网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　随着网络规模不断扩充，链路、连网用户、各种应用业务的持续增多，再加上云计算时代的来临，众多的企业网和园区网正走向超万兆到汇聚，千兆到桌面的发展，这也预示着从基础网络建设来说万兆网络将要替代传统千兆网络的骨干网地位，而从应用的角度来说大型数据中心的建设也将从以前的千台服务器规模，发展到上万台服务器的规模。从长远来看，未来网络的大流量将带来持续增长的安全压力，也会使得保障网络安全的资金投入持续增长，而这一切又会带来能耗持续增加，这也意味着扩容网络安全规模的同时需要高性能、高扩展性、高效能的网络安全防护产品。

　　当一个企业决定用防火墙来实施组织的安全策略后，下一步要做的就是选择一个安全、实惠、合适的防火墙。选择防火墙时，要考虑以下几方面问题。

　　一、选择防火墙的要求

　　1、防火墙应具备的基本功能

　　支持“除非明确允许，否则就禁止”的设计策略，即使这种策略不是最初使用的策略;本身支持安全策略，而不是添加上去的;如果组织机构的安全策略发生改变，可以加入新的服务;有先进的认证手段或有挂钩程序，可以安装先进的认证方法;如果需要，可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理，以便先进的认证手段就可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;

　　如果用户需要NNTP(网络消息传输协议)，X window，HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问。防火墙应把信息服务器和其他内部服务器分开。

　　2、其他功能

　　防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。如果防火墙使用UNIX操作系统，则应提供一个完全的UNIX操作系统和其他一些保证数据完整的工具，应该安装所有的操作系统的补丁程序。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。

　　防火墙的强度和正确性应该可被验证。防火墙的设计应该简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

　　正像前面提到的那样，因特网每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的适应性是很重要的。

　　二、购买还是自己构筑

　　一些企业具有自己组装防火墙的能力，他们使用可用的软件组件和设备或自己编写一个防火墙程序。另外一些企业利用经销商提供的防火墙技术服务，例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。

　　企业自己构筑防火墙的优势是内部人员了解防火墙设计的细节从而能够方便应用。但自制防火墙需要长时间的修建、记录文档和维护，费用较高。相比之下，从销售商那里购买防火墙是较为经济的。