找回密码
 立即注册

网络安全

关于我们

  • 电话:18688952737
  • Q Q:375253020
  • 邮箱:375253020@qq.com.cn

防火墙功能指标详解

  • 7/14/2014 5:35:51 PM
  • 蓝梦
  • 网络安全
  • 来源:蓝梦网络营销策划有限公司
  • 围观:

产品类型

        从防火墙产品和技术发展来看,分为三种类型:基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。


LAN接口

        列出支持的LAN接口类型:防火墙所能保护的网络类型,如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。

        支持的最大LAN接口数:指防火墙所支持的局域网络接口数目,也是其能够保护的不同内网数目。

        服务器平台:防火墙所运行的操作系统平台(如Linux、UNIX、Win NT、专用安全操作系统等)。


协议支持

        支持的非IP协议:除支持IP协议以外 ,又支持AppleTalk、DECnet、IPX及NETBEUI等协议。

        建立VPN通道的协议: 构建VPN通道所使用的协议,如密钥分配等,主要分为IPSec,PPTP、专用协议等。

        可以在VPN中使用的协议:在VPN中使用的协议,通常为 指TCP/IP协议。


加密支持

        支持的VPN加密标准:VPN中支持的加密算法, 例如数据加密标准DES、3DES、RC4和 国内专用的加密算法。

        除 VPN以外 ,加密的其他用处 : 加密除用于保护传输数据以外 ,还利用 于其他领域,如身份认证、报文完全 性认证,密钥分配等。

        提供基于硬件的加密: 是不是 提供硬件加密方法,硬件加密可以提供更快的加密速度和更高的加密强度。


认证支持

        支持的认证类型: 是指防火墙支持的身份认证协议,一般情况下具有一个或多个认证方案,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问,防火墙管理员必须决定客户以何种方式通过认证。

        列出支持的认证标准和CA互操作性:厂商可以选择自己的认证方案,但应符合相应的国际标准,该项指所支持的标准认证协议,和 实现的认证协议是不是 与其他CA产品兼容互通。

        支持数字证书:是不是 支持数字证书。


访问控制

        通过防火墙的包内容设置:包过滤防火墙的过滤规则集由若干条规则组成,它应涵盖对所有出入防火墙的数据包的处理方法,对 没有明肯定 义的数据包,应当 有一个缺省处理方法;过滤规则应易于理解,易于编辑修改;同时应具有 一致性检测机制,避免 冲突。IP包过滤的根据 主要是根据IP包头部信息如源地址和目的地址进行过滤,如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP,那么 再根据ICMP头信息(类型和代码值)、TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)履行 过滤,其他的还有MAC地址过滤。利用 层协议过滤要求主要包括FTP过滤、基于RPC的利用 服务过滤、基于UDP的利用 服务过滤要求和 动态包过滤技术等。

        在利用 层提供代理支持:指防火墙是不是 支持利用 层代理,如HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接要求 有效后接收 连接,代为向服务器发出连接要求 ,代理服务器应根据服务器的应对 ,决定如何响应客户端要求 ,代理服务进程应当连接两个连接(客户端与代理服务进程间的连接、代理服务进程与服务器真个 连接)。

        为确认连接的唯一性与时效性,代理进程应当保护 代理连接表或相干 数据库(最小字段集合),为提供认证和授权,代理进程应当保护 一个扩大 字段集合。

        在传输层提供代理支持:指防火墙是不是 支持传输层代理服务。

        允许FTP命令避免 某些类型文件通过防火墙:指是不是 支持FTP文件类型过滤。

        用户操作的代理类型:利用 层高级代理功能,如HTTP、POP3 。

        支持网络地址转换(NAT):NAT指将一个IP地址域映照 到另外一 个IP地址域,从而为终端主机提供透明路由的方法。NAT常常 使用 于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部结构,在一定程度上提高了网络的安全性。

        支持硬件口令、智能卡: 是不是 支持硬件口令、智能卡等,这是一种比较安全的身份认证技术。


防御功能

        支持病毒扫描: 是不是 支持防病毒功能,如扫描电子邮件附件中的DOC和ZIP文件,FTP中的下载或上载文件内容,以发现其中包括 的危险信息。

        提供内容过滤: 是不是 支持内容过滤,信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层,根据过滤条件,对信息流进行控制,防火墙控制的结果是:允许通过、修改后允许通过、制止 通过、记录日志、报警等。 过滤内容主要指URL、HTTP携带的信息:Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。

        能防御的DoS攻击类型:谢绝 服务攻击(DoS)就是攻击者过量 地占用共享 资源,导致 服务器超载或系统资源耗尽,而使其他用户没法 享有服务或没有资源可用。防火墙通过控制、检测与报警等机制,可在一定程度上避免 或减轻DoS黑客攻击。

        禁止 ActiveX、Java、Cookies、Javascript侵入:属于HTTP内容过滤,防火墙应当 能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒,并向浏览 器用户报警。同时,能够过滤用户上载的CGI、ASP等程序,当发现危险代码时,向服务器报警。


安全特性

        支持转发和跟踪ICMP协议(ICMP 代理):是不是 支持ICMP代理,ICMP为网间控制报文协议。

        提供入侵实时警告 :提供实时入侵告警功能,当产生 危险事件时,是不是 能够及时报警,报警的方式可能通过邮件、呼机、手机等。

        提供实时入侵防范:提供实时入侵响应功能,当产生 入侵事件时,防火墙能够动态响应,调剂 安全策略,阻挡歹意 报文。

        辨认 /记录/避免 企图进行IP地址欺骗:IP地址欺骗指使用假装 的IP地址作为IP包的源地址对受保护网络进行攻击,防火墙应当 能够制止 来自外部网络而源地址是内部IP地址的数据包通过。


管理功能

        通过集成策略集中管理多个防火墙:是不是 支持集中管理,防火墙管理是指对防火墙具有管理权限的管理员行动 和防火墙运行状态的管理,管理员的行动 主要包括:通过防火墙的身份鉴别,编写防火墙的安全规则,配置防火墙的安全参数,查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。

        提供基于时间的访问控制:是不是 提供基于时间的访问控制。

支持SNMP监视和配置:SNMP是简单网络管理协议的缩写。

        本地管理:是指管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。

远程管理:是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理,管理的通讯 协议可以基于FTP、TELNET、HTTP等。

        支持带宽管理:防火墙能够根据当前的流量动态调剂 某些客户端占用的带宽。

        负载均衡特性:负载均衡可以看成动态的端口映照 ,它将一个外部地址的某一TCP或UDP端口映照 到一组内部地址的某一端口,负载均衡主要用于将某项服务(如HTTP)分摊到一组内部服务器上以平衡负载。

失败恢复特性(failover):指支持容错技术,如双机热备份、故障恢复,双电源备份等。


记录和报表功能

        防火墙处理完全 日志的方法:防火墙规定了对 符合条件的报文做日志,应当 提供日志信息管理和存储方法。

        提供自动日志扫描:指防火墙是不是 具有日志的自动分析和扫描功能,这可以获得 更详细的统计结果,到达 事后分析、亡羊补牢的目的。

        提供自动报表、日志报告书写器:防火墙实现的一种输出方式,提供自动报表和日志报告功能。

        警告 通知机制:防火墙应提供告警机制,在检测到入侵网络和 设备 运转异常情况时,通过告警来通知管理员采取必要的措施,包括E-mail、呼机、手机等。

        提供扼要 报表(依照 用户ID或IP 地址):防火墙实现的一种输出方式,按要求提供报表分类打印。

        提供实时统计:防火墙实现的一种输出方式,日志分析后所获得 的智能统计结果,通常为 图表显示。

        列出获得 的国内有关部门许可证种别 及号码:这是防火墙合格与销售的关键要素之一,其中包括:公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通讯 入网证和国家保密局的推荐证明等。

TAG: 【返回列表页】
评论加载中...
内容:
评论者: 验证码: