學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識 > 怎樣進(jìn)行防火墻測評

怎樣進(jìn)行防火墻測評

時(shí)間: 若木635 分享

怎樣進(jìn)行防火墻測評

  防火墻測評不應(yīng)只看數(shù)字

  凡事都有失敗的可能,硬件防火墻測評也不例外。筆者結(jié)合自己的實(shí)踐體會(huì),嘗試著整理了產(chǎn)品用戶在硬件防火墻測評中的常見誤區(qū),供同行探討。

  誤區(qū)一:誤信含糊實(shí)驗(yàn)條件的驚人數(shù)字

  親閱過無數(shù)防火墻產(chǎn)品廣告,一個(gè)個(gè)白紙黑字標(biāo)稱的4G吞吐量讓人炫目,但如果把“64字節(jié)小包”、“線速”、“堅(jiān)持幾分鐘”之類字眼拋出來,銷售人員就會(huì)對吞吐量自己先變的吞吞吐吐起來。所以不能輕信廠商提供的各項(xiàng)數(shù)據(jù),必須拿標(biāo)準(zhǔn)實(shí)驗(yàn)條件的測試結(jié)果來比對,或者重新搭建環(huán)境親自來測試。

  誤區(qū)二:喜歡數(shù)字,而不考慮可管理性

  在測評中,用戶往往過多地關(guān)注性能數(shù)字,但對于實(shí)際的網(wǎng)絡(luò)安全管理來講,兩種產(chǎn)品間2%的差異、5%的差異就算10%的差異,真的能帶來本質(zhì)的區(qū)別么?一臺防火墻配置界面操作是否方便?有否完備的日志管理功能?本墻能否存儲(chǔ)日志?有無月度CPU、內(nèi)存統(tǒng)計(jì)功能?可否方便查詢已配策略……比起性能數(shù)字來,測評這些看似不切主題,但這種問題可是“誰用誰知道”!

  誤區(qū)三:關(guān)注花哨功能,卻不了解性能的隱憂

  這年頭的防火墻,功能都是多多的,訪問控制、防病毒、入侵檢測/防御、,叫功能異構(gòu)也好,叫統(tǒng)一威脅管理也好,像個(gè)雜貨鋪一樣。說這些功能“花哨”,是因?yàn)樗鼈儐?dòng)起來,對硬件資源性能的吞噬能力超乎人的想象。所以,擬定測評方案時(shí)就輕易不要把這些列在功能項(xiàng)里了吧?

  誤區(qū)四:不能科學(xué)看待高性能硬件架構(gòu)

  硬件防火墻的性能高下離不開硬件架構(gòu)種類。所謂高性能硬件架構(gòu),是對應(yīng)于X86的傳統(tǒng)工控機(jī)架構(gòu)而言的,常見的有NP、ASIC等。對于高性能硬件架構(gòu),我們既不能不關(guān)注,也不能迷信。但關(guān)注的同時(shí),又不能過分推崇“NP”“ASIC”,因?yàn)?,最?qiáng)的不一定是最好的和最適合你的。

  誤區(qū)五:不結(jié)合自己網(wǎng)絡(luò)特點(diǎn)考慮,不結(jié)合自己的安全戰(zhàn)略考慮

  脫離了用戶自身的網(wǎng)絡(luò)環(huán)境特點(diǎn)來測試防火墻是很不科學(xué)的,不基于自己安全戰(zhàn)略設(shè)計(jì)防火墻測試指標(biāo),更是背離了產(chǎn)品應(yīng)用的初衷。網(wǎng)絡(luò)特點(diǎn)告訴用戶自己的網(wǎng)里在跑什么樣的包,構(gòu)成成分、多大、什么協(xié)議。安全戰(zhàn)略告訴用戶防火墻買了是為了做什么,要怎么部、怎么配、怎么管。我們要為了“部”、“配”、“管”而“選”而“測”。

  誤區(qū)六:不警惕測試中的作弊行為

  產(chǎn)品銷售與購買屬于商業(yè)行為,商業(yè)就不得不提防欺騙,在測試中則是要警惕作弊行為。假設(shè)極個(gè)別廠商制作了專門用來測試的高性能“競爭測試版”產(chǎn)品唬人,假設(shè)極個(gè)別廠商在設(shè)備內(nèi)作一些手腳(如用網(wǎng)線直接連通),那么整個(gè)測試結(jié)果就會(huì)對其他誠信的廠商很不公平。

132197