在选择网站防火墙时,需要考虑以下几个方面:
1. 防火墙的功能性参数
- 数据包过滤:过滤技术(IpFilteringorpacketfiltering)的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包头信息中包括IP源地址、IP目标地址、内装协议(ICP、UDP、ICMP、或IPTunnel)、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。当这些包被送上互联网时,防火墙会读取接收者的IP并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。
- 防火墙的安全规则:安全规则就是对你计算机所使用局域网、互联网的内制协议设置,从而达到系统的最佳安全状态。个人防火墙软件中的安全规则方式可分为两种:一种是定义好的安全规则就是把安全规则定义成几种方案,一般分为低、中、高三种。另一种用户可以自定义安全规则也就是说,在你非常了解网络协议的情况下,你就可以根据自已所需的安全状态,单独设置某个协议。
- 事件日记:这是每个防火墙软件所不能少的主要的功能。记录着防火墙软件监听到发生的一切事件,比如入侵者的来源、协议、端口、时间等等。记录的事件是由防火墙的功能来决定的。
2. 防火墙的体系架构
- 硬件防火墙:是专门的安全设备,上面预装着安全软件,其操作系统一般是专用操作系统。另一方面,软件防火墙通常可以被安装在任何可用的服务器上,服务器的操作系统一般是通用的网络操作系统,诸如Windows或Linux等。
3. 防火墙的风险可视与风险预警能力
- 风险可视与风险预警能力:等保2.0在多个控制点对风险可视与风险预警能力提出相关要求,风险的发现和预警可以有多种方式实现,在下一代防火墙上实现是其中之一。具备风险预警能力的下一代防火墙能够快速针对全网风险进行预测,生成对应的防御策略,提供更加有效的安全防护效果。
4. 防火墙的双向攻击防护能力
- 双向攻击防护能力:近年来,攻击从内部发起的占比非常高,僵尸网络、C&C连接等内部攻击行为几乎出现在每一个安全事件中。因此,等保2.0中提出了应对由内到外的攻击行为进行检测的相关要求,区别于以往的安全防御仅关注外部攻击。因此,选择具备应用层双向攻击防护能力的防火墙,才能够满足等保2.0的安全要求,同时在当前安全形势下获得更好的防护效果。
5. 防火墙的新颖性
- 新型网络攻击行为发现及防御能力:近些年新型网络攻击行为频繁发生,2017年勒索病毒WannaCry利用“永恒之蓝”漏洞大肆传播,实际就是利用了安全防御能力对该漏洞的未知性,类似案例不胜枚举。对防火墙来说,如何利用设备本地的防御能力,联动云端,通过智能分析算法模型的应用、快速高频更新的安全能力和云端的全网威胁情报提升设备对新型网络攻击行为的检测和快速响应能力,是防火墙设备能否适应“等保2.0”安全建设的重要因素。
6. 防火墙的操作系统和安全性
- 操作系统和安全性:安全性主要表现在是否基于安全的操作系统?是否采用专用的硬件平台?设计安全性的根本在于操作系统,具有完整信任关系的操作系统才有系统安全性评价。应用系统的安全以操作系统的安全为基础,同时,自身的安全实现也直接影响整体系统的安全性。
7. 防火墙的稳定性
- 稳定性:由于防火墙处于网络进出口处,因此其稳定性直接影响网络的正常运行。用户可通过咨询国家权威的测评认证中心(如国家信息安全测评认证中心、公安部安全产品测评中心)进行调查等方法考查防火墙的稳定性。
8. 防火墙的价格
- 价格:没有两个企业的网络是完全相同的,因此厂商提供了许多不同类型的防火墙实现(包括基于硬件和软件的),来满足特定客户需要。最基本的实现可以被划分为包过滤、电路层和应用层三类。
综上所述,选择一款适合自己的网站防火墙需要综合考虑以上各个方面,以确保网站的安全得到有效保障。
原创文章,作者:Ur47000,如若转载,请注明出处:https://wyc.retuba.cn/16482.html
