安全基礎：防火牆功能指標詳解

　　從防火牆產品和技術發展來看，分為三種類型:基於路由器的包過濾防火牆、基於通用操作系統的防火牆、基於專用安全操作系統的防火牆。 　　LAN接口 　　列出支持的LAN接口類型:防火牆所能保護的網絡類型，如以太網、快速以太網、千兆以太網、ATM、令牌環及FDDI等。 　　支持的最大LAN接口數:指防火牆所支持的局域網絡接口數目，也是其能夠保護的不同內網數目。 　　服務器平台:防火牆所運行的操作系統平台(如Linux、UNIX、Win NT、專用安全操作系統等)。 　　協議支持 　　支持的非IP協議:除支持IP協議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協議。 　　建立VPN通道的協議: 構建VPN通道所使用的協議，如密鑰分配等，主要分為IPSec，PPTP、專用協議等。 　　可以在VPN中使用的協議:在VPN中使用的協議，一般是指TCP/IP協議。 　　加密支持 　　支持的VPN加密標准:VPN中支持的加密算法, 例如數據加密標准DES、3DES、RC4以及國內專用的加密算法。 　　除了VPN之外，加密的其他用途: 加密除用於保護傳輸數據以外，還應用於其他領域，如身份認證、報文完整性認證，密鑰分配等。 　　提供基於硬件的加密: 是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密強度。 　　認證支持 　　支持的認證類型: 是指防火牆支持的身份認證協議，一般情況下具有一個或多個認證方案，如RADIUS、Kerberos、TACACS/TACACS 、 口令方式、數字證書等。防火牆能夠為本地或遠程用戶提供經過認證與授權的對網絡資源的訪問，防火牆管理員必須決定客戶以何種方式通過認證。 　　列出支持的認證標准和CA互操作性:廠商可以選擇自己的認證方案，但應符合相應的國際標准，該項指所支持的標准認證協議，以及實現的認證協議是否與其他CA產品兼容互通。 　　支持數字證書:是否支持數字證書。
　　訪問控制 　　通過防火牆的包內容設置:包過濾防火牆的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火牆的數據包的處理方法，對於沒有明確定義的數據包，應該有一個缺省處理方法;過濾規則應易於理解，易於編輯修改;同時應具備一致性檢測機制，防止沖突。IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協議字段表明封裝協議為ICMP、TCP或UDP，那麼再根據ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執行過濾，其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基於RPC的應用服務過濾、基於UDP的應用服務過濾要求以及動態包過濾技術等。 　　在應用層提供代理支持:指防火牆是否支持應用層代理，如HTTP、FTP、TELNET、SNMP等。代理服務在確認客戶端連接請求有效後接管連接，代為向服務器發出連接請求，代理服務器應根據服務器的應答，決定如何響應客戶端請求，代理服務進程應當連接兩個連接(客戶端與代理服務進程間的連接、代理服務進程與服務器端的連接)。為確認連接的唯一性與時效性，代理進程應當維護代理連接表或相關數據庫(最小字段集合)，為提供認證和授權，代理進程應當維護一個擴展字段集合。 　　在傳輸層提供代理支持:指防火牆是否支持傳輸層代理服務。 　　允許FTP命令防止某些類型文件通過防火牆:指是否支持FTP文件類型過濾。 　　用戶操作的代理類型:應用層高級代理功能，如HTTP、POP3 。 　　支持網絡地址轉換(NAT):NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用於私有地址域與公有地址域的轉換以解決IP地址匮乏問題。在防火牆上實現NAT後，可以隱藏受保護網絡的內部結構，在一定程度上提高了網絡的安全性。 　　支持硬件口令、智能卡: 是否支持硬件口令、智能卡等，這是一種比較安全的身份認證技術。 　　防御功能 　　支持病毒掃描: 是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，FTP中的下載或上載文件內容，以發現其中包含的危險信息。 　　提供內容過濾: 是否支持內容過濾，信息內容過濾指防火牆在HTTP、FTP、SMTP等協議層，根據過濾條件，對信息流進行控制，防火牆控制的結果是:允許通過、修改後允許通過、禁止通過、記錄日志、報警等。 過濾內容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。 　　能防御的DoS攻擊類型:拒絕服務攻擊(DoS)就是攻擊者過多地占用共享資源，導致服務器超載或系統資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。 　　阻止ActiveX、Java、Cookies、Javascript侵入:屬於HTTP內容過濾，防火牆應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，並向浏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當發現危險代碼時，向服務器報警。 　　安全特性 　　支持轉發和跟蹤ICMP協議(ICMP 代理):是否支持ICMP代理，ICMP為網間控制報文協議。 　　提供入侵實時警告:提供實時入侵告警功能，當發生危險事件時，是否能夠及時報警，報警的方式可能通過郵件、呼機、手機等。 　　提供實時入侵防范:提供實時入侵響應功能，當發生入侵事件時，防火牆能夠動態響應，調整安全策略，阻擋惡意報文。 　　識別/記錄/防止企圖進行IP地址欺騙:IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網絡進行攻擊，防火牆應該能夠禁止來自外部網絡而源地址是內部IP地址的數據包通過。
　　管理功能 　　通過集成策略集中管理多個防火牆:是否支持集中管理，防火牆管理是指對防火牆具有管理權限的管理員行為和防火牆運行狀態的管理，管理員的行為主要包括:通過防火牆的身份鑒別，編寫防火牆的安全規則，配置防火牆的安全參數，查看防火牆的日志等。防火牆的管理一般分為本地管理、遠程管理和集中管理等。 　　提供基於時間的訪問控制:是否提供基於時間的訪問控制。 　　支持SNMP監視和配置:SNMP是簡單網絡管理協議的縮寫。 　　本地管理:是指管理員通過防火牆的Console口或防火牆提供的鍵盤和顯示器對防火牆進行配置管理。 　　遠程管理:是指管理員通過以太網或防火牆提供的廣域網接口對防火牆進行管理，管理的通信協議可以基於FTP、TELNET、HTTP等。 　　支持帶寬管理:防火牆能夠根據當前的流量動態調整某些客戶端占用的帶寬。 　　負載均衡特性:負載均衡可以看成動態的端口映射，它將一個外部地址的某一TCP或UDP端口映射到一組內部地址的某一端口，負載均衡主要用於將某項服務(如HTTP)分攤到一組內部服務器上以平衡負載。 　　失敗恢復特性(failover):指支持容錯技術，如雙機熱備份、故障恢復，雙電源備份等。 　　記錄和報表功能 　　防火牆處理完整日志的方法:防火牆規定了對於符合條件的報文做日志，應該提供日志信息管理和存儲方法。 　　提供自動日志掃描:指防火牆是否具有日志的自動分析和掃描功能，這可以獲得更詳細的統計結果，達到事後分析、亡羊補牢的目的。 　　提供自動報表、日志報告書寫器:防火牆實現的一種輸出方式，提供自動報表和日志報告功能。 　　警告通知機制:防火牆應提供告警機制，在檢測到入侵網絡以及設備運轉異常情況時，通過告警來通知管理員采取必要的措施，包括E-mail、呼機、手機等。 　　提供簡要報表(按照用戶ID或IP 地址):防火牆實現的一種輸出方式，按要求提供報表分類打印。 　　提供實時統計:防火牆實現的一種輸出方式，日志分析後所獲得的智能統計結果，一般是圖表顯示。 　　列出獲得的國內有關部門許可證類別及號碼:這是防火牆合格與銷售的關鍵要素之一，其中包括:公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。 ，