Cómo elegir el firewall adecuado
En primer lugar hay que tener claro que un firewall no es un router, switch o servidor. (Aunque parece similar) Por lo tanto, no puede utilizar los indicadores de esos productos para seleccionar un firewall. Entonces, ¿a qué debería prestar atención al elegir un firewall?
Seguridad: Esta es la máxima prioridad. Para un cortafuegos con baja seguridad, no importa qué tan bueno sea su otro rendimiento, son solo palabras vacías. La seguridad incluye varios aspectos, incluida su propia seguridad, capacidades de control de acceso y capacidades de resistencia a ataques.
La autoseguridad se refiere principalmente a la solidez del sistema de firewall, lo que significa que el firewall en sí debería ser difícil de vulnerar. El método de gestión del firewall también es muy importante. ¿Qué método utiliza el administrador para gestionar el firewall, si es telnet o web, si hay cifrado y autenticación, etc.?
La capacidad de control de acceso es la función principal del firewall. Las capacidades de control de acceso incluyen la granularidad del control, es decir, qué contenido se puede controlar, como direcciones, protocolos, puertos, hora, usuarios, comandos, archivos adjuntos, etc. Otra cosa a tener en cuenta es la intensidad del control, lo que significa que todo el contenido que debe restringirse debe bloquearse y el contenido que debe aprobarse no debe bloquearse en absoluto.
La capacidad antiataque se refiere a la capacidad del firewall para resistir varios ataques. Incluyendo el tipo y número de ataques a resistir. Especialmente resistencia a ataques DOS y DDOS. Actualmente, no existe una solución perfecta para los ataques DDOS. Por lo tanto, para los ataques DDOS, depende principalmente de qué tan fuerte se pueda resistir.
Es muy difícil para los usuarios juzgar por sí mismos el rendimiento anterior al elegir un firewall. Porque los usuarios no cuentan con herramientas y métodos de prueba especializados. Los usuarios pueden ayudar a juzgar basándose en algunas certificaciones y revisiones de terceros. Por ejemplo, si puede tener una certificación militar de seguridad más estricta y un certificado de calificación del Centro de Certificación y Evaluación de Productos de Seguridad de la Información de China. El estándar utilizado actualmente es el estándar nacional GB/T18336. Cuanto mayor sea el nivel, mejor, con niveles hasta 7. (Pero el mejor ahora parece ser EAL3)
En segundo lugar, el rendimiento de la red.
Un firewall es un dispositivo de red. Para garantizar la seguridad, se debe minimizar el impacto en el rendimiento de la red. El rendimiento de la red depende principalmente del ancho de banda máximo, la cantidad de conexiones simultáneas, la cantidad de conexiones nuevas por segundo, la pérdida de paquetes y el retraso. Estos indicadores son los mismos que los de los conmutadores y enrutadores, por lo que no entraré en detalles aquí. Pero hay una cosa a tener en cuenta. Los indicadores anteriores son diferentes cuando la política de firewall está vigente y cuando la política de paso total está habilitada. Los usuarios deben considerar el entorno real. Por ejemplo, primero agregue tantas estrategias como requiera el usuario (estrategia de pase total al final) y luego pruebe. Se dice que la tasa de paso de unos 100 millones de paquetes pequeños de firewall (64 bytes) puede alcanzar más de 70, o incluso 90. Creo que es definitivamente imposible en el uso real. Sólo hay dos posibilidades para probar dichos datos: una es utilizar hardware de alto rendimiento, como un chip de tarjeta de red gigabit, y la otra es manipular el núcleo de la máquina de prueba.
El tercero es la función de red.
Aquí se incluye mucho contenido, como traducción de direcciones, enlace IP/MAC, enrutamiento estático y dinámico, enrutamiento de direcciones de origen, proxy, proxy transparente, acceso telefónico ADSL, soporte DHCP, acceso directo de doble máquina. copia de seguridad, equilibrio de carga, etc.
Entre estas funciones deslumbrantes, los usuarios deberían tener un par de ojos brillantes. Porque los usuarios no necesitan todas las funciones y los usuarios no necesitan gastar dinero en funciones innecesarias. Eso sí, si el precio es el mismo cuantas más funciones mejor, jaja. Los usuarios primero deben aclarar qué funciones necesitan y determinar qué efectos lograrán estas funciones. Luego busque el equipo correspondiente. Algunas funciones están definidas de manera diferente por diferentes fabricantes. Los efectos conseguidos también son diferentes.
La cuarta es la función de gestión. Hay mucho contenido aquí. Los usuarios no deben subestimar lo que hay aquí. Los cortafuegos no son como interruptores: se instalan y se dejan solos durante 50 años. Los firewalls requieren una gestión constante. La gestión diaria implica leer registros, revisar políticas y agregar y eliminar usuarios. La alta gestión también incluye la interacción con terceros, el establecimiento de VPN, la gestión centralizada remota y más. En términos de gestión, los usuarios deben prestar atención a la facilidad de uso de la interfaz y las opciones de configuración deben ser fáciles de entender.
Los registros son particularmente importantes. Un buen sistema de registro debe tener registros detallados, incluido el estado y el contenido de las conexiones. Debe ser fácil de clasificar y ordenar, y debe ser fácil de almacenar en la base de datos y tener interfaces estándar como syslog. Para la administración remota, los usuarios deben prestar atención al cifrado y autenticación de los comandos de administración, ya sea para admitir la importación y exportación remota de políticas, etc. En cuanto a si la interfaz de gestión se ve bien o no, depende de las preferencias personales.
El quinto es la calidad. La calidad de un cortafuegos no se trata de la fina mano de obra, sino de si el cortafuegos es duradero. Los cortafuegos más avanzados de hoy en día generalmente utilizan tecnología de panel de conexiones. Es decir, todas las piezas originales están fabricadas con tecnología SMT. De esta manera, todo el firewall está integrado y, naturalmente, es menos propenso a fallar. Si la memoria del firewall y los puertos de red tienen forma de ranuras, o incluso se utilizan discos duros comunes como dispositivos de almacenamiento centrales del sistema, entonces se puede imaginar la estabilidad del sistema. Además, en un entorno con altos requisitos de estabilidad, es necesario comprobar si existen fuentes de alimentación duales, ventiladores de alta potencia, etc. Aunque parezca un detalle, sé que muchos cortafuegos colapsan cuando sube la temperatura interior. :)
El contenido anterior es una introducción al producto firewall en sí. Creo que todo el mundo debería tener un conocimiento básico de cómo elegir un firewall. Entonces, hablemos de algunas situaciones reales. Hagamos preguntas y respuestas sobre algunos de los malentendidos que mencioné al principio.
Mito 1: Los cortafuegos son buenos desde el exterior.
Explicación: En el campo de la seguridad de redes, o incluso en el campo de la informática, no necesitamos adorar a los extranjeros en absoluto. Porque las capacidades nacionales de I+D se están poniendo al día gradualmente. Por supuesto, nuestra fuerza general aún es limitada. Sin embargo, para tecnologías relativamente maduras como los firewalls, podemos hacerlo tan bien como las extranjeras. ¿Por qué la marca extranjera, conocida como checkpoint, pierde cada vez menos en el mercado? La razón principal es que no quiero progresar. Otros ya han utilizado firewalls de hardware, pero él todavía se aferra al software puro. Ahora no hay forma de cooperar con Nokia para lanzar productos de hardware. Tampoco soy optimista sobre este tipo de cooperación. Después de todo, este es un pequeño negocio para Nokia y no lo tomarán en serio. En muchas evaluaciones nacionales, los productos nacionales se diferencian de los productos extranjeros en términos de indicadores de desempeño. Por supuesto, los productos extranjeros representan varios de los productos más populares. Por ejemplo, el producto más rápido es netscreen, el que admite la mayor cantidad de protocolos es checkpoint y el que combina la mejor detección de intrusiones es fortinet. Pero no olvide que estos firewalls suelen ser sobresalientes en un aspecto, pero promedio en otros aspectos. Las ventajas de los firewalls domésticos son que tienen funciones integrales, son fáciles de usar y tienen servicios localizados. El énfasis unilateral en una función no es suficiente para un firewall. Los usuarios deben elegir un firewall según sus propias condiciones reales. Creo que los cortafuegos domésticos son muy rentables.
A algunas personas también les preocupa que el firewall doméstico no sea lo suficientemente seguro. Los países cuentan con agencias de certificación y evaluación especializadas en estas áreas. No creo que sea gratis. (Por supuesto, algunas revisiones solo requieren dinero y no lo prueban). Pero, ¿son necesariamente seguros los productos extranjeros? Creo que deberíamos poner un signo de interrogación en nuestra mente.
Mito 2: Los firewalls de hardware puro son mejores que los firewalls basados en Linux.
Explicación: Hardware o software, esto solo está relacionado con el principio de implementación. Para realizar la función de firewall, aún necesita confiar en el software. El firewall ASIC tiene el código del firewall integrado en el chip, por lo que se ejecuta de manera muy eficiente. Pero ¿qué pasa con el resto? Un firewall no es un dispositivo que solo realiza inspección de paquetes. Hay muchas otras funciones. Es muy difícil integrar todo en el chip. Especialmente si aparece una nueva función, a menudo resulta difícil agregarla al chip ASIC original. Algunas personas dicen que los chips ASIC son rápidos. Esta cuestión puede considerarse desde dos perspectivas. En primer lugar, Corea del Sur también tiene un firewall con chips ASIC. También hay OEM nacionales (no diré cuál), pero todos son productos de gama baja, con sólo unos pocos miles de conexiones simultáneas. Entonces ASIC no es necesariamente bueno, depende del nivel de investigación y desarrollo. En segundo lugar, ¿necesita una velocidad tan rápida? La velocidad es importante, pero no la única. Ahora netscreen puede alcanzar decenas de gigabytes, pero ¿cuántos usuarios tienen un ancho de banda tan grande? A excepción de las telecomunicaciones, pocos son útiles.
Los firewalls basados en Linux pueden agregar fácilmente funciones al software e incluso pueden personalizarse y desarrollarse según los requisitos del usuario.
Mito 3: Cuanto más altos sean los indicadores del firewall, mejor.
De hecho, sigue siendo la misma frase: elige según tus necesidades. Quizás el usuario tenga mucho dinero, pero claro esa es otra historia. Sin embargo, cuando los usuarios tienen fondos limitados, deben medir cuidadosamente qué indicadores son más útiles para los usuarios. Por supuesto, hay que tener visión de futuro a la hora de elegir los productos. Lo ideal es que los productos puedan adaptarse a la expansión de la red en los próximos dos años. He visto el método de selección del usuario de la siguiente manera: debido a que nuestra línea dedicada es alimentada por fibra óptica de telecomunicaciones, necesitamos usar firewalls y conmutadores Gigabit. De hecho, esta fibra óptica mide sólo 8M. Creo que no importa qué tan rápido se desarrollen las telecomunicaciones, probablemente pasarán 5 o 6 años antes de que las velocidades de las líneas dedicadas alcancen más de 100 M (es difícil decir cuánto será el alquiler). Por lo tanto, elegir equipos Gigabit ahora no es tan bueno como elegir. Un buen módulo de conversión fotoeléctrica. Algunos usuarios persiguen unilateralmente el número máximo de conexiones simultáneas, pensando que cuanto mayor sea el número de conexiones simultáneas, mejor. De hecho, esto también induce a error a algunos fabricantes nacionales. El máximo de conexiones simultáneas es suficiente. Los fabricantes nacionales ahora están jugando una mala pasada con este indicador. Puede comparar los indicadores públicos del mismo modelo de productos en los últimos dos años y encontrará que las conexiones simultáneas de algunos productos aumentan repentinamente de manera exponencial. Por supuesto, puede ser que el producto haya sido actualizado, pero en muchos casos el fabricante modifica deliberadamente el número con fines de marcado. De todos modos, la mayoría de los usuarios no tienen las condiciones para probar la concurrencia máxima. ¿Cómo saber si escribo unos pocos millones? De hecho, para un firewall de 100 M, 1 millón de concurrencia debería ser suficiente y más que suficiente. Lo mismo ocurre con otros indicadores. Elegir según la demanda es fundamental.