硬件防火墻的六個(gè)指標(biāo)是什么

　　安全永遠(yuǎn)是CIO的一個(gè)心病，而選擇一款合適的防火墻則無(wú)疑是治療這個(gè)心病的一大良藥。筆者在防火墻選型這方面也花過(guò)不少的功夫，今天就跟大家討論一下硬件防火墻的六個(gè)指標(biāo)。下面將由學(xué)習(xí)啦小編帶大家來(lái)解答這個(gè)疑問(wèn)吧，希望對(duì)大家有所收獲!

　　硬件防火墻的六大指標(biāo)

　　一、網(wǎng)絡(luò)吞吐量。

　　當(dāng)CIO在企業(yè)中部署了企業(yè)級(jí)別的防火墻之后，企業(yè)進(jìn)出互聯(lián)網(wǎng)的所有通信流量都要通過(guò)防火墻，故對(duì)于防火墻的吞吐量就有比較高的要求。以前有些企業(yè)是通過(guò)ADSL撥號(hào)上網(wǎng)的，這時(shí)由于帶寬的限制，可能防火墻還可以應(yīng)付。可是現(xiàn)在大部分企業(yè)可能已經(jīng)都采用了光纖接入，帶寬本來(lái)就很大。此時(shí)就給防火墻帶來(lái)了一定的壓力。

　　因?yàn)榉阑饓κ峭ㄟ^(guò)對(duì)進(jìn)入與出去的數(shù)據(jù)進(jìn)行過(guò)濾來(lái)識(shí)別是否符合安全策略的，所以在流量比較高時(shí)，要求防火墻能以最快的速度及時(shí)對(duì)所有數(shù)據(jù)包進(jìn)行檢測(cè)。否則就可能造成比較長(zhǎng)的延時(shí)，甚至發(fā)生死機(jī)。所以網(wǎng)絡(luò)吞吐量指標(biāo)非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)用戶(hù)使用防火墻產(chǎn)品的延時(shí)代價(jià)。如果防火墻對(duì)網(wǎng)絡(luò)造成較大的延時(shí)，給用戶(hù)造成較大的損失。這一點(diǎn)上筆者是深有感觸。筆者企業(yè)很早以前就部署了企業(yè)級(jí)別的防火墻。后來(lái)公司網(wǎng)絡(luò)進(jìn)行升級(jí)改造，實(shí)現(xiàn)了光纖接入。可是升級(jí)改造后，筆者發(fā)現(xiàn)可用帶寬不到預(yù)計(jì)帶寬的一半。一開(kāi)始筆者懷疑是光纖問(wèn)題。叫對(duì)方技術(shù)人員過(guò)來(lái)，他們測(cè)試光纖的傳輸沒(méi)有問(wèn)題，帶寬達(dá)到預(yù)計(jì)的標(biāo)準(zhǔn)。那筆者就感到困惑了?是什么原因吞噬了企業(yè)寶貴的帶寬呢?經(jīng)過(guò)一番查找，最終發(fā)現(xiàn)原來(lái)是哪個(gè)防火墻在作怪。原來(lái)這個(gè)防火墻采購(gòu)比較早，其網(wǎng)絡(luò)吞吐量只有10M。難怪采用光纖接入后達(dá)不到預(yù)計(jì)的要求。為此筆者不得不重新選擇了一款高性能的防火墻，其網(wǎng)絡(luò)吞吐量達(dá)到100M。就的防火墻筆者就用來(lái)進(jìn)行內(nèi)部的隔離。故如果企業(yè)采用了防火墻之后，對(duì)可用帶寬造成了很大的影響，那無(wú)疑是一種大大的浪費(fèi)。

　　所以筆者認(rèn)為，CIO在選購(gòu)防火墻的時(shí)候第一個(gè)要看的指標(biāo)就是防火墻的吞吐量。當(dāng)然，這個(gè)吞吐量也不是越大越好。因?yàn)橥掏铝吭酱蟮脑?huà)，防火墻的價(jià)格也就越高。CIO要根據(jù)企業(yè)的實(shí)際情況，如現(xiàn)在接入互聯(lián)網(wǎng)的帶寬等因素，來(lái)選擇的合適的帶寬。當(dāng)然如果企業(yè)資金充裕，CIO有錢(qián)沒(méi)處花的話(huà)，那么吞吐量當(dāng)然是越大越好。吞吐量一個(gè)基本的原則就是至少要跟企業(yè)現(xiàn)有的互聯(lián)網(wǎng)接入帶寬相當(dāng)。

　　二、協(xié)議的優(yōu)先級(jí)。

　　筆者企業(yè)現(xiàn)在已經(jīng)實(shí)現(xiàn)了網(wǎng)絡(luò)會(huì)議視頻。各個(gè)分公司與總公司之間可以通過(guò)網(wǎng)絡(luò)開(kāi)視頻會(huì)議，而不用再像以前那樣趕來(lái)趕去開(kāi)會(huì)。不過(guò)這個(gè)視頻會(huì)議需要占用不少的帶寬。以前每次啟用這個(gè)視頻會(huì)議，其他用戶(hù)都會(huì)感受到網(wǎng)絡(luò)速度明顯的變慢。而且有時(shí)候網(wǎng)絡(luò)視頻也會(huì)有一卡一卡的現(xiàn)象。有時(shí)候筆者得把其他用戶(hù)的外網(wǎng)斷掉，這一卡一卡的現(xiàn)象就得到了改善。但是每次這么處理很是麻煩。為了改善這個(gè)情況，筆者在選擇防火墻的時(shí)候特別關(guān)注防火墻是否有協(xié)議優(yōu)先級(jí)的管理。也就是說(shuō)，當(dāng)視頻會(huì)議系統(tǒng)啟動(dòng)時(shí)，企業(yè)網(wǎng)絡(luò)帶寬的使用率可能會(huì)比較高。這就好像現(xiàn)在的下班高峰一樣，路上車(chē)堵了，那么車(chē)速難免就會(huì)慢下來(lái)。但是如果這是一輛救護(hù)車(chē)，那么其就有優(yōu)先通過(guò)的權(quán)力。其他車(chē)輛都必須為其讓道。筆者也希望能夠?qū)崿F(xiàn)類(lèi)似的控制。還好，現(xiàn)在這款防火墻沒(méi)有讓筆者失望。在這款防火墻中，有協(xié)議優(yōu)先級(jí)的功能，可以把語(yǔ)音流等關(guān)鍵業(yè)務(wù)的數(shù)據(jù)流量設(shè)置為比較高的優(yōu)先級(jí)別。當(dāng)企業(yè)的網(wǎng)絡(luò)中出現(xiàn)擁塞時(shí)，將優(yōu)先保證這些優(yōu)先級(jí)別高的流量的通過(guò)。經(jīng)過(guò)這個(gè)設(shè)置之后，以后開(kāi)起視頻會(huì)議的時(shí)候，就不用在手工的去關(guān)閉其他用戶(hù)的網(wǎng)絡(luò)。防火墻會(huì)自動(dòng)根據(jù)企業(yè)網(wǎng)絡(luò)狀況來(lái)調(diào)整通信流量的優(yōu)先級(jí)別，保證視頻等通信流量具有優(yōu)先通過(guò)的權(quán)力。

　　故筆者建議的第二個(gè)指標(biāo)就是這個(gè)協(xié)議的優(yōu)先性?，F(xiàn)在視頻應(yīng)用在企業(yè)中使用是越來(lái)越廣泛。如視頻會(huì)議系統(tǒng)、語(yǔ)音電話(huà)等等在企業(yè)中都很普及。而這些應(yīng)用都會(huì)占用企業(yè)比較大的帶寬。如果企業(yè)帶寬跟不上的話(huà)，這些應(yīng)用的質(zhì)量將會(huì)受到很大的影響，如通話(huà)的質(zhì)量可能會(huì)時(shí)斷時(shí)續(xù)。就好像手機(jī)信號(hào)差一樣。雖然可以通過(guò)提高互聯(lián)網(wǎng)的接入速度來(lái)改善這種情況，但是這不是首選方案。因?yàn)樵黾訋捫枰髽I(yè)花費(fèi)比較大的投資。故筆者認(rèn)為最理想的解決方案是對(duì)企業(yè)的通信流量進(jìn)行管理。通過(guò)防火墻把一些關(guān)鍵應(yīng)用的流量設(shè)置為比較高的優(yōu)先級(jí)。在網(wǎng)絡(luò)傳輸中，要首先保障這些通信流量能夠優(yōu)先通過(guò)。這就可以明顯改善語(yǔ)音通話(huà)等視頻應(yīng)用的效果。

　　另外這還可以用來(lái)約束員工的網(wǎng)絡(luò)行為。如有些員工喜歡利用emule等工具下載電影。但是這些工具的話(huà)會(huì)占用很大的帶寬，因?yàn)樗麄冊(cè)趶木W(wǎng)絡(luò)上下載的同時(shí)，也提供別人進(jìn)行下載。故耗用的帶寬比較多。如果一味的限制他們，也不怎么人情化。如果把這些通信流量設(shè)置為比較低的級(jí)別，當(dāng)網(wǎng)絡(luò)比較繁忙的時(shí)候，這些通信流量占用的帶寬將不斷降低，只到為零。如此的話(huà)，這些通信流量對(duì)企業(yè)其他正常網(wǎng)絡(luò)應(yīng)用的影響將會(huì)降至到最低。

　　故筆者建議CIO在防火墻選型時(shí)第二個(gè)需要考慮的就是協(xié)議的優(yōu)先級(jí)管理。特別是企業(yè)有語(yǔ)音電話(huà)、視頻會(huì)議系統(tǒng)這些高級(jí)網(wǎng)絡(luò)應(yīng)用的話(huà)，則這個(gè)協(xié)議的優(yōu)先級(jí)管理功能就更加的重要。

　　三、具有一定的擴(kuò)展性。

　　企業(yè)的網(wǎng)絡(luò)不可能永遠(yuǎn)的一成不變。隨著企業(yè)規(guī)模的擴(kuò)大，公司內(nèi)部的網(wǎng)絡(luò)會(huì)不斷的升級(jí)，以符合企業(yè)日益發(fā)展的需要。如企業(yè)現(xiàn)在可能只是一個(gè)公司，但是隨著規(guī)模的壯大可能會(huì)在各地開(kāi)立分公司或者辦事處。此時(shí)就遇到一個(gè)問(wèn)題，如何把各地的分公司的網(wǎng)絡(luò)與總公司的網(wǎng)絡(luò)連接起來(lái)。為此通過(guò)來(lái)連接無(wú)疑是一個(gè)不錯(cuò)的方案。但是此時(shí)CIO就遇到了一個(gè)問(wèn)題，現(xiàn)有的防火墻能否支持技術(shù)呢?企業(yè)很有可能以前在選購(gòu)防火墻的時(shí)候沒(méi)有注意到這個(gè)問(wèn)題。那么后來(lái)網(wǎng)絡(luò)升級(jí)后，CIO就會(huì)變得跟被動(dòng)了。

　　所以CIO在選型購(gòu)防火墻時(shí)第三個(gè)要考慮的指標(biāo)就是防火墻的擴(kuò)展性?，F(xiàn)在企業(yè)可能不需要某個(gè)功能，如功能。在購(gòu)買(mǎi)防火墻時(shí)購(gòu)買(mǎi)不需要用到的模塊也是一種浪費(fèi)。但是防火墻要能夠保證在以后企業(yè)用的著的時(shí)候，能夠順利進(jìn)行擴(kuò)展，而不需要重新購(gòu)買(mǎi)。在這個(gè)擴(kuò)展性問(wèn)題上，筆者認(rèn)為CIO可以從幾個(gè)方面來(lái)考慮。

　　一是為了后續(xù)擴(kuò)展的需要，最好能夠購(gòu)買(mǎi)那些模塊化設(shè)計(jì)的防火墻。如此的話(huà)，后續(xù)增添其他功能的話(huà)，只需要購(gòu)買(mǎi)模塊即可。而不需要更換整個(gè)硬件防火墻。也就是說(shuō)CIO選擇的硬件防火墻系統(tǒng)最好是一個(gè)可隨意伸縮的模塊化解決方案，包括從最基本的包過(guò)濾器到帶加密功能的型包過(guò)濾器，最終到一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)的等等。只有如此，才能讓CIO輕松面對(duì)企業(yè)信息化應(yīng)用的升級(jí)。

　　二是考慮網(wǎng)絡(luò)接口的問(wèn)題。通常情況下防火墻最基本的配置有兩個(gè)網(wǎng)絡(luò)接口：內(nèi)部的和外部的網(wǎng)絡(luò)接口。這些接口對(duì)應(yīng)著訪(fǎng)問(wèn)網(wǎng)絡(luò)的信任程度。其中外部網(wǎng)絡(luò)接口連接的是不可信賴(lài)的網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)接口連接的是得到信任的網(wǎng)絡(luò)。在內(nèi)部網(wǎng)部署時(shí)，連接到外部的接口可能需要和公司的主要部分連接，這時(shí)可能比外部網(wǎng)絡(luò)的信任度高，但又稍微低于內(nèi)部網(wǎng)絡(luò)的信任度。但是隨著公司因特網(wǎng)商業(yè)需求的復(fù)雜化，只有兩個(gè)接口的防火墻明顯具有局限性，可能無(wú)法滿(mǎn)足企業(yè)業(yè)務(wù)方面的需求。如企業(yè)可能出于安全的需要，以后很有可能要用到第三個(gè)接口DMZ接口。為此為了以后信息化應(yīng)用升級(jí)的考慮，CIO在防火墻選購(gòu)時(shí)，還需要關(guān)注是否有足夠豐富的接口;或者考慮以后是否可以通過(guò)模塊的形式來(lái)增加可用的接口。