· 网络安全全国
2下一代防火墙设备的选配
下一代防火墙功能强大,成本也相对较高,一些厂商按功能模块收费,因此在选配防火墙设备时需要考虑性价比。一是要了解使用方的网络拓扑结构、核心服务、主干网络带宽利用率峰值、网络中安全设备部署现状和终端用户网络使用体验,挖掘出网络建设安全需求和亟须解决的问题。二是根据客户安全需求,选择对应的防护功能,进而选用功能适配的防火墙设备,在采购防火墙设备的同时需开通对应的功能权限,比如网络序列号、IPSecVPN分支机构、SSLVPN移动用户数,WEB防护、网关杀毒、IPS、应用控制、流量控制、各类特征库升级序号等。三是根据功能需求选择相应的设备部署方式,接入方式不同,实现的防护功能也有差异,防火墙支持网关模式、网桥模式、混合模式、旁接模式和双机接入等。四是根据防火墙接入干线的流量来确定防火墙的性能指标,核心指标有接口数量及带宽、整机吞吐量、应用层吞吐量、每秒最大连接数和并发连接数、设备存储空间、关键部件冗余等,可能制约网络应用和用户体验。
3下一代防火墙对网络连通性的影响
防火墙网络连通配置比较复杂,有的部署模式可能改变原网络结构,影响原网络的连通性。一是影响网络结构。在网关模式和混合模式中,下一代防火墙可替代现有出口路由器,部署在网络出口配置路由功能。在网桥模式中下一代防火墙具有二层网络交换机的功能,部署在核心路由器与核心交换机中间。旁接模式中,下一代防火墙通常接入核心交换机,同时将核心交换机的流量镜像至防火墙,因为实际流量不经过防火墙,防火墙不能实现数据的实时检测和阻断,通常在使用监测和审计时采用这种部署方式。两台防火墙可支持双主模式或主备模式,部署在双核心网络中,实现防火墙设备的设备冗余和线路冗余[1]。二是对网络分区管理。按照网络系统安全等级保护2.0的要求,网络要分区管理,实现这一功能的主要设备就是防火墙。除了旁接模式外,使用其他三种模式部署时,均可将原网络分隔成三个区域,即可信区域、DMZ区域和不可信区域,便于分区管理和配置防护策略。内网属于可信区域,对外服务的服务器部署在DMZ区域,直接连接外网的出口网络属于不可信区域,仅对内提供服务的服务器划入可信区域[2]。
