作为保障网络安全的主要设备,经过多年的发展,防火墙技术逐渐成熟。尽管如此,用户在购买防火墙时还是要擦亮眼睛。
防火墙是放置在内部和外部网络边界上的访问控制设备,用于防止未经授权的内部网络和外部网络之间的通信。防火墙主要分为三种茄子类型:简单的数据包过滤防火墙、状态/动态检测防火墙和应用程序代理防火墙。
防火墙控制是检查用户的2-7层策略,根据检查结果接受、减少或限制流量的网络数据的对象。实际的防火墙也可以代替路由器和交换机的一部分,但是对这些功能的结果太多只是物交换。
防火墙设备引入网络后,必须提供必要的支持,例如管理、环境适应性、与现有交换机/路由器的互连、吞吐量和适当的延迟。这种防火墙不会引起网络瓶颈。这些功能实际上是对防火墙的附加要求,需要这些功能,但对用户没有附加价值,整体要求最好。
防火墙的开发时间比较长,但技术比较成熟,但是新的防火墙概念、新技术仍然不断出现。那么,如何实际评估防火墙呢?此外,还必须从用户使用角度从功能、性能、管理和可靠性三个茄子方面进行深入分析。
功能,“双皮肤”
功能和性能一直是用户评估防火墙的主要方面,尤其是可量化的性能,使其成为对比的焦点,但真正理解牙齿两个茄子问题并不容易。(David assell,Northern Exposure(美国电视电视剧),性能名言)为了适应用户环境而复杂且需要的“卖点”,现在的防火墙通常有很多功能,这些功能都没有问题。热备盘功能通过了测试,动态应用程序支持也通过了测试,但是在实际环境中,热备盘可以不间断地使用烫伤会议的需求和要求。视频开关。
这可能是某些防火墙,也可能是用户实际需要的类似功能组合。此外,防火墙功能和性能通常是独立评估的。功能测试和性能测试和功能测试包括单个功能、大约2、3个性能测试简单应用程序性能,使性能成为一个功能的“双皮肤”实际上并不反映防火墙功能。测试性能很高,但许多功能不可用。打开实际使用中所有常用的功能,因此必须评估防火墙的性能和功能,以评估防火墙性能。
具体评价应在以下方面展开:
2-7层访问控制功能,特别是过滤器层深度的应用。函数必须能够使用地址映射、通信端口映射、主干VLAN支持、用户身份验证、动态包过滤、使用任何组合的流控制等功能。
侧重于Synflood攻击的安全功能。目前,“黑客”的攻击行为中最常用的是分布式拒绝服务攻击(DDoS)。这是因为服务器拒绝服务。防火墙用作确保网络安全的网络通道。必须重视安全功能。在过滤攻击的同时,可以确保正常访问。根据源地址攻击和实际源地址攻击是否同时有效地欺骗,可以保护服务器免受冲击。(约翰f肯尼迪、美国电视电视剧(Northern Exposure)、成功)牙齿函数必须同时或随机组合使用地址映射、通信端口映射、主干VLAN支持、用户身份验证、动态包筛选、流量控制等。
实际性能。性能测试通常包括6个茄子方面,如吞吐量、延迟、数据包丢失率、响应、并发连接数、新连接率等,接近实际用户使用性能。
新连接率。防火墙也能适应这种情况,因为网络应用程序的波动是大小的,即随着时间的变化,访问属性有所不同。相应的指标,新的连接速度。考虑到用户网络的复杂性和应用程序,打开包过滤、内容过滤、攻击预防等一般功能,并测试新的连接速度。
管理是关键
用户要使用安全防火墙系统,必须实施防火墙安全策略。这对防火墙的实际操作者提出了更高的要求。由于每个防火墙的管理不同,管理员的管理难度可能导致配置错误,从而导致网络安全风险。所有网络管理员都不能成为网络安全专家,所以管理是网络安全的核心。应删除权限管理、通信加密等,重点关注管理的便利性和中央管理的两个茄子方面。
单一管理方便,防火墙需要提供多种管理功能,高级管理员需要在各种使用场所(例如全面管理防火墙的串行命令行模式)为管理员提供多种管理功能。远程维护和管理SSH方法;网络远程配置图形用户界面的远程配置和监控
其中,web模式不需要安装客户端软件,因此更加方便灵活。图形用户界面安装更麻烦,但灵活性更高。早期:许多服务器管理员在服务器受到攻击时直接安装了软件防火墙。实际上,由于达到了服务器的应用层,因此这种效果不是很明显。无论如何,流量已经是服务器的网络卡。例如,攻击者增加流量会耗尽带宽。
最初几年,攻击流量的小效应非常明显,成本低,数百美元可以解决问题。现在时代变了。动不动就有数十G数百G的攻击无处不在。高防CDN解决了访问和网络层应用层的问题,更适合于当前的大流量攻击。攻击者开始攻击后,将直接进入高流量的防访问硬件防火墙。群集防火墙过滤掉99%以上的攻击应用程序。仍有大量CC可能无法完全过滤。CC流量将转发到CDN节点服务器,限制访问频率和其他CC预防策略以阻止无效的IP。