不支持Flash

企业安全要上锁 如何选购硬件防火墙

http://www.sina.com.cn 2007年01月10日 07:02 中关村在线
作者:中关村在线 王允
第1页:前言

    CNET中国.ZOL 1月10日报道:经常接触网络安全领域的朋友对硬件防火墙这个名词一定不陌生:对于企业用户来说,硬件防火墙本身支持安全策略,有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务,是网络安全的第一道防线。目前基本上所有的大型企业都会选择硬件防火墙作为抵御外部攻击、保护内网安全的首选安全设备,这篇文章里主要介绍企业实际应用中常见的硬件防火墙的概念及选购注意事项。

什么是硬件防火墙?

    关于硬件防火墙的定义,各IT专业媒体说法不一,到现在也没有一个统一的概念,通俗地讲,硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,可以减少CPU的负担这样一种防火墙。 硬件防火墙是保障内部网络安全的一道重要屏障,它的安全和稳定,直接关系到整个内部网络的安全。

为什么要慎重选择硬件防火墙?

    由于网络中应用了防火墙设备,就要求防火墙能够提供相应的支持,包括可管理、环境适应能力、与已有交换机/路由器的互联互通、一定的吞吐能力和适当的延迟等,这样防火墙才不会成为网络瓶颈,但是很多用户对于防火墙的基本功能和参考数据还没有正确的认识;还有,很多企业安全用户对于自身安全需求认识不足,往往容易迷失在产品的数据罗列和宣传中,目前基本上大半的企业用户在购买防火墙时都是听防火墙厂商的“忽悠”,经常会忽略了自己的实际需求。

    再加上外部攻击的多样化以及防火墙产品的多样化,用户选购防火墙造成了一定的困难。单是硬件防火墙就可分成网关、邮件、前端、后端等许多种,用户对于自己到底需要什么样的安全防护并没有概念,这个时候选择防火墙就需要非常慎重。


第2页:从哪几个方面选择防火墙?

产品本身的安全性

    防火墙本身直接暴露在外网访问之下,所以产品本身的安全性应该是用户选择产品时首先要注意的一点。这里所说的产品安全性主要针对产品所采用的系统构架是否完整或者强健、产品是否有过安全漏洞历史、是否有被拒绝服务攻击击溃的历史等方面。除此之外,产品所支持的认证方式也是值得思忖的问题之一,支持方式较为广泛、与网内认证措施协同较好的产品无疑具有更高的安全性,而且也可以避免成为整体安全环境中的“短板”。

数据处理性能

    防火墙控制的对象是网络数据,因此数据处理能力是用户在购买产品前要着重考察的一项。主要的衡量指标包括吞吐量、转发率、丢包率、缓冲能力和延迟等,通过这些参数的对比可以了解一款硬件防火墙产品的硬件性能。这个时候不能迷信厂家所给出的数据表,多参考第三方评测数据或者别的产品的参数才是上选。

    另外,吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此在参考数据时也不要迷信绝对数据,算法的不同也会导致吞吐量有很大的差别。

    一般来说,对于中小型企业,选择吞吐量为百兆级的防火墙即可满足需要,而对于电信、金融、保险等大公司大企业部门就需要采用吞吐量千兆级的防火墙产品。

可管理性

    这是考察产品的易用性重要的一项。现在的信息环境相当复杂,如果没有一个配置合理的管理系统,很容易为日后的使用和制定安全方案种下隐患,同时可管理性差的防火墙产品增加了安全管理员的工作量,也无形中增加了企业人力的成本。

    其次,一些大型防火墙面对的是行业用户,这就对产品的集中管理性能提出了较高的要求,在安全策略的定制与下发、日志的集中管理与分析等方面比较出色的产品不仅避免了大量问题的集中出现,也给企业降低网络设备成本带来了便利。

日志记录能力

    所有的安全系统都在遭受着被攻击的危险,一款日志功能强大的防火墙,记录的项目比较全面,可以有效的防范日志被窜改,并能利用多种途径将日志数据定期备份到指定机器等,这些都给企业日后追究攻击者的法律责任提供了有效的依据。

 


第3页:基本性能之外的注意事项

产品兼容性

    现在的企业拥有交换机、路由器等大量网络设备,防火墙产品与这些设备的兼容性也非常重要,毕竟网络安全要依赖设计良好功能完整的体系。如果所购买的产品不能与其它设备很好地兼容,不仅造成了大量的资源浪费,也给网络安全带来了祸端。

产品的售后及相应服务

    动辄就几万元的防火墙设备由于技术升级经常会更改配置来配合最新的技术,一个负责任的厂商会提供完整的售后及升级服务,相比其它网络设备,用户在购买防火墙时除去设备,最重要的是还购买了相关服务。另外,厂商的资历和技术实力决定着上述小标题中的各项指标,因此,一个厂家在防火墙行业资历的高低和口碑的好坏在一定意义上反映了其产品值得购买的程度。

更多附加功能未必好

    就像现在的家用路由器一样,防火墙设备现在也开始摆脱功能千篇一律的现象,路由等附加功能开始被广泛地提起,拥有这些功能当然给用户增加了不少方便,但是用户在选购产品时过分地关注这些功能而忽略防火墙本身的功能无疑是本末倒置。况且,在相同的芯片配置情况下,过多的附加功能会影响产品的处理性能,也会消耗产品的存储空间,因此选购防火墙设备,还是需求为先。

总结:

    企业从事行业的不同会造成对安全的不同需求,了解企业自身安全薄弱环节并选择产品,不仅仅为企业节约了成本,更是为内部网络安全上了一把“保险锁”。在具体的选购过程中,即使是同一个品牌,还应注意将每台防火墙产品的各项参数指示进行对比,从众多的型号中选出真正适合自己企业的防火墙。

爱问(iAsk.com)
不支持Flash
 
不支持Flash