どのようにファイアウォールの実際の機能の違いを識別しますか?


いくつかの問題はユーザーを困惑させます。製品の機能上、各メーカーの説明は非常に似ています。一部の「後進のショー」は有名ブランドと非常に似ています。このような状況に対して、どうやって鑑別しますか?非常に類似した製品であり、同一の機能であっても、具体的な実現において、利用可能性と使いやすさにおいて、個体差が非常に大きい。一、ネット層のアクセス制御はすべてのファイアウォールにこの機能を備えていなければなりません。そうでないとファイアウォールとは言えません。もちろん、大多数のルータも自身のACLを通じてこの機能を実現することができます。1.ルール編集のネットワーク層へのアクセス制御は、主にファイアウォールのルール編集に表れています。私たちは必ず調査します。ネット層へのアクセス制御はルールによって表現されますか?アクセス制御の粒度は十分ですか?同じ規則で、異なる時間帯の制御手段を提供していますか?ルール設定はフレンドリーなインターフェースを提供していますか?ネットの安全意志を簡単に表現できますか?2.IP/MACアドレスバインディングは同様にIP/MACアドレスバインディング機能であり、ファイアウォールがIPアドレスとMACアドレスの自動収集を実現できるかどうかなどの詳細を検討しなければならない。IP/MACアドレスバインディング規則に違反したアクセスに対して、相応のアラームメカニズムを提供しますか?これらの機能は非常に実用的なので、ファイアウォールがIPアドレスとMACアドレスの自動収集を提供できないと、ネットワーク管理は他の手段で所管ユーザーのIPとMACアドレスを取得することを余儀なくされるかもしれません。3、NAT(ネットワークアドレス変換)この元々ルータが備えていた機能は、ファイアウォールの標準機能の一つになりつつある。しかし、この機能については、メーカーごとの違いが大きく、多くのメーカーがNAT機能を実現するには大きな問題があります。私たちはNATの仕事原理を勉強して、自分のネット知識レベルを高めて、分析を通じて比較して、NATの配置と使用の上で簡単に処理するファイアウォールを見つけなければなりません。二、アプリケーション層のアクセス制御という機能は各ファイアウォールメーカーの実力比点であり、最も優れたところでもあります。無料操作システムによるファイアウォールの多くは、状態モニタリングモジュール(Linux、FreeBSDなどのカーネルモジュールが状態モニタリングをサポートしているため)を備えていますが、アプリケーション層の制御は「持ってきた主義」を実現することができず、確実なプログラミングが必要です。応用層の制御については、ファイアウォールを選ぶ際に以下の点を考察することができる。1.HTTPプロトコルの内容フィルタリングを提供していますか?現在の企業ネットワーク環境の中で、最も主要な二つのアプリケーションはWWアクセスと電子メールの送受信です。WWWへのアクセスをきめ細かにコントロールできるかどうかは、ファイアウォールの技術力を反映しています。2.SMTPプロトコルのコンテンツフィルタリングを提供していますか?電子メールへの攻撃が増えています。メール爆弾、メールウィルス、機密情報の漏洩など、SMTPプロトコルに基づくコンテンツフィルタリングやフィルタリングの粒度の粗さがユーザーの注目の的となっています。3.FTPプロトコルのコンテンツフィルタリングを提供していますか?この機能を考察する時、注意深く注意しなければなりません。多くのメーカーのファイアウォールはFTPの内容フィルタリングを備えていると宣伝していますが、注意深く対比すると、その中の大多数はFTP協議の中で二つの命令の制御を実現しただけです。PUTとGET。良いファイアウォールは、FTPの他のすべてのコマンドを制御することができ、CD、LSなどを含み、コマンドレベル制御に基づいてディレクトリとファイルへのアクセス制御を実現するために、すべてのフィルタリングはワイルドカードをサポートする。三、管理と認証はファイアウォールの非常に重要な機能です。現在、ファイアウォール管理は、WEBインタフェースに基づくWUI管理方式と、グラフィカルユーザーインターフェースに基づくGUI管理方式と、コマンドラインCLIに基づく管理方式に分けられている。各種の管理方式の中で、命令行に基づくCLI方式はファイアウォールに最適ではない。WUIとGUIの管理方式はそれぞれ長所と短所があります。WUIの管理方式は簡単で、専門的な管理ソフトを使わず、ブラウザさえあればいいです。同時に、WUIの管理インターフェースは非常に遠隔管理に適しており、ファイアウォールに到達可能なIPを配置すれば、米国で中国支社にあるファイアウォールを管理できる。WUI形式のファイアウォールにも欠点があります。まず、WEBインターフェースは複雑でダイナミックなページ表示にはとても適していません。一般的なWUIインターフェースは豊富な統計チャートを表示するのが難しいので、監査、統計機能に対して厳しいユーザーが必要です。WUI方式を選ばないようにしてください。その他に、ファイアウォールの管理の安全保障の脅威が増大することを招きます。もしユーザが家でブラウザを通じて会社のファイアウォールを管理するなら、信頼関係は簡単なユーザー名とパスワードだけに依存します。GUIは現在ほとんどのファイアウォールが一般的に採用されています。このような方式の特徴は専門で、豊富な管理機能を提供できます。管理者がファイアウォールを配置するのに便利です。しかし、専門的な管理端末ソフトが必要であり、同時にリモートおよび集中管理の面でWUI管理方式が柔軟ではないという欠点がある。四、監査と日誌及び保存方式は現在のファイアウォールの大多数は監査と日誌機能を提供しています。多くのファイアウォールの監査とログ機能が弱いのは、DOM、DOCなどの電子ディスク(しかもネットワークデータベースのサポートを提供しない)を記憶媒体とするファイアウォールの中で、特に明らかであり、イベントログとアクセスログを区別していないものもある。豊富な監査やログ機能が必要な場合は、ファイアウォールの保存方法を調べる必要があり、DOMやDOCなどのFlash電子ディスクの保存方式であれば、監査やログの機能効果を制限する可能性があります。現在ほとんどのファイアウォールの監査ログはハードディスクの保存方式を採用しており、このような方式の利点は大量のログ(いくつかのGから数十個のG)を保存できることであるが、極端な場合には異常な掉電など、ハードディスクが受けるダメージは電子ディスクの損失よりも深刻であることが多い。良いファイアウォールは多様な保存方法を提供し、ユーザーの柔軟な選択と使用に便利です。五、どのようにしてカバンのフィルタリングと状態を区別していくつかの小会社を監視しますか?自分のファイアウォール製品を売り込むために、しばしば状態モニタリング技術を採用すると公言します。表面から見れば、私たちは迷いやすいです。この2つの技術を区別するためのテクニックをここで示します。1.リアルタイム接続状態の表示を提供していますか?状態監視ファイアウォールは、現在の接続状態を確認する機能とインターフェースを提供し、現在の接続をリアルタイムで切断することができます。この接続は、IP、ポート、接続状態、接続時間などを含む豊富な情報を持つべきです。2.ダイナミックルールライブラリを備えていますか?いくつかのアプリケーションプロトコルは、一つの接続と一つのポートだけではなく、しばしば一連の関連する接続によってアプリケーション層の動作を完了する。例えば、FTPプロトコルは、ユーザコマンドが21ポートへの接続を介して転送され、データは別の一時的に確立された接続(デフォルトのソースポートは20、PASSIVEモードでは一時的に割り当てられたポート)を介して転送される。このようなアプリケーションに対して、パケットフィルタリングファイアウォールは、簡単にセキュリティルールを設定することができず、常にすべてのソースポートを20へのアクセスを開放しなければならない。状態監視ファイアウォールはダイナミックルールをサポートし、アプリケーション層のセッションを追跡するプロセスによって自動的に合法的な接続が許可され、他のセッション状態に合わない接続要求が禁止されます。FTPにとっては、ファイアウォールに21ポートへのアクセスルールを設定するだけで、PASSIVE方式のデータ転送を含むFTP伝送の正常性が保証されます。この機能はルールを簡単にするだけでなく、全20ポートを開放しなければならない危険性を排除します。