設計輸入
防火牆檢查傳入 IP 數據包並且阻止那些它檢測爲入侵性質的數據包。可以通過在默認情況下將某些數據包標識爲非法的來完成某些阻擋。或者,也可以將防火牆配置爲阻止某些數據包。TCP/IP 協議是許多年前設計的,沒有考慮到任何有關竊取或入侵的因素,並且有許多弱點。例如,ICMP 協議設計爲 TCP/IP 內的一個信號機制,但是這很容易導致濫用,並且可能導致諸如拒絕服務攻擊等問題。內部防火牆比外圍防火牆具有更嚴格的要求。這是因爲內部通信的合法目的地可能是內部網絡中的任何服務器,因而更難控制。
有許多種類型的防火牆,在一定程度上是按價格區分的,但是也可以按功能和性能區分。通常,防火牆的價格越貴,能力和功能越好。在本模塊的稍後部分中將這些防火牆分組成各個類別以進行區分,但是在選擇防火牆之前,您需要確定您的要求是什麼。應該考慮下列注意事項:
預算
現有設備
可用性
可伸縮性
所需的功能
預算
什麼是可用的預算?環境中的每個防火牆應該在保持經濟、有效的同時提供儘可能高級別的服務,但是如果防火牆過分受成本限制,應注意這可能會對企業造成潛在的損失。請考慮組織在服務因遭受拒絕服務攻擊而被中斷時的停機時間成本。
現有設備
有可以用來節約成本的現有設備嗎?環境中可能有可以重新利用的防火牆和可以安裝防火牆功能集的路由器。
可用性
您的組織需要防火牆在所有的時間都可用嗎?如果要提供一個持續可用的公用 Web 服務器設備,那麼您將需要幾乎 100% 的運行時間。任何防火牆,總會有發生故障的可能性,那麼如何減輕失敗呢?防火牆的可用性可以通過兩種方法來改進:
冗餘組件
爲某些很可能發生故障的組件(如電源)配置備用系統,這可以改進防火牆的適應性,這是因爲如果第一個組件發生故障,不會對運營造成任何影響。低成本防火牆通常不能有任何冗餘選項,因爲添加適應性成本高昂,特別是它通常不會提高處理能力。
備用設備
爲防火牆設備配置備用系統可以提供一個具有完全適應性的系統,但這同樣需要相當高的成本,因爲還需要完全相同的另一套網絡線路,以及防火牆所連接到的路由器或交換機中另一套備用的連接。但是,它的好處是可能會倍增吞吐量,具體取決於防火牆。在理論上,從最小到最大的所有防火牆都可以進行復制,但是實際上還需要一個軟件轉換機制(在較小的防火牆中可能不存在)。
可伸縮性
防火牆的吞吐量要求是什麼?吞吐量可以按每秒傳輸的位數和每秒傳輸的數據包數進行計算。如果是新的業務,可能無法知道吞吐率,但如果業務成功,則 Internet 的吞吐量可能會迅速提升。可以如何處理增長?必須選擇一種在吞吐量增加時可以同比例提高功能的防火牆解決方案。防火牆可以通過增加更多的組件來增大,或者,可以並行地安裝另一個防火牆嗎?
所需的功能
需要哪一種防火牆功能?基於對組織中所提供的服務所做的風險評估,您可以確定需要哪些類型的防火牆功能來保護提供服務的資產。需要 VPN(虛擬專有網絡)嗎(如果此因素影響設計)?