如何鉴别硬件防火墙性能的差异

• 
  　　GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。 　　四、审计和日志以及存储方式
  
  　　目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。
  
  　　很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。
  
  　　目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可以存储大量的日志(几个G到几十个G)，但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。
  
  　　好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。
  
  　　五、如何区分包过滤和状态监测
  
  　　一些小公司为了推销自己的防火墙产品，往往宣称采用的是状态监测技术; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。
  
  　　1. 是否提供实时连接状态查看?
  
  　　状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。
  
  　　2. 是否具备动态规则库?
  
  　　某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接(缺省的源端口是20，在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。
  
  　　状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。

  （出处：网侠）

• 上一页 [1] [2] 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 如何鉴别硬件防火墙性能的差异 相关文章：
• ·如何鉴别硬件防火墙性能的差异
• 如何鉴别硬件防火墙性能的差异 相关软件

上一篇:Windows系统不能“倒”安装的原因

下一篇:技巧:快速更改IE7的文件菜单位置

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐