1993年，中國第一條64K專線接通了國際互聯網，彈指10年間，網絡時代給我們的工作、生活帶來了巨大的變化。這10年，網絡以幾何級數式的膨脹增長，網絡傳輸的信息量空前增加，傳統數據加上語音、視頻、多媒體等大量的信息流，對于網絡的帶寬不斷地提出了新的需求。另一方面，網絡安全越來越成為一個不容忽視的課題。據于2002年調查顯示，在過去的5年中，每天都有因受到黑客攻擊而造成嚴重損失的事件。安全產品和網絡攻擊如同矛和盾的較量，每一天都在演繹著網絡安全新的傳說。從1996年底到2002年初，國內安全市場經歷了“軍閥混戰”的時期，安全廠商經受了一次大的洗禮。自2002年下半年至今，國內網絡安全市場中，安全廠商優勝劣汰，形成了以幾家大專業廠商為主導的局面。現在，就網絡安全產品中的防火墻產品，在新時期，防火墻選型需要注意的幾個問題作以說明。
　　
　　防火墻：一道安全屏障
　　
　　防火墻是一種控制隔離技術，采用綜合的網絡技術設置在被保護網絡和外部網絡之間的一道屏障，用以分隔被保護網絡與外部網絡系統，防止發生不可預測、潛在的破壞性侵入。防火墻設備像在兩個網絡之間設置了一道關卡，能根據用戶的安全策略控制出入網絡的信息流，防止非法信息流入被保護的網絡內，且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網絡和信息安全的基礎設施。所以，在選用防火墻的時候，一定要從性能指標、安全性、復雜環境適應性、安全審計、配置管理方便性等方面去考慮。
　　
　　性能指標要滿足網絡應用和發展要求
　　
　　網絡發展到如今，網絡的流量呈現了迅速增長的趨勢，那么所選擇的防火墻能否滿足網絡的大數據流量要求呢？防火墻的性能指標，體現了防火墻能否勝任指定環境的處理能力需求，是否具備較好的可用性。通常遵從RFC2544、RFC1242和RFC2647標準，主要包括吞吐量、丟包率、延遲、背靠背包、最大并發連接數、每秒新建立連接數六項指標。
　　
　　吞吐量是防火墻在各種幀長的滿負載（100M或1000M）雙向（Bidirectional Traffic）UDP數據包情況下的穩定性表現，是其它指標的基礎。它反映的是防火墻的數據包轉發能力。其中， 64字節幀長小包的處理能力，對于反映防火墻數據包的轉發能力尤其重要，現已引起國內外廠商和用戶的關注。在這方面，有些國內企業，如東方龍馬的龍馬衛士防火墻64字節幀長的雙向處理能力超過了60％。防火墻丟包率這項測試，是用來確定防火墻在不同傳輸速率下丟失數據包的百分數，目的在于測試防火墻在超負載情況下的性能。延遲這項測試通常是指測試從測試數據幀的最后一個比特進入被測設備端口開始，至測試數據包的第一個比特從被測設備另一端口離開的時間間隔。背靠背包是指以最小幀間隔發送最多數據包而不引起丟包時的數據包數量。最后兩項分別測試防火墻的每秒所能建立起的TCP/HTTP連接數及防火墻所能保持的最大TCP/HTTP連接數。了解這些之后，我們會明白，采用具有優異性能的防火墻，是我們保護投資的一種有效方式。
　　
　　復雜環境適應性
　　
　　防火墻工作模式常見有三種：路由模式、透明模式和混合模式。所謂混合模式是指將一臺防火墻當作兩臺來用，這樣的防火墻存在著路由和透明兩種工作模式。防火墻只支持前兩種工作模式已經不能適應復雜網絡的安全需求，往往這時候的解決方案就是用兩臺防火墻來完成，一臺工作在路由模式，另一臺工作在透明模式。但是這樣會使用戶成倍地增加防火墻的投入費用，同時增加管理成本。
　　
　　在防火墻基本功能和安全性滿足要求的時候，我們還要考慮對于復雜網絡的適應性。國內有相當多數的網絡沒有考慮安全性的問題，網絡先運行，一段時間之后，才考慮增加安全設備。所以存在很多這樣的現象：先建網絡，后增加防火墻。這勢必給防火墻提出了一個要求—讓防火墻去適應各種各樣的網絡環境。舉一個例子，在用戶已經運行的網絡中，對外開放的服務器采用C/S結構，將與之通信的外網IP地址做到應用程序中，這個時候，我們要求防火墻支持透明模式。進一步的一個例子，這臺服務器處于DMZ（非軍事化）區域，同時，單位局域網用戶又有上網需求，同時隱藏IP。這時，內網和外網采用路由模式，而DMZ區服務器和外網采用透明模式。整個防火墻工作是既有路由，又有透明的混合工作模式。這本來需要兩個防火墻完成的工作，由一臺防火墻很好地滿足了需求。
　　
　　另一方面，對于一個大的網絡，防火墻能否通過簡單的配置，實現復雜網絡的安全需求。對于用戶、IP、服務都可以定義相應的組，簡化安全規則數目。
　　
　　AAA&日志
　　
　　隨著網絡安全的發展，用戶對網絡安全認識的不斷深入，AAA（認證、授權、記賬）已經不可避免地融入防火墻。現在用戶對AAA的要求越來越高，已經遠遠地超越了簡單的用戶名/口令認證的階段，逐步走向全面、標準的AAA。從目前校園網和某些科研機構的應用來看，防火墻必須在框架設計階段就考慮到AAA才能滿足用戶的需求，而且必須提供相應的工具，使防火墻的AAA系統與用戶原有的認證系統平滑過渡。
　　
　　日志作為防火墻重要的一環已經是毋庸置疑的了，但是如何有效地使用和管理防火墻日志，是許多國內廠商沒有解決的問題。經過這幾年的發展，人們逐漸意識到產品標準化、國際化是大勢所趨。目前，多數國內防火墻廠商使用Oracle、SQL Server等商業數據庫進行日志管理，出現了兩頭不靠的尷尬局面。一方面對于中小型用戶，商業數據庫提高了總體成本和管理難度，有牛刀殺雞之嫌；另一方面對于真正的大型企業用戶，一般防火墻廠商提供的日志分析管理軟件，又達不到企業級應用的要求。目前，現實的做法是向第三方工業標準靠齊，比如Webtrends的WELF，提供給用戶簡單快捷、行之有效的解決問題辦法，并且使大型企業用戶可以使用專業的第三方防火墻日志分析軟件。現在，國外許多廠商，例如netscreen、checkpoint都宣布對這個格式支持，國內有些廠商也已經實現對這個格式的支持，如龍馬衛士防火墻的日志就是完全采用WELF格式實現的。
　　
　　配置管理的方便性
　　
　　網絡的發展方向是網絡會越來越大。作為防火墻產品，是否支持集中管理，管理信息是否是加密傳輸，是否支持多種管理方式，例如命令行、圖形化界面等，是擺在防火墻開發商面前的新課題。
　　
　　安全是個永遠的話題。安全技術在不斷發展進步，需要我們提高警惕，增加防范能力。
　　
　　作者：網絡安全技術專家 管中偉