部署硬件防火墻

防火墻可以做什么?

1)普通訪問控制(類似于傳統交換機ACL,但是功能比ACL要強;例如交換機可以上256條的ACL規則,路由器可以達到幾千條甚至上萬條,但是防火墻普遍都可以上萬條規則以上)

2)高性能狀態化的訪問控制(高級別安全區域能夠訪問低級別的安全區域,類似于CISCO的反射訪問控制列表)

3)入侵檢測和防御(可以根據預先或者自定義的規則,對攻擊進行檢測和阻斷,這個功能我認為是最重要的)

4)URL過濾(這個功能在園區網比較有用,在IDC幾乎沒什么作用)

5)反病毒(這個功能目前比較雞肋)

6)流量控制(跟傳統的流控比起來,這個功能會相對比較雞肋)

7)抗DDOS(這個功能相對比較雞肋,帶寬型的DDOS抗不了、CC幾乎沒有用、只能防護一些非常低級的DDOS攻擊)

8)其他功能


什么時候需要部署防火墻

1)訪問控制(如果策略的數量比較少的話可以用交換機代替,稍微高檔一些的交換機的ACL規則可以高達幾百條)

2)防止攻擊(防火墻入侵檢測和防御功能)

3)高帶寬、高并發的NAT場景,例如校園網、IDC等(預算不充足的話可以使用linux的iptables集群代替,前提是要對linux內核網路方面的參數比較了解)

3)上網行為管理(限速、禁止訪問某些RUL、禁止訪問某類網站)


防火墻的發展歷史和趨勢

UTM:把所有功能做成流水線的模式,一個包裹來,要經過很多模塊檢測,對性能和質量造成較大影響。

下一代防火墻:所有的模塊采用并行的模式,一個包過來,多個模塊同時運作,性能有很大提高。

未來發展趨勢:目前防火墻對應用層的檢測相對來說是比較雞肋的。未來防火墻的發展趨勢會往應用層深度檢測攻擊的方向發展。和大數據結合在一起,具有更強的發現功能能力。


防火墻的采購注意事項

防火墻廠商的參數以吹牛為主(尤其大陸廠商)。看上去好像很屌,實際上防火墻的吞吐一般要打個30%。對于吞吐,還有分類,例如普通吞吐、IPS吞吐、IPSEC VPN吞吐、SSL VPN吞吐、AV吞吐、URL吞吐等等。

購買防火墻的時候要購買不同功能的license(例如IPS、URL過濾等等),否則買回來只是一臺高檔一點的ACL、NAT設備。不具備防攻擊的功能。

防火墻的投入是持續的,并非一次性投資,例如要購買IPS升級特征庫。


防火墻的部署誤區

缺乏管理:很多單位/企業,購買了防火墻后,放在出口開啟NAT后就沒有下文了。這個還倒不如部署一臺iptables來的劃算。

對防火墻的認知誤區:很多人認為防火墻部署后就可以高枕無憂了。如果你沒有對日志進行分析或者使用一些高級的功能,防火墻只會是一臺普通的ACL、NAT設備。不能阻擋任何攻擊。


防火墻部署原則

1)明確知道要保護的資產

2)資產的保護價值

3)想通過什么方法去保護資產


防火墻的衍生產品或者類似產品

入侵檢測/防御

防毒墻

流控

DDOS墻

說明:以上這些產品都可以繼承在防火墻上。如果對某個功能的要求很高(例如抗DDOS的并發數、流量),那么可以考慮串聯專門用于某種功能的設備

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容

  • 1.安全技術 (1)入侵檢測與管理系統(Intrusion Detection Systems): 特點是不阻斷任...
    尛尛大尹閱讀 2,489評論 0 2
  • 防火墻的概念iptables的簡介iptables命令網絡防火墻NATfirewalld服務 一、防火墻的概念 (...
    哈嘍別樣閱讀 1,847評論 0 1
  • 一.防火墻概念 (一)安全技術介紹 (1) 入侵檢測與管理系統(Intrusion Detection Syste...
    楠人幫閱讀 1,515評論 0 3
  • 夏天過了這么久,沒想到還能與薔薇相遇。很多年前,我就一直對人說,如果我有一個院子,如果我有一堵墻,我一定種些薔薇,...
    冰心茉莉閱讀 302評論 0 0
  • 就讓譚校長的這首《不見不散》來開始吧,http://www.xiami.com/song/51486?ref=ic...
    TheTiger閱讀 487評論 0 1