防火墙非常普遍,但并非一应俱全。说到安全细化分析,基于网关的防火墙最好,紧随其后的是状态检测防火墙,但状态检测防火墙提供的安全处理功能最弱。不过就易管理性而言,顺序恰好相反:状态检测防火墙具有最佳的“即插即用性”,应用代理防火墙最弱。那么你怎样确定哪种类型的防火墙适合你的网络呢?哪一种能够在安全、功能、成本和易管理性之间达到最佳平衡呢?
要解决上述问题,不妨分析一下三种应用环境:小型办公室、需求一般的大中型办公室,以及需求复杂的大型办公室。
小型办公室。
小型办公室要管理的用户和机器显然比较少。它们通常不大容易成为攻击目标。而且只需要访问极少量的因特网服务:电子邮件、Web以及有时需要的流媒体。在这种情形下,几乎任何防火墙都能够胜任。因为一般说来,办公室规模越小,用户数就越少,面临的风险也就越低。
因此,就小型办公室而言,简单的数据包过滤防火墙就足够了,譬如许多DSL或线缆路由器随机自带的那些防火墙。其中包括D-Link、3Com、Netgear和Linksys等公司出品的宽带路由器。另外,WatchGuard的Firebox SOHO、Symantec的Firewall 100、Global科技公司的GNAT、NetScreen以及SonicWall SOHO等防火墙也完全适用于这种环境。Check Point和Cisco分别提供小型办公室版本的FireWall-1和PIX,不过价格要贵一点。
需求一般的大中型办公室。
“一般”是指基本或标准的因特网服务。当然,“一般”的定义会随着时间而变化,不过就目前实际应用而言,它包括下列服务:Web、电子邮件、流式媒体以及少量的文件传输和终端访问。
几乎任何功能并不局限于简单的静态过滤防火墙都能满足这种需求。应用代理防火墙也能胜任这项任务,不过现在纯粹的基于网关的应用防火墙寥寥无几。许多主要品牌的防火墙都是混合型,如CyberGuard、Firebox、PIX、NetScreen、Sidewinder、Raptor和FireWall-1,在有些情况下,允许用户选择代理、状态检测还是动态过滤。如果配置成让尽可能多的服务使用安全代理,上述任何一款防火墙都很合适。电子邮件应当始终使用代理,防火墙应当只允许电子邮件进出指定的电子邮件服务器。从内部到因特网的所有Web访问应该实行代理。如果常用服务没有代理,使用动态即状态过滤也不失为好办法。
复杂的大型环境。
当然,拥有诸多用户和诸多有问题的复杂服务的大企业更具挑战性。“有问题的”服务是指貌似简单但实际上需要防火墙开放多个端口的服务,譬如VoIP和NetMeeting。这两种服务都需要为25种以上的不同服务开放端口,所以就应该使用应用网关防火墙,或者仅限于严格控制的环境(譬如,从内部网络、某一组IP地址启动服务、只在特定时间段进行)。此外,如果在复杂的大型环境安装防火墙,应该使用支持集中式防火墙管理和配置功能的防火墙,譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。
记住这些是指导原则,文中举例提到的防火墙也只是例子而已。如果配置得当,每个类型的任何一款防火墙以及没有提到的其它防火墙都能够胜任。