防火墙设备通用技术规范_通用技术规范讲解

防火墙是目前使用最为广泛的网络安全产品之一，用户在选购时应该注意以下几点：\x0d\一、防火墙自身的安全性\x0d\防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于 *** 作系统，只有自身具有完整信任关系的 *** 作系统才可以谈论系统的安全性。而应用系统的安全是以 *** 作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。\x0d\二、系统的稳定性\x0d\目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断：\x0d\1．从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。\x0d\3．自己试用。在自己的网络上进行一段时间的试用（一个月左右）。\x0d\4．厂商开发研制的历史。一般来说，如果没有两年以上的开发经历，很难保证产品的稳定性。\x0d\5．厂商实力，如资金、技术开发人员、市场销售人员和技术支持人员多少等等。\x0d\三、是否高效\x0d\高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高。一般来说，防火墙加载上百条规则，其性能下降不应超过5％（指包过滤防火墙）。\x0d\四、是否可靠\x0d\可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件，这要求有较高的生产标准和设计冗余度。\x0d\五、是否功能灵活\x0d\对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。例如对普通用户，只要对IP地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。\x0d\六、是否配置方便\x0d\在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。\x0d\七、是否管理简便\x0d\网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。\x0d\八、是否可以抵抗拒绝服务攻击\x0d\在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。\x0d\九、是否可以针对用户身份过滤\x0d\防火墙过滤报文，需要一个针对用户身份而不是IP地址进行过滤的办法。目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在网络上泄露,这样，防火墙就可以确认登录上来的用户确实和他所声称的一致。\x0d\十、是否可扩展、可升级\x0d\用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。

看机房的带宽大小：大部分网络攻击采用的是带宽消耗型攻击，所以机房需要提供足够大的带宽以应对带宽消耗型网络攻击，因此用户可根据机房所提供的带宽大小来判断优劣之分。
看机房防火墙的防御能力：一般来说，提供高防服务器的数据中心都会配备防火墙设备，一般设备至少要在 100G 以上。用户需要了解机房防火墙及单机的防御能力有多强，并且了解能否根据需要随时变更升级更高级别的防御。
看机房服务器的品牌：部分网络攻击采用的是资源消耗型攻击，通过大量攻击数据包导致服务器内存、CPU 等资源出现崩溃，所以高防服务器必须采用知名品牌服务器，因此用户需要谨慎选择其他不知名品牌的服务器的公司。
看服务器的线路：在国内几大线路中，电信线路的防护实力是最强的，其他线路无法与电信线路相比，因此在选择国内高防服务器时，选择电信线路的高防服务器为最佳，如无电信线路，可以排除此公司。
亲自测试高防 IP 段：辨别优劣最直接方法就是亲自到场直接对高防 IP 段进行测试，便可知道是否真实防御和其防御能力是否达到自身的要求。

选择高防服务器时，应该考虑以下因素：
1、防御能力
DDoS是一种硬防服务，防御值必须大于攻击值才可以防得住，所以防御能力非常重要的，最好要大于100G。
2、线路质量
线路质量直接影响体验，所以一定要选择多线、并且线路质量好的高防服务器。
3、售后支持
售后支持是很重要的，如果网站或者APP、游戏长时间不能访问，就会造成大量的经济损失和用户流失，所以只有完善的售后技术支持才能保障更好的效益。
我用过的高防服务器，快快网络还不错，高达T级的防护服务和多线路BGP，1000G超强DDoS云防护清洗能力，总之配置都蛮不错的。

防火墙可分为：包过滤防火墙、代理服务器防火墙、状态监视器防火墙。防火墙（英文：firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

防火墙(英文：firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件，一般微软Windows系统刚安装完成防火墙都是开启的，用户可以根据洗好级用途进行或者关闭。也有以防火墙为名的**。防火墙最好不要关闭。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

---