防火墙非常实用的功能之一远程管理
一般来讲，以上的观点从一些侧面反映出防火墙的管理的一些趋势。基于 GUI 管理界面的防火墙要比基于 Web 界面管理的防火墙提供了更丰富的管理功能和更好的平安性，希望用户在选择防火墙的时候，根据自己情况认真选择。



也是防火墙非常实用的功能之一。用户可以利用防火墙的远程管理功能在办公室管理托管在电信部门的防火墙产品，远程管理是防火墙产品的一种管理功能的扩展。甚至坐在家中就可以重新调整防火墙的平安规则和策略。



防火墙的远程管理功能为用户的使用和对防火墙的管理提供了更加方便、快捷的手段。越来越多的用户将防火墙是否提供远程管理功能作为选择防火墙产品的重要参考指标之一。确。



另一种是基于管理端软件的 GUI 界面，目前防火墙产品的远程管理大致使用以下三种技术：一种是基于浏览器的 Web 界面管理方式。除此之外，还有基于命令行的 CLI 管理方式（一般通过串口进行配置）



管理界面一般需要完成对防火墙的配置、管理和监控。 CLI 命令行的管理方式适合对防火墙进行初始化、网卡配置等基本操作，无论是 Web 界面管理方式还是基于管理端软件的 GUI 界面。不适合做丰富的管理功能。



一种重要的管理工具， GUI 管理方式： GUI 直观。适合对防火墙进行复杂的配置，管理多台防火墙，同时支持丰富的审计和日志的功能。



适合那些功能不是很多的防火墙的管理工作。 Web 管理方式： Web 界面管理方式是另一种管理工具。这种方式提供了简单的管理界面。



事实上， CLI 管理方式：这种方式不适合对防火墙进行管理。不太可能通过命令行的方式对一个具有复杂功能的防火墙进行很好的配置，比较适合高级用户和厂商对防火墙进行调试。



其实 GUI 当前应用顺序的趋势，纵观当今国内外防火墙技术的发展不难看出。其简单明了特性为用户发挥产品功能提供了更好的条件。



但是却很少真正使用，大家知道 CISCO 产品 IOS 提供比较全面的访问控制战略。因为其使用非常不方便，因此很多防火墙厂商不提供 CLI 模式，要适应 GUI 需要，同时将更多的力量放到更安全的方面。



比方 NetEy 防火墙除了支持一次性口令的认证之外，管理界面设计直接关系到防火墙的易用性和安全性。管理主机和防火墙之间的通信一般经过加密。国内比较普遍采用自定义协议、一次性口令进行管理主机与防火墙之间通信（适用 GUI 界面）当然也有一些更安全的措施。还支持了 RSA 公司的 SecurID Token 令牌认证，为防火墙的管理提供了更加可靠的保证。



并且可以自定义协议， GUI 界面可以设计的比较美观和方便。也是被多数厂商使用的一个主要原因，这也是基于 Web 界面管理的防火墙无法做到一般基于 Web 管理界面的防火墙很少可以提供丰富的统计和审计功能，基本不能提供一些统计图和统计表。



但由于防火墙核心局部因此要增加一个 CGI 解释局部，一般管理端软件都是使用 VB VC 语言开发的也有部分厂家为了平台无关性而使用 Java 语言开发。 Web 界面仍有少数厂商使用。从而减少了防火墙的可靠性，而 GUI 界面只需要一个简单的后台进程就可以了所以基于 Web 界面的防火墙管理方式应用不是太广泛。



大多做的比较粗糙，目前国内大部分防火墙厂商还不是十分重视管理界面。不是十分完善。反观之管理界面固然很重要，然而它终究不是一个防火墙的全部，一个系统功能设计完善的防火墙其管理部分必然容易设计。



也可能来自内部。 注意 : 对于基于 Web 界面的管理方式存在被恶意用户或者黑客进行口令字攻击的风险。这种口令字攻击既可能来自外部。



管理员在家中打开电脑，可以设想。调出 IE 浏览器， URL 栏输入公司防火墙的 IP 地址，这时 IE 显示出需要输入用户名和口令，网管输入了用户名和口令，回车后登陆进入防火墙。以下以国内某品牌防火墙为例。



完全可以同样调出 IE 连接防火墙，这个过程如果换成一个恶意用户或者黑客。因为 Web 管理界面防火墙的用户名一般是固定的比方 admin fwadmin Administr 等，黑客可以在家中沉着的猜测网管的口令，任意的输入口令进行口令猜想。黑客攻击的手段一般采用穷举的方法。



口令字攻击是不存在黑客没有防火墙的管理端软件是无法连接防火墙的即使黑客得到防火墙的管理端软件，但是管理主机与防火墙通过单独接口通信的情况下。多种认证方式也限制了黑客很难通过远程控制防火墙。