防火墙作为网络安全zui主要和zui基本的基础设施,已经得到广大用户的认同,是公认的成熟的技术、成熟的产品和成熟的市场。随着信息技术的发展,防火墙市场近几年得到了突飞猛进的发展,信息安全已经得到了各个行业的高度重视,特别是防火墙产品的应用已经延伸到银行、保险、证券、邮电、*、海关、税务、政府等各个行业。因此,防火墙产品已成为国内安全产品竞争的焦点。
【防火墙的位置】
网络安全体系中zui重要的安全要素是访问控制的控制点,其处于网络通信通道的出入口,也就是在内部网络与外部网络的通信通道上。一般来讲,内部网络通过路由器的广域网接口与Internet/外部公网相连,再通过此路由器的局域网接口接入内部网络。早些时候,网络方案中未设计安全体系时,实施访问控制安全策略往往直接使用路由器的简单访问控制列表(ACL)。但是,路由器上定义访问控制列表有许多局限性,同时也给路由器增加了很重的负荷。作为IP交通枢纽,实现强大的路由协议才是路由器的己任,承担业余的控制功能自然就很显吃力。因此,独立的访问控制设备因应而生,形象称为防火墙,它将网络分隔成两部分。根据其功能定义,防火墙不应该重复路由器已经具备并优势的任何功能,这主要包括路由协议的实现和Internet的接入能力。显然,在防火墙的使用方案中,它自然地布置在边界路由器的后面,这样防火墙就不必为实现各种类型的广域网接口而努力,可以专心致力于访问控制的各项功能。也正因为如此,才极大地推动了防火墙的发展,使其访问控制能力和效率不断提高和完善。
事实上,无论是现有运行网络还是设计中的网络方案,防火墙均如此使用,也很少有防火墙支持以太以外的其它类型接口,即使有,也几乎未使用。因此,为了满足与Internet间的访问控制,以及满足内部网络不同安全属性网络间的访问控制要求,用户总是在需要控制的网络出口的地方,毫不犹豫地将防火墙串接进去,让网络通信均通过它,依此控制网络通信及网络应用的访问权限。
防火墙具备在网络方案中对网络通信进行访问控制的天然条件。无论如何,通信分组必须要通过防火墙中转,不存在不通过防火墙的第二条途径,防火墙可以依据其安全策略直接判定访问行为的许可特性:转发、拒绝、丢弃、日志、报警等。理论上,只要能设计出详细而广泛的策略,任何不安全事件,防火墙均能够进行直接而有效的控制,并且,由于它专施其职,往往还很!
【对防火墙系统的更高要求】
防火墙的不断发展使其形成为一个系统,对防火墙整体也提出了更高要求,这主要体现在:高性能、高稳定可靠性和高应用适应能力。
1、高性能
自然,如此多的功能实现必然要求系统具有的处理能力。通常,性能提高主要集中在两方面:硬件和软件,这也与防火墙的类型有关。
软件型防火墙在软件设计上下工夫,并对系统平台提出更高的要求。软件方面的性能提高,主要体现在操作系统和应用系统的结构和实现上。国外厂商的产品大都自己设计专用系统,所以往往很精小,效率也很高。如某国外防火墙,尽管其使用的硬件平台性能并不高,但同比性能却很好。
硬件防火墙则同时在软件和硬件两方面作出努力,这方面,国外防火墙厂商的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火墙的主要工作)做成芯片,以减少对主机器系统CPU的运算压力。这样做的效果往往很好,这也是国外厂商的优势之一。国内厂商的防火墙主要为硬件形态,硬件平台往往采用通用IPC(工控机)系统(可以节省硬件开发成本),所以硬件性能的提高往往直接表现为提升系统CPU的处理能力,增大内存容量。在软件性能方面,国内厂商下大工夫的就不多了,几乎所有厂家的软件系统都是基于Linux。
2、高稳定可靠性
防火墙系统为所做的努力往往也直接影响其稳定可靠性指标,一个纷繁复杂系统的可靠性是很难让人信任的,而可靠性对用户来说至关重要,甚至是致命的。频繁故障的系统让网络管理员胆颤心惊,在重要系统中所造成的损失也是无法承受的,这在金融证券应用中尤为突出。
防火墙的可靠性同样也体现在两方面:硬件和软件。
IPC(工控机)在此方面做得较好,尽管其也使用InX86 PC结构,但它做了如下处理:基本系统完全集成在一块PCB上,主要体现在所使用的网络接口In82559芯片直接集成在板上,这样一来自然提高了产品的可靠性。存储器使用电子存储,而非机械式磁介质存储,其可靠性的提高是显而易见,无论是抗震还是对温度和湿度的适应能力,以及长时期的运行,芯片要可靠得多,而硬盘总是有寿命的。
当然,软件可靠性的提高也是防火墙优劣的主要差别所在。安全需求和网络应用的不断发展,使防火墙一直处于不停的扩充和修订中,这为其可靠稳定性带来了很大的难度。一般地,一次小修订都需要对防火墙进行完整的测试和应用检测。
3、高应用适应能力
防火墙的应用适应能力是产品使用和推广到一定阶段必然面临的问题,这主要体现在产品的使用灵活性上。其实,灵活性往往不是设计师所设计出来的,而是用户使用出来的。满足用户的一次应用要求,产品的使用灵活性就可能前进一步,因此,一个产品的成熟是需要时间的。产品使用的灵活性是相对与一定的使用环境的,这也形成了国内用户对防火墙使用的特性要求。
【防火墙解决方案】
研祥在防火墙产品领域有丰富的经验,给国内很多厂家提供了完整的解决方案。以下是一个完整的防火墙体系应用方案。
【系统配置】
主机型防火墙:机箱IPC-8112/主板NET-1612VD4N/CPU PIII 1GHz/内存 256M/硬盘 40G
(也可采用“EVOC”P4主板NET-1711VD4N来实现)
网关型防火墙:机箱IPC-8112/主板NET-1612V4N/CPU PIII 850MHz/内存 256M/硬盘 40G
个人型防火墙:机箱EC-301/主板 EC3-1544CLD3N(集成GX1 300MHz CPU和64M内存)/硬盘 258M(Compact Flash卡)
路由器:机箱IPC-8206/主板FSC-1613VN/ CPU P3 1.0GHz/内存 128M/硬盘 40G
各种服务器:机箱IPC-8101/主板FSC-1613VN/ CPU P3 1.0GHz /内存 256M/硬盘 70G
终端:机箱IPC-810/主板FSC-1713VN/ CPU 4 2.0GHz /内存 256M DDR /硬盘 30G
【系统评价】
1、 所有安全和服务都由工业级硬件设备完成
安全软件在运行、存储中是不能保障安全的,软件运行时很多重要信息都会在某个时间清晰地出现于计算机的存储器中,因而“高水平”的不法分子窃取并利用这些重要信息十分容易。所以采用由“EVOC” 工业标准的EIP(Embedded Inligent Platform)产品搭建的硬件平台,保障了整个系统的安全。
2、 整个系统实用可靠
“EVOC”工业标准的EIP(Embedded Inligent Platform)产品是基于PC总线的工业计算机,能满足综合业务系统的时间需要,运行可靠稳定。主板上的硬件监控功能保障系统的正常运行。
3、 整体化得系统设计
网络安全系统不仅依靠独立的安全保密设备,还需要从整个系统的安全角度进行考虑。“EVOC”工业标准的EIP(Embedded Inligent Platform)产品进行了整体化的设计,采用一体化结构,保障整个系统的安全性、保密性。
4、 使用方便、操作简单、维护方便
“EVOC”工业标准的EIP(Embedded Inligent Platform)产品充分考虑客户使用的便易性,个性化的设计、生产,满足不同客户、系统的要求。
5、 服务完善
“EVOC”在全国有九家全资子公司,近百家代理商,服务网点遍布全国,客户的服务有专业的服务人员进行,对于客户产品在全国范围内的销售极有帮助。
