企业级防火墙选购标准及防火墙部署指南

　　网络受威胁的程度；

　　若入侵者闯入网络，将要受到的潜在的损失；

　　其他已经用来保护网络及其资源的安全措施；

　　由于硬或软件失效，或防火墙遭到“拒绝服务侵袭”，而导致用户不能访问因特网，造成的整个机构的损失；

　　机构所希望提供给因特网的服务，以及希望能从因特网得到的服务；可以同时通过防火墙的用户数目；

　　站点是否有经验丰富的管理员；

　　今后可能的要求，如要求增加通过防火墙的网络活动或要求新的因特网服务。

　　四、防火墙的局限

　　我们在利用防火墙的各种益处的同时也应该意识到防火墙的局限，有时防火墙会给人一种虚假的安全感，导致在防火墙内部放松安全警惕。而许多攻击正是内部犯罪，这是任何基于隔离的防范措施都无能为力的。同样，防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行，那个程序很可能就包含一段恶意的代码，或泄露敏感信息，或对用户的系统进行破坏。随着Java、JavaScript和ActiveX控件及其相应浏览器的推广，这一问题变得更加突出和尖锐。防火墙的另一个缺点是易用性不够，大多数产品还需要网络管理员手工建立。当然，这一问题马上会得到改观。

　　防火墙在当今Internet上的存在是有生命力的，但它不能替代墙内的安全措施，因此，它不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。

　　五、一些主要防火墙产品介绍

　　TIS FWTK

　　TIS FWTK 是Trusted Information Systems(TIS)Firewall Tools Kit的简称，也称为FWTK。它是应用网关式防火墙软件包的典型代表。

　　FWTK是用来建立和维护内部网络防火墙的工具集。它的代码是用C语言编写的，在网上可以找到它的源码。它可以运行在基于BSD UNIX的许多平台上，包含了许多独立的组件，大部分的组件是代理应用程序。它包括以下几种服务的代理：

　　Telnet；FTP；rlogin；sendmail；HTTP；X窗口系统。

　　FWTK是一个复杂的系统，并不是安装上便能开始保护网络。它是一个“工具箱”。安装后，用户必须作出一定的决策并知道这样做能获得何种结果，因此这并不是简单的配置问题。如果制定的规则或做出的决定是错误的，使用网络将会面临许多问题。

　　FWTK的突出优点是将很好的访问控制融入其设计中。例如，用户可以许可（或拒绝）从某网络，或某个网络的一部分，甚至从某个地址上对被保护的网络进行访问。

　　Raptor公司Eagle系列防火墙

　　Raptor公司已有很久的历史了。它从1991年开始推销它的防火墙系列产品。Raptot公司的网上介绍位于：http://www.raptor..com/products/brochure/40broch.html＃ abontraptor。

　　该公司的防火墙产品使用了许多防火墙技术，包括大量日志的记录；对可疑行为制定的事件触发式处理；严格的分类访问控制等。

　　而且这些产品支持应用代理。相关站点：http:/www.raptor.com/products/brochure/40broch.html

　　CheckPoint Firewall和Firewall－1

　　CheckPoint公司以Israel为基地，于1993年成立。目前在美国的八个城市开了分公司。此公司的系列产品可用于各种平台上。

　　CheckPoint Fireawall－1的一个有趣的功能是对时间对象的控制。此功能允许管理员指定一天中的某段时间，并在这段时间内才执行访问控制。Firewall－1还能将处理任务分散到一组工作站上，从而减轻每个工作站的负担。

　　有关CheckPoint的文章和新闻可在网上找到，请参考：

　　http://www.Checkpoint.com/press/index.html

　　如果想得到有关Check Point公司的最好产品的更详细信息，请访问此地址：

　　http://www.checkpoint.com/products/firewall/intro.html

　　Sunscreen

　　Sun公司的SunScreen是由一系列产品组成。主要的产品包括：

　　SunScreen Spf 100/100G，实行Turnkey解决方案，并提供无IP地址的通讯能力，将内部主机的IP地址隐藏起来。

　　SunScreenTMEFS，可进行严格的数据包过滤和加密处理。提供远程管理和通过HTML界面进行管理的功能，使管理员的管理工作变得更方便。有关SunScreenTMEFS的一些说明位于网址：

　　http://www.sun.dom/securit6/prodspec.html

　　SunScreen SKIP，此产品能使PC机和工作站进行安全验证。

　　Portus Secure Network Firewall

　　Portus是一个NCSA认证的高性能应用程序代理网关。它支持所有TCP、IP连接并增加了UDP代理。产品包括：Portus Secure Network Firewall for AIX，Portus Secure Network Firewall for Solaris，Portus Secure Network Firwall Installation and Administration Guide (Arobat file)。这是一些30天全功能演示版。