第3章防火墻的安全標(biāo)準(zhǔn)與評(píng)價(jià)體系3.1防火墻的安全標(biāo)準(zhǔn)3.2防火墻的評(píng)價(jià)體系

3.1防火墻的安全標(biāo)準(zhǔn)

防火墻技術(shù)發(fā)展很快，但缺乏通用標(biāo)準(zhǔn)，導(dǎo)致各大防火墻產(chǎn)品供應(yīng)商生產(chǎn)的防火墻產(chǎn)品兼容性差，給不同廠商的防火墻產(chǎn)品的互聯(lián)帶來了困難。為了解決這個(gè)問題，目前已提出了兩個(gè)標(biāo)準(zhǔn)：

(1)?RSA數(shù)據(jù)安全公司與一些防火墻的生產(chǎn)廠商(如SunMicrosystem公司、Checkpoint公司、TIS公司等)以及一些TCP/IP協(xié)議開發(fā)商(如FTP公司等)提出了Secure/WAN(S/WAN)標(biāo)準(zhǔn)，它能使在IP層上由支持?jǐn)?shù)據(jù)加密技術(shù)的不同廠家生產(chǎn)的防火墻和TCP/IP協(xié)議具有互操作性，從而解決了建立虛擬專用網(wǎng)(VPN)的一個(gè)主要障礙。該標(biāo)準(zhǔn)包含兩個(gè)部分：①防火墻中采用的信息加密技術(shù)一致，即加密算法、安全協(xié)議一致，使得遵循此標(biāo)準(zhǔn)生產(chǎn)的防火墻產(chǎn)品能夠?qū)崿F(xiàn)無縫互聯(lián)，但又不失去加密功能。

②安全控制策略的規(guī)范性、邏輯上的正確合理性，避免了各大防火墻廠商推出的防火墻產(chǎn)品由于安全策略上的漏洞而對(duì)整個(gè)內(nèi)部保護(hù)網(wǎng)絡(luò)產(chǎn)生危害。

(2)美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)(NationalComputerSecurityAssociation，NCSA)成立的防火墻開發(fā)商(FirewallProductDeveloper，F(xiàn)WPD)聯(lián)盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)。

3.2防火墻的評(píng)價(jià)體系

1.吞吐量

網(wǎng)絡(luò)中的數(shù)據(jù)是由數(shù)據(jù)包組成的，防火墻對(duì)每個(gè)數(shù)據(jù)包的處理要耗費(fèi)資源。吞吐量是指在沒有幀丟失的情況下，設(shè)備能夠接受的最大速率。其測(cè)試方法是：在測(cè)試中以一定速率發(fā)送一定數(shù)量的幀，并計(jì)算待測(cè)設(shè)備傳輸?shù)膸绻l(fā)送的幀數(shù)量與接收的幀數(shù)量相等，那么就將發(fā)送速率提高并重新測(cè)試；如果接收幀數(shù)量少于發(fā)送幀數(shù)量，則降低發(fā)送速率重新測(cè)試，直至得出最終結(jié)果。吞吐量測(cè)試結(jié)果以比特/秒或字節(jié)/秒表示。吞吐量和報(bào)文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的主要指標(biāo)，一般采用FDT(FullDuplexThroughput)來衡量，F(xiàn)DT指64字節(jié)數(shù)據(jù)包的全雙工吞吐量。該指標(biāo)既包括吞吐量指標(biāo)也涵蓋了報(bào)文轉(zhuǎn)發(fā)率指標(biāo)。

隨著Internet的日益普及，內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加，一些企業(yè)也需要對(duì)外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務(wù)，這些因素會(huì)導(dǎo)致網(wǎng)絡(luò)流量的急劇增加。而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道，如果吞吐量太小，就會(huì)成為網(wǎng)絡(luò)瓶頸，給整個(gè)網(wǎng)絡(luò)的傳輸效率帶來負(fù)面影響。因此，考察防火墻的吞吐能力有助于我們更好地評(píng)價(jià)其性能表現(xiàn)，這也是測(cè)量防火墻性能的重要指標(biāo)。吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡及程序算法的效率決定。其中程序算法尤其重要，算法不佳可能會(huì)使防火墻系統(tǒng)進(jìn)行大量運(yùn)算，通信量大打折扣。有的防火墻雖號(hào)稱100?M防火墻，由于其算法依靠軟件實(shí)現(xiàn)，通信量遠(yuǎn)遠(yuǎn)達(dá)不到100?M，實(shí)際只有10～20?M。而純硬件防火墻，由于采用硬件進(jìn)行運(yùn)算，因此吞吐量可以達(dá)到90～95?M。

對(duì)于中小型企業(yè)來講，選擇吞吐量為百兆級(jí)的防火墻即可滿足需要，而對(duì)于電信、金融、保險(xiǎn)等大公司、大企業(yè)就需要采用吞吐量為千兆級(jí)的防火墻產(chǎn)品。

2.安全過濾帶寬

安全過濾帶寬是指防火墻在某種加密算法標(biāo)準(zhǔn)下，如DES(56位)或3DES(168位)下的整體過濾性能，它是相對(duì)于明文帶寬提出的。一般來說，防火墻總的吞吐量越大，其對(duì)應(yīng)的安全過濾帶寬越高。

3.用戶數(shù)限制

防火墻的用戶數(shù)限制分為固定用戶數(shù)限制和無用戶數(shù)限制兩種。前者比如SOHO型防火墻，一般支持幾十到幾百個(gè)用戶不等，而無用戶數(shù)限制大多用于大的部門或公司。

需要強(qiáng)調(diào)說明的是，用戶數(shù)和并發(fā)連接數(shù)是完全不同的兩個(gè)概念。并發(fā)連接數(shù)是指防火墻的最大會(huì)話數(shù)(或進(jìn)程)，指每個(gè)用戶可以在一個(gè)時(shí)間里產(chǎn)生的連接數(shù)，在購(gòu)買產(chǎn)品時(shí)要區(qū)分這兩個(gè)概念。

4.?VPN支持

VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通信協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正地去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用付鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。

5.?IDS

IDS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講，IDS就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

我們做一個(gè)形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的實(shí)時(shí)監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，“所關(guān)注流量”指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中一般選擇部署在以下位置：

(1)盡可能靠近攻擊源。

(2)盡可能靠近受保護(hù)資源。這些位置通常是：

服務(wù)器區(qū)域的交換機(jī)上。

Internet接入路由器之后的第一臺(tái)交換機(jī)上。

·重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。

6.安全標(biāo)準(zhǔn)

為保護(hù)人和物品的安全性而制定的標(biāo)準(zhǔn)稱為安全標(biāo)準(zhǔn)。安全標(biāo)準(zhǔn)一般有兩種形式：一種是專門的特定的安全標(biāo)準(zhǔn)；另一種是在產(chǎn)品標(biāo)準(zhǔn)或工藝標(biāo)準(zhǔn)中列出有關(guān)安全的要求和指標(biāo)。從標(biāo)準(zhǔn)的內(nèi)容來講，安全標(biāo)準(zhǔn)可包括勞動(dòng)安全標(biāo)準(zhǔn)、鍋爐和壓力容器安全標(biāo)準(zhǔn)、電氣安全標(biāo)準(zhǔn)和消費(fèi)品安全標(biāo)準(zhǔn)等。安全標(biāo)準(zhǔn)一般均為強(qiáng)制性標(biāo)準(zhǔn)，由國(guó)家通過法律或法令形式規(guī)定強(qiáng)制執(zhí)行。目前國(guó)際上通行的與網(wǎng)絡(luò)和信息安全有關(guān)的標(biāo)準(zhǔn)，大致可分成三類：

(1)互操作標(biāo)準(zhǔn)，比如：對(duì)稱加密標(biāo)準(zhǔn)DES、3DES、IDEA以及被普遍看好的AES；非對(duì)稱加密標(biāo)準(zhǔn)RSA；VPN標(biāo)準(zhǔn)IPSec；傳輸層加密標(biāo)準(zhǔn)SSL；安全電子郵件標(biāo)準(zhǔn)S-MIME；安全電子交易標(biāo)準(zhǔn)SET；通用脆弱性描述標(biāo)準(zhǔn)CVE。這些都是經(jīng)過一個(gè)自發(fā)的選擇過程后被普遍采用的算法和協(xié)議，也就是所謂的“事實(shí)標(biāo)準(zhǔn)”。

(2)技術(shù)與工程標(biāo)準(zhǔn)，比如信息產(chǎn)品通用測(cè)評(píng)準(zhǔn)則(CC/ISO15408)、安全系統(tǒng)工程能力成熟度模型(SSE-CMM)。

(3)網(wǎng)絡(luò)與信息安全管理標(biāo)準(zhǔn)，比如信息安全管理體系標(biāo)準(zhǔn)(BS7799)、信息安全管理標(biāo)準(zhǔn)(ISO13335)。

7.控制端口

防火墻的控制端口通常為Console端口，防火墻的初始配置也是通過控制端口(Console)與PC機(jī)(通常是便于移動(dòng)的筆記本電腦)的串口(RS-232)連接，再通過Windows系統(tǒng)自帶的超級(jí)終端(HyperTerminal)程序進(jìn)行選項(xiàng)配置的。防火墻除了以上所說的通過控制端口(Console)進(jìn)行初始配置外，也可以通過Telnet和Tftp(簡(jiǎn)單文件傳輸協(xié)議)配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都是在命令方式中配置，難度較大；Tftp方式需要專用的Tftp服務(wù)器軟件，但配置界面比較友好。

8.管理功能

防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理。管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。

防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。

(1)本地管理：管理員通過防火墻的Conso