总体说来,防火墙产品应该具有下述几点基本功能:防火墙的设计策略应遵循
安全防范的基本原则——“除非明确允许,否则就禁止”;防火墙本身应支持各种安全策略;可扩展性强,组织机构可以根据实际情况,变更安全策略,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用FTP和telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上;需要提供界面友好、易于编程实现的IP过滤规则语言,并可以根据数据包的性质进行基于TCP/IP的包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;能够维护自身软件的安全,即具有较好的存活性。
在这几点当中,安全策略是防火墙的灵魂和基础。用户在使用防火墙保护关键业务系统之前需要从整体上在安全现状、风险评估和商业需求几个层次上提出一个完备的总体安全策略,这是配置和使用防火墙的关键所在。通常的安全策略可以基于如下两点制订(相对而言,后一方面限制性大,前一方面宽松):
● 准许除明确拒绝以外的全部访问——所有未被禁止的都是合法的;
● 拒绝访问除明确准许以外的全部访问——所有未被允许的都是非法的。
