防火墙成为网络安全产品主力军(1)

　　如何选择一个好的防火墙呢？

     一、自身的安全性。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。

　　二、系统的稳定性。由于种种原因，有些系统尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断；

　　三、是否高效。一般来说，防火墙加载上百条规则，其性能下降不应超过 5~10 ％（指包过滤防火墙）；

　　四、是否可靠。有较高的生产标准和设计冗余度能提高系统可靠性的；

　　五、是否功能灵活、强大。例如对普通用户，只要对 IP 地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。

　　六、是否配置方便。

　　七、是否可以抵抗拒绝服务攻击。在当前的网络攻击中，拒绝服务攻击是使用频率最高的方法。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击；

　　八、是否可扩展、可升级。

　　群雄逐鹿，谁能胜出？大家都知道拒绝服务（DOS）攻击中的SYN DOS拒绝服务攻击吧，它是最常见最滥用的拒绝服务模式。对于恶意攻击者来说他们使用一些特殊工具大量产生这种导致服务器等待的虚假IP地址的SYN数据包，由于这个IP地址根本没有机器存在，自然不会有任何回应，所以服务器只有傻乎乎的为这些数据包做了个列表，然后一个一个等下去！这些等待花去的时间累加起来就变成了影响正常数据传输的原因，因为攻击者不停发送SYN数据包，服务器就无限的等下去，其他数据包就进不去服务器了。很多人只能痛心的看着他们的服务器被SYN数据包折磨得CPU持久不下100%……它甚至是目前绝大多数防火墙无法防护的，因为要防护这种攻击必须要求防火墙具有数据流指纹检测技术，由于技术含量非常高，大多数宣称使用类似技术的防火墙大都只是局部的应用，所以无法防护大规模的SYN DDOS攻击。