■ 注意三:是否高效
高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性,也体现了用户使用防火墙所需付出的安全代价。如果由于使用防火墙而带来了网络性能较大幅度地下降的话,就意味着安全代价过高,用户是无法接受的。一般来说,防火墙加载上百条规则,其性能下降不应超过5%(指包过滤防火墙)。支持多少个连接也可以计算出一个指标,虽然这并不能完全定义或控制。
■ 注意四:是否可靠
可靠性对防火墙类访问控制设备来说尤为重要,其直接影响受控网络的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件,这要求有较高的生产标准和设计冗余度,如使用工业标准、电源热备份、系统热备份等。
■ 注意五:功能是否灵活
对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。控制注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等,体现着控制注意的高效和质量。例如对普通用户,只要对 IP 地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问;如果还有移动用户如出差人员的话,还要求能根据用户身份进行过滤。
■ 注页码:[1] [2] [3] [4] [5] [6] [7] 第3页、共7页 |
