耗。

(3)支持多鏈路負(fù)載均衡，即A鏈路斷開自動(dòng)切換到B鏈路。此功能在上文中已經(jīng)在冗余環(huán)節(jié)上做過介紹，這里就不再詳細(xì)說明了，總之支持多路負(fù)載均衡一方面可以提高網(wǎng)絡(luò)運(yùn)行效率，另外一方面可以提供線路的保護(hù)功能，保證企業(yè)網(wǎng)絡(luò)暢通無阻。

(4)故障診斷類型包括設(shè)備故障、鏈路故障、接口狀態(tài)故障等;同時(shí)需要支持802.3ad鏈路聚合功能，可利用多條pppoe鏈路組建低成本高帶寬鏈路。即總速率=A鏈路+B鏈路之總和。

(5)內(nèi)置防ARP攻擊客戶端，可自動(dòng)分發(fā)全網(wǎng)。這樣就可以從內(nèi)網(wǎng)下手避免內(nèi)網(wǎng)病毒對(duì)防火墻的攻擊。從而在第一時(shí)間揪出“內(nèi)奸”來。

硬件防火墻選購指南四，管理功能需關(guān)注：

硬件防火墻的功能強(qiáng)大與否直接決定著內(nèi)網(wǎng)運(yùn)行以及相關(guān)應(yīng)用的穩(wěn)定，不過任何設(shè)備都是用戶來使用的。沒有好的設(shè)備只有最適合自己的，對(duì)于硬件防火墻來說并不是越貴越好，功能越全越好。我們在購買硬件防火墻前除了要針對(duì)上述多個(gè)方面進(jìn)行考慮外，硬件防火墻自身的管理功能也需要考慮在內(nèi)。只有將強(qiáng)大管理功能以及良好的管理界面整合到硬件防火墻自身中，才能夠讓用戶配置更加得心應(yīng)手，讓硬件防火墻可以更好的為企業(yè)網(wǎng)絡(luò)服務(wù)?；镜墓芾砉δ苤饕幸韵聨c(diǎn)。

(1)提供安全、友好、易用，可擴(kuò)展式的全中文的Web管理界面，提供Telnet、SSH、HTTP、HTTPS、SNMPv1/v2c管理方式。

(2)支持帶寬管理功能：支持帶寬的保證、限制和優(yōu)先級(jí)的功能，支持上下行方向分別控制。

(3)支持對(duì)BT/eMule/迅雷等P2P軟件的控制，支持對(duì)MSN/QQ等IM即時(shí)通訊軟件的合理控制。

硬件防火墻選購指南五，資質(zhì)問題重中之重：

最后我們來談一談在選購硬件防火墻時(shí)一些“硬指標(biāo)”，這些硬指標(biāo)一般在政府采購時(shí)生效。說白了我們在選擇硬件防火墻時(shí)需要考慮以下幾個(gè)資質(zhì)問題，只有具備相關(guān)資質(zhì)和認(rèn)證的廠商才能夠進(jìn)入候選名單。

筆者收集整理的相關(guān)資質(zhì)問題包括——軟件著作權(quán)登記證，公安部銷售許可證，國家信息安全測評(píng)認(rèn)證，軍用信息安全產(chǎn)品認(rèn)證以及國家保密局涉秘信息系統(tǒng)檢測證書。必要時(shí)我們購買前需要審核廠商的相關(guān)資質(zhì)信息。

硬件防火墻選購指南六，總結(jié)：

總之購買硬件防火墻是件非常重要的事情，一方面硬件防火墻的價(jià)格都比較高，選購時(shí)要特別慎重;另一方面一旦功能上存在缺陷無法勝任企業(yè)內(nèi)網(wǎng)應(yīng)用所帶來的“停網(wǎng)”惡果是嚴(yán)重的;當(dāng)然選購硬件防火墻時(shí)需要注意的事情還有很多，本文只是針對(duì)幾個(gè)方面的經(jīng)驗(yàn)進(jìn)行了介紹，任何硬件防火墻都離不開人的配置。因此除了硬件防火墻自身的硬件功能外我們還需要多學(xué)習(xí)多思考，針對(duì)硬件防火墻的軟件和參數(shù)進(jìn)行合理設(shè)置，這樣才能夠建立一套安全穩(wěn)定的內(nèi)網(wǎng)系統(tǒng)。
 

【編輯推薦】

1. 防火墻安全測試之漏洞掃描
2. 防火墻安全測試之?dāng)?shù)據(jù)包偵聽
3. 防火墻安全測試之規(guī)則分析工具
4. 硬件防火墻選購指南：數(shù)據(jù)篇
5. 防止入侵從Web應(yīng)用安全漏洞做起