2007年,笔者一共写了两篇防火墙管理方面的评论,一篇是《中国计算机报》上《防火墙测评需规避六个误区》,一篇是《计算机世界》上的《防火墙管理四大傻》。两大IT传媒,正好一家来了一篇。
6加上4,正好是10条。前6条教大家怎么买墙,后4条教大家怎么用墙。仔细想想,确实可以算是防火墙管理的10条警言了,整合起来,很值得防火墙管理者们参考。注意,管理者的范畴不仅是管理员,还有决策者。
重新列一下:
防火墙测评——买
第一条:不要误信含糊实验条件的惊人数字
亲阅过无数防火墙产品广告,一个个白纸黑字标称的4G吞吐量让人炫目,但如果把“64字节小包”、“线速”、“坚持几分钟”之类字眼抛出来,销售人员就会对吞吐量自己先变的吞吞吐吐起来。所以不能轻信厂商提供的各项数据,必须拿标准实验条件的测试结果来比对,或者重新搭建环境亲自来测试。
第二条:不要喜欢数字,而不考虑可管理性
在测评中,用户往往过多地关注性能数字,但对于实际的网络安全管理来讲,两种产品间2%的差异、5%的差异就算10%的差异,真的能带来本质的区别么?一台防火墙配置界面操作是否方便?有否完备的日志管理功能?本墙能否存储日志?有无月度CPU、内存统计功能?可否方便查询已配策略……比起性能数字来,测评这些看似不切主题,但这种问题可是“谁用谁知道”!
第三条:不要关注花哨功能,却不了解性能的隐忧
这年头的防火墙,功能都是多多的,访问控制、防病毒、入侵检测/防御、VPN,叫功能异构也好,叫统一威胁管理也好,像个杂货铺一样。说这些功能“花哨”,是因为它们启动起来,对硬件资源性能的吞噬能力超乎人的想象。所以,拟定测评方案时就轻易不要把这些列在功能项里了吧?
第四条:不要不科学看待高性能硬件架构
硬件防火墙的性能高下离不开硬件架构种类。所谓高性能硬件架构,是对应于X86的传统工控机架构而言的,常见的有NP、ASIC等。对于高性能硬件架构,我们既不能不关注,也不能迷信。但关注的同时,又不能过分推崇“NP”“ASIC”,因为,最强的不一定是最好的和最适合你的。
第五条:不要不结合自己网络特点考虑,不结合自己的安全战略考虑
脱离了用户自身的网络环境特点来测试防火墙是很不科学的,不基于自己安全战略设计防火墙测试指标,更是背离了产品应用的初衷。网络特点告诉用户自己的网里在跑什么样的包,构成成分、多大、什么协议。安全战略告诉用户防火墙买了是为了做什么,要怎么部、怎么配、怎么管。我们要为了“部”、“配”、“管”而“选”而“测”。
第六条:不要不警惕测试中的作弊行为
产品销售与购买属于商业行为,商业就不得不提防欺骗,在测试中则是要警惕作弊行为。假设极个别厂商制作了专门用来测试的高性能“竞争测试版”产品唬人,假设极个别厂商在设备内作一些手脚(如用网线直接连通),那么整个测试结果就会对其他诚信的厂商很不公平。
防火墙管理——用
第七条:不能对防火墙期望过高
防火墙,顾名思义,是旨在防范威胁之“火”的墙。不幸的是,这只是一厢情愿,管理员在防火墙上合理合法地为Web服务开一个80端口,黑客就可以利用软件漏洞来个SQL注入或者跨站攻击。客观地讲,没有防火墙是万万不能的,但有了防火墙不是万能的。
而用户们常常认识不到这点,要么以为边界上部署了防火墙就可以高枕无忧,要么把安全责任一股脑推到网管或防火墙管理员头上,要么凡是想重点保护什么信息资产就一定用防火墙把它罩起来……这样过高期望防火墙功效,会让整个信息系统疏于防范,建设投入不当,最终导致信息系统在高风险层面运转——说它为“傻”并不为过。
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:塞迪网 作者:佚名