选购防火墙时应注意以下问题。
1.制定合适的安全策略
考虑把防火墙放在网络系统的哪一个位置上,才能满足网络安全需求,才能确定欲购的防火墙所能接受的风险水平。
2.了解防火墙的基本性能
(1)防火墙除包含先进的鉴别措施,还应采用包过滤技术、加密技术、可信的信息技术等尽量多的技术。同时需要配备身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等。
(2)防火墙过滤语言应该是友好灵活的,同时应具备源和目的IP地址,协议类型,源和目的TCP/UDP端口及入、出接口等的过滤属性。
(3)防火墙应该忠实地支持自己的安全性策略,并能灵活地容纳新的服务和机构,改变所需的安全策略。防火墙应包含集中化的SMTP访问能力,以简化本地与远程系统的 SMTP连接,实现本地E-mail集中处理。
(4)若防火墙需UNIX之类的操作系统,该系统的版本安全本身就是一个需要考虑的重要问题,应该作为防火墙的一部分,当用其他安全工具时,要保证防火墙主机的完整性,而且该系统应能整体安装。防火墙及操作系统应该可更新,并能用简易的方法解决系统故障等。
(5)防火墙应具有可扩展、可升级性。随着业务的发展,机构内部可能具有不同安全级别的子网,这就需要在这些子网之间做过滤。随着网络技术的发展和变化,防火墙也必须支持软件升级。
3.注重管理界面
拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。
4.进行性能价格评估
安全性越高,实现越复杂,设备费用也相应的越高,反之费用较低。这就需要对网络中需保护的信息和数据进行详细的经济性评估。
