设计输入
防火墙检查传入 IP 数据包并且阻止那些它检测为入侵性质的数据包。可以通过在默认情况下将某些数据包标识为非法的来完成某些阻挡。或者,也可以将防火墙配置为阻止某些数据包。TCP/IP 协议是许多年前设计的,没有考虑到任何有关窃取或入侵的因素,并且有许多弱点。例如,ICMP 协议设计为 TCP/IP 内的一个信号机制,但是这很容易导致滥用,并且可能导致诸如拒绝服务攻击等问题。内部防火墙比外围防火墙具有更严格的要求。这是因为内部通信的合法目的地可能是内部网络中的任何服务器,因而更难控制。
有许多种类型的防火墙,在一定程度上是按价格区分的,但是也可以按功能和性能区分。通常,防火墙的价格越贵,能力和功能越好。在本模块的稍后部分中将这些防火墙分组成各个类别以进行区分,但是在选择防火墙之前,您需要确定您的要求是什么。应该考虑下列注意事项:
预算
现有设备
可用性
可伸缩性
所需的功能
预算
什么是可用的预算?环境中的每个防火墙应该在保持经济、有效的同时提供尽可能高级别的服务,但是如果防火墙过分受成本限制,应注意这可能会对企业造成潜在的损失。请考虑组织在服务因遭受拒绝服务攻击而被中断时的停机时间成本。
现有设备
有可以用来节约成本的现有设备吗?环境中可能有可以重新利用的防火墙和可以安装防火墙功能集的路由器。
可用性
您的组织需要防火墙在所有的时间都可用吗?如果要提供一个持续可用的公用 Web 服务器设备,那么您将需要几乎 100% 的运行时间。任何防火墙,总会有发生故障的可能性,那么如何减轻失败呢?防火墙的可用性可以通过两种方法来改进:
冗余组件
为某些很可能发生故障的组件(如电源)配置备用系统,这可以改进防火墙的适应性,这是因为如果第一个组件发生故障,不会对运营造成任何影响。低成本防火墙通常不能有任何冗余选项,因为添加适应性成本高昂,特别是它通常不会提高处理能力。
备用设备
为防火墙设备配置备用系统可以提供一个具有完全适应性的系统,但这同样需要相当高的成本,因为还需要完全相同的另一套网络线路,以及防火墙所连接到的路由器或交换机中另一套备用的连接。但是,它的好处是可能会倍增吞吐量,具体取决于防火墙。在理论上,从最小到最大的所有防火墙都可以进行复制,但是实际上还需要一个软件转换机制(在较小的防火墙中可能不存在)。
可伸缩性
防火墙的吞吐量要求是什么?吞吐量可以按每秒传输的位数和每秒传输的数据包数进行计算。如果是新的业务,可能无法知道吞吐率,但如果业务成功,则 Internet 的吞吐量可能会迅速提升。可以如何处理增长?必须选择一种在吞吐量增加时可以同比例提高功能的防火墙解决方案。防火墙可以通过增加更多的组件来增大,或者,可以并行地安装另一个防火墙吗?
所需的功能
需要哪一种防火墙功能?基于对组织中所提供的服务所做的风险评估,您可以确定需要哪些类型的防火墙功能来保护提供服务的资产。需要 VPN(虚拟专有网络)吗(如果此因素影响设计)?