防火牆選型:硬體防火牆的六個指標分析
阿新 • • 發佈:2019-01-12
安全永遠是CIO的一個心病,而選擇一款合適的防火牆則無疑是治療這個心病的一大良藥。筆者在防火牆選型這方面也花過不少的功夫,今天就跟大家討論一下,防火牆選型該怎麼做。筆者總結了六個指標,供大家參考。
一、網路吞吐量。
當CIO在企業中部署了企業級別的防火牆之後,企業進出網際網路的所有通訊流量都要通過防火牆,故對於防火牆的吞吐量就有比較高的要求。以前有些企業是通過ADSL撥號上網的,這時由於頻寬的限制,可能防火牆還可以應付。可是現在大部分企業可能已經都採用了光纖接入,頻寬本來就很大。此時就給防火牆帶來了一定的壓力。
因為防火牆是通過對進入與出去的資料進行過濾來識別是否符合安全策略的,所以在流量比較高時,要求防火牆能以最快的速度及時對所有資料包進行檢測。否則就可能造成比較長的延時,甚至發生宕機。所以網路吞吐量指標非常重要,它體現了防火牆的可用效能,也體現了企業使用者使用防火牆產品的延時代價。如果防火牆對網路造成較大的延時,給使用者造成較大的損失。這一點上筆者是深有感觸。筆者企業很早以前就部署了企業級別的防火牆。後來公司網路進行升級改造,實現了光纖接入。可是升級改造後,筆者發現可用頻寬不到預計頻寬的一半。一開始筆者懷疑是光纖問題。叫對方技術人員過來,他們測試光纖的傳輸沒有問題,頻寬達到預計的標準。那筆者就感到困惑了?是什麼原因吞噬了企業寶貴的頻寬呢?經過一番查詢,最終發現原來是哪個防火牆在作怪。原來這個防火牆採購比較早,其網路吞吐量只有10M。難怪採用光纖接入後達不到預計的要求。為此筆者不得不重新選擇了一款高效能的防火牆,其網路吞吐量達到100M。就的防火牆筆者就用來進行內部的隔離。故如果企業採用了防火牆之後,對可用頻寬造成了很大的影響,那無疑是一種大大的浪費。
所以筆者認為,CIO在選購防火牆的時候第一個要看的指標就是防火牆的吞吐量。當然,這個吞吐量也不是越大越好。因為吞吐量越大的話,防火牆的價格也就越高。CIO要根據企業的實際情況,如現在接入網際網路的頻寬等因素,來選擇的合適的頻寬。當然如果企業資金充裕,CIO有錢沒處花的話,那麼吞吐量當然是越大越好。吞吐量一個基本的原則就是至少要跟企業現有的網際網路接入頻寬相當。
二、協議的優先順序。
筆者企業現在已經實現了網路會議視訊。各個分公司與總公司之間可以通過網路開視訊會議,而不用再像以前那樣趕來趕去開會。不過這個視訊會議需要佔用不少的頻寬。以前每次啟用這個視訊會議,其他使用者都會感受到網路速度明顯的變慢。而且有時候網路視訊也會有一卡一卡的現象。有時候筆者得把其他使用者的外網斷掉,這一卡一卡的現象就得到了改善。但是每次這麼處理很是麻煩。為了改善這個情況,筆者在選擇防火牆的時候特別關注防火牆是否有協議優先順序的管理。也就是說,當視訊會議系統啟動時,企業網路頻寬的使用率可能會比較高。這就好像現在的下班高峰一樣,路上車堵了,那麼車速難免就會慢下來。但是如果這是一輛救護車,那麼其就有優先通過的權力。其他車輛都必須為其讓道。筆者也希望能夠實現類似的控制。還好,現在這款防火牆沒有讓筆者失望。在這款防火牆中,有協議優先順序的功能,可以把語音流等關鍵業務的資料流量設定為比較高的優先級別。當企業的網路中出現擁塞時,將優先保證這些優先級別高的流量的通過。經過這個設定之後,以後開起視訊會議的時候,就不用在手工的去關閉其他使用者的網路。防火牆會自動根據企業網路狀況來調整通訊流量的優先級別,保證視訊等通訊流量具有優先通過的權力。
故筆者建議的第二個指標就是這個協議的優先性。現在視訊應用在企業中使用是越來越廣泛。如視訊會議系統、語音電話等等在企業中都很普及。而這些應用都會佔用企業比較大的頻寬。如果企業頻寬跟不上的話,這些應用的質量將會受到很大的影響,如通話的質量可能會時斷時續。就好像手機訊號差一樣。雖然可以通過提高網際網路的接入速度來改善這種情況,但是這不是首選方案。因為增加頻寬需要企業花費比較大的投資。故筆者認為最理想的解決方案是對企業的通訊流量進行管理。通過防火牆把一些關鍵應用的流量設定為比較高的優先順序。在網路傳輸中,要首先保障這些通訊流量能夠優先通過。這就可以明顯改善語音通話等視訊應用的效果。
另外這還可以用來約束員工的網路行為。如有些員工喜歡利用emule等工具下載電影。但是這些工具的話會佔用很大的頻寬,因為他們在從網路上下載的同時,也提供別人進行下載。故耗用的頻寬比較多。如果一味的限制他們,也不怎麼人情化。如果把這些通訊流量設定為比較低的級別,當網路比較繁忙的時候,這些通訊流量佔用的頻寬將不斷降低,只到為零。如此的話,這些通訊流量對企業其他正常網路應用的影響將會降至到最低。
故筆者建議CIO在防火牆選型時第二個需要考慮的就是協議的優先順序管理。特別是企業有語音電話、視訊會議系統這些高階網路應用的話,則這個協議的優先順序管理功能就更加的重要。
三、具有一定的擴充套件性。
企業的網路不可能永遠的一成不變。隨著企業規模的擴大,公司內部的網路會不斷的升級,以符合企業日益發展的需要。如企業現在可能只是一個公司,但是隨著規模的壯大可能會在各地開立分公司或者辦事處。此時就遇到一個問題,如何把各地的分公司的網路與總公司的網路連線起來。為此通過VPN來連線無疑是一個不錯的方案。但是此時CIO就遇到了一個問題,現有的防火牆能否支援VPN技術呢?企業很有可能以前在選購防火牆的時候沒有注意到這個問題。那麼後來網路升級後,CIO就會變得跟被動了。
所以CIO在選型購防火牆時第三個要考慮的指標就是防火牆的擴充套件性。現在企業可能不需要某個功能,如VPN功能。在購買防火牆時購買不需要用到的VPN模組也是一種浪費。但是防火牆要能夠保證在以後企業用的著的時候,能夠順利進行擴充套件,而不需要重新購買。在這個擴充套件性問題上,筆者認為CIO可以從幾個方面來考慮。
一是為了後續擴充套件的需要,最好能夠購買那些模組化設計的防火牆。如此的話,後續增添其他功能的話,只需要購買模組即可。而不需要更換整個硬體防火牆。也就是說CIO選擇的硬體防火牆系統最好是一個可隨意伸縮的模組化解決方案,包括從最基本的包過濾器到帶加密功能的VPN型包過濾器,最終到一個獨立的應用閘道器的等等。只有如此,才能讓CIO輕鬆面對企業資訊化應用的升級。
二是考慮網路介面的問題。通常情況下防火牆最基本的配置有兩個網路介面:內部的和外部的網路介面。這些介面對應著訪問網路的信任程度。其中外部網路介面連線的是不可信賴的網路,而內部網路介面連線的是得到信任的網路。在內部網部署時,連線到外部的介面可能需要和公司的主要部分連線,這時可能比外部網路的信任度高,但又稍微低於內部網路的信任度。但是隨著公司因特網商業需求的複雜化,只有兩個介面的防火牆明顯具有侷限性,可能無法滿足企業業務方面的需求。如企業可能出於安全的需要,以後很有可能要用到第三個介面DMZ介面。為此為了以後資訊化應用升級的考慮,CIO在防火牆選購時,還需要關注是否有足夠豐富的介面;或者考慮以後是否可以通過模組的形式來增加可用的介面。
原文出自【位元網】,轉載請保留原文連結:http://sec.chinabyte.com/337/11489837.shtml
一、網路吞吐量。
當CIO在企業中部署了企業級別的防火牆之後,企業進出網際網路的所有通訊流量都要通過防火牆,故對於防火牆的吞吐量就有比較高的要求。以前有些企業是通過ADSL撥號上網的,這時由於頻寬的限制,可能防火牆還可以應付。可是現在大部分企業可能已經都採用了光纖接入,頻寬本來就很大。此時就給防火牆帶來了一定的壓力。
因為防火牆是通過對進入與出去的資料進行過濾來識別是否符合安全策略的,所以在流量比較高時,要求防火牆能以最快的速度及時對所有資料包進行檢測。否則就可能造成比較長的延時,甚至發生宕機。所以網路吞吐量指標非常重要,它體現了防火牆的可用效能,也體現了企業使用者使用防火牆產品的延時代價。如果防火牆對網路造成較大的延時,給使用者造成較大的損失。這一點上筆者是深有感觸。筆者企業很早以前就部署了企業級別的防火牆。後來公司網路進行升級改造,實現了光纖接入。可是升級改造後,筆者發現可用頻寬不到預計頻寬的一半。一開始筆者懷疑是光纖問題。叫對方技術人員過來,他們測試光纖的傳輸沒有問題,頻寬達到預計的標準。那筆者就感到困惑了?是什麼原因吞噬了企業寶貴的頻寬呢?經過一番查詢,最終發現原來是哪個防火牆在作怪。原來這個防火牆採購比較早,其網路吞吐量只有10M。難怪採用光纖接入後達不到預計的要求。為此筆者不得不重新選擇了一款高效能的防火牆,其網路吞吐量達到100M。就的防火牆筆者就用來進行內部的隔離。故如果企業採用了防火牆之後,對可用頻寬造成了很大的影響,那無疑是一種大大的浪費。
所以筆者認為,CIO在選購防火牆的時候第一個要看的指標就是防火牆的吞吐量。當然,這個吞吐量也不是越大越好。因為吞吐量越大的話,防火牆的價格也就越高。CIO要根據企業的實際情況,如現在接入網際網路的頻寬等因素,來選擇的合適的頻寬。當然如果企業資金充裕,CIO有錢沒處花的話,那麼吞吐量當然是越大越好。吞吐量一個基本的原則就是至少要跟企業現有的網際網路接入頻寬相當。
二、協議的優先順序。
筆者企業現在已經實現了網路會議視訊。各個分公司與總公司之間可以通過網路開視訊會議,而不用再像以前那樣趕來趕去開會。不過這個視訊會議需要佔用不少的頻寬。以前每次啟用這個視訊會議,其他使用者都會感受到網路速度明顯的變慢。而且有時候網路視訊也會有一卡一卡的現象。有時候筆者得把其他使用者的外網斷掉,這一卡一卡的現象就得到了改善。但是每次這麼處理很是麻煩。為了改善這個情況,筆者在選擇防火牆的時候特別關注防火牆是否有協議優先順序的管理。也就是說,當視訊會議系統啟動時,企業網路頻寬的使用率可能會比較高。這就好像現在的下班高峰一樣,路上車堵了,那麼車速難免就會慢下來。但是如果這是一輛救護車,那麼其就有優先通過的權力。其他車輛都必須為其讓道。筆者也希望能夠實現類似的控制。還好,現在這款防火牆沒有讓筆者失望。在這款防火牆中,有協議優先順序的功能,可以把語音流等關鍵業務的資料流量設定為比較高的優先級別。當企業的網路中出現擁塞時,將優先保證這些優先級別高的流量的通過。經過這個設定之後,以後開起視訊會議的時候,就不用在手工的去關閉其他使用者的網路。防火牆會自動根據企業網路狀況來調整通訊流量的優先級別,保證視訊等通訊流量具有優先通過的權力。
故筆者建議的第二個指標就是這個協議的優先性。現在視訊應用在企業中使用是越來越廣泛。如視訊會議系統、語音電話等等在企業中都很普及。而這些應用都會佔用企業比較大的頻寬。如果企業頻寬跟不上的話,這些應用的質量將會受到很大的影響,如通話的質量可能會時斷時續。就好像手機訊號差一樣。雖然可以通過提高網際網路的接入速度來改善這種情況,但是這不是首選方案。因為增加頻寬需要企業花費比較大的投資。故筆者認為最理想的解決方案是對企業的通訊流量進行管理。通過防火牆把一些關鍵應用的流量設定為比較高的優先順序。在網路傳輸中,要首先保障這些通訊流量能夠優先通過。這就可以明顯改善語音通話等視訊應用的效果。
另外這還可以用來約束員工的網路行為。如有些員工喜歡利用emule等工具下載電影。但是這些工具的話會佔用很大的頻寬,因為他們在從網路上下載的同時,也提供別人進行下載。故耗用的頻寬比較多。如果一味的限制他們,也不怎麼人情化。如果把這些通訊流量設定為比較低的級別,當網路比較繁忙的時候,這些通訊流量佔用的頻寬將不斷降低,只到為零。如此的話,這些通訊流量對企業其他正常網路應用的影響將會降至到最低。
故筆者建議CIO在防火牆選型時第二個需要考慮的就是協議的優先順序管理。特別是企業有語音電話、視訊會議系統這些高階網路應用的話,則這個協議的優先順序管理功能就更加的重要。
三、具有一定的擴充套件性。
企業的網路不可能永遠的一成不變。隨著企業規模的擴大,公司內部的網路會不斷的升級,以符合企業日益發展的需要。如企業現在可能只是一個公司,但是隨著規模的壯大可能會在各地開立分公司或者辦事處。此時就遇到一個問題,如何把各地的分公司的網路與總公司的網路連線起來。為此通過VPN來連線無疑是一個不錯的方案。但是此時CIO就遇到了一個問題,現有的防火牆能否支援VPN技術呢?企業很有可能以前在選購防火牆的時候沒有注意到這個問題。那麼後來網路升級後,CIO就會變得跟被動了。
所以CIO在選型購防火牆時第三個要考慮的指標就是防火牆的擴充套件性。現在企業可能不需要某個功能,如VPN功能。在購買防火牆時購買不需要用到的VPN模組也是一種浪費。但是防火牆要能夠保證在以後企業用的著的時候,能夠順利進行擴充套件,而不需要重新購買。在這個擴充套件性問題上,筆者認為CIO可以從幾個方面來考慮。
一是為了後續擴充套件的需要,最好能夠購買那些模組化設計的防火牆。如此的話,後續增添其他功能的話,只需要購買模組即可。而不需要更換整個硬體防火牆。也就是說CIO選擇的硬體防火牆系統最好是一個可隨意伸縮的模組化解決方案,包括從最基本的包過濾器到帶加密功能的VPN型包過濾器,最終到一個獨立的應用閘道器的等等。只有如此,才能讓CIO輕鬆面對企業資訊化應用的升級。
二是考慮網路介面的問題。通常情況下防火牆最基本的配置有兩個網路介面:內部的和外部的網路介面。這些介面對應著訪問網路的信任程度。其中外部網路介面連線的是不可信賴的網路,而內部網路介面連線的是得到信任的網路。在內部網部署時,連線到外部的介面可能需要和公司的主要部分連線,這時可能比外部網路的信任度高,但又稍微低於內部網路的信任度。但是隨著公司因特網商業需求的複雜化,只有兩個介面的防火牆明顯具有侷限性,可能無法滿足企業業務方面的需求。如企業可能出於安全的需要,以後很有可能要用到第三個介面DMZ介面。為此為了以後資訊化應用升級的考慮,CIO在防火牆選購時,還需要關注是否有足夠豐富的介面;或者考慮以後是否可以通過模組的形式來增加可用的介面。
原文出自【位元網】,轉載請保留原文連結:http://sec.chinabyte.com/337/11489837.shtml