硬件防火墻的六個指標(biāo)是什么
安全永遠(yuǎn)是CIO的一個心病,而選擇一款合適的防火墻則無疑是治療這個心病的一大良藥。筆者在防火墻選型這方面也花過不少的功夫,今天就跟大家討論一下硬件防火墻的六個指標(biāo)。下面將由學(xué)習(xí)啦小編帶大家來解答這個疑問吧,希望對大家有所收獲!
硬件防火墻的六大指標(biāo)
一、網(wǎng)絡(luò)吞吐量。
當(dāng)CIO在企業(yè)中部署了企業(yè)級別的防火墻之后,企業(yè)進(jìn)出互聯(lián)網(wǎng)的所有通信流量都要通過防火墻,故對于防火墻的吞吐量就有比較高的要求。以前有些企業(yè)是通過ADSL撥號上網(wǎng)的,這時由于帶寬的限制,可能防火墻還可以應(yīng)付??墒乾F(xiàn)在大部分企業(yè)可能已經(jīng)都采用了光纖接入,帶寬本來就很大。此時就給防火墻帶來了一定的壓力。
因?yàn)榉阑饓κ峭ㄟ^對進(jìn)入與出去的數(shù)據(jù)進(jìn)行過濾來識別是否符合安全策略的,所以在流量比較高時,要求防火墻能以最快的速度及時對所有數(shù)據(jù)包進(jìn)行檢測。否則就可能造成比較長的延時,甚至發(fā)生死機(jī)。所以網(wǎng)絡(luò)吞吐量指標(biāo)非常重要,它體現(xiàn)了防火墻的可用性能,也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的延時代價。如果防火墻對網(wǎng)絡(luò)造成較大的延時,給用戶造成較大的損失。這一點(diǎn)上筆者是深有感觸。筆者企業(yè)很早以前就部署了企業(yè)級別的防火墻。后來公司網(wǎng)絡(luò)進(jìn)行升級改造,實(shí)現(xiàn)了光纖接入??墒巧壐脑旌螅P者發(fā)現(xiàn)可用帶寬不到預(yù)計帶寬的一半。一開始筆者懷疑是光纖問題。叫對方技術(shù)人員過來,他們測試光纖的傳輸沒有問題,帶寬達(dá)到預(yù)計的標(biāo)準(zhǔn)。那筆者就感到困惑了?是什么原因吞噬了企業(yè)寶貴的帶寬呢?經(jīng)過一番查找,最終發(fā)現(xiàn)原來是哪個防火墻在作怪。原來這個防火墻采購比較早,其網(wǎng)絡(luò)吞吐量只有10M。難怪采用光纖接入后達(dá)不到預(yù)計的要求。為此筆者不得不重新選擇了一款高性能的防火墻,其網(wǎng)絡(luò)吞吐量達(dá)到100M。就的防火墻筆者就用來進(jìn)行內(nèi)部的隔離。故如果企業(yè)采用了防火墻之后,對可用帶寬造成了很大的影響,那無疑是一種大大的浪費(fèi)。
所以筆者認(rèn)為,CIO在選購防火墻的時候第一個要看的指標(biāo)就是防火墻的吞吐量。當(dāng)然,這個吞吐量也不是越大越好。因?yàn)橥掏铝吭酱蟮脑?,防火墻的價格也就越高。CIO要根據(jù)企業(yè)的實(shí)際情況,如現(xiàn)在接入互聯(lián)網(wǎng)的帶寬等因素,來選擇的合適的帶寬。當(dāng)然如果企業(yè)資金充裕,CIO有錢沒處花的話,那么吞吐量當(dāng)然是越大越好。吞吐量一個基本的原則就是至少要跟企業(yè)現(xiàn)有的互聯(lián)網(wǎng)接入帶寬相當(dāng)。
二、協(xié)議的優(yōu)先級。
筆者企業(yè)現(xiàn)在已經(jīng)實(shí)現(xiàn)了網(wǎng)絡(luò)會議視頻。各個分公司與總公司之間可以通過網(wǎng)絡(luò)開視頻會議,而不用再像以前那樣趕來趕去開會。不過這個視頻會議需要占用不少的帶寬。以前每次啟用這個視頻會議,其他用戶都會感受到網(wǎng)絡(luò)速度明顯的變慢。而且有時候網(wǎng)絡(luò)視頻也會有一卡一卡的現(xiàn)象。有時候筆者得把其他用戶的外網(wǎng)斷掉,這一卡一卡的現(xiàn)象就得到了改善。但是每次這么處理很是麻煩。為了改善這個情況,筆者在選擇防火墻的時候特別關(guān)注防火墻是否有協(xié)議優(yōu)先級的管理。也就是說,當(dāng)視頻會議系統(tǒng)啟動時,企業(yè)網(wǎng)絡(luò)帶寬的使用率可能會比較高。這就好像現(xiàn)在的下班高峰一樣,路上車堵了,那么車速難免就會慢下來。但是如果這是一輛救護(hù)車,那么其就有優(yōu)先通過的權(quán)力。其他車輛都必須為其讓道。筆者也希望能夠?qū)崿F(xiàn)類似的控制。還好,現(xiàn)在這款防火墻沒有讓筆者失望。在這款防火墻中,有協(xié)議優(yōu)先級的功能,可以把語音流等關(guān)鍵業(yè)務(wù)的數(shù)據(jù)流量設(shè)置為比較高的優(yōu)先級別。當(dāng)企業(yè)的網(wǎng)絡(luò)中出現(xiàn)擁塞時,將優(yōu)先保證這些優(yōu)先級別高的流量的通過。經(jīng)過這個設(shè)置之后,以后開起視頻會議的時候,就不用在手工的去關(guān)閉其他用戶的網(wǎng)絡(luò)。防火墻會自動根據(jù)企業(yè)網(wǎng)絡(luò)狀況來調(diào)整通信流量的優(yōu)先級別,保證視頻等通信流量具有優(yōu)先通過的權(quán)力。
故筆者建議的第二個指標(biāo)就是這個協(xié)議的優(yōu)先性?,F(xiàn)在視頻應(yīng)用在企業(yè)中使用是越來越廣泛。如視頻會議系統(tǒng)、語音電話等等在企業(yè)中都很普及。而這些應(yīng)用都會占用企業(yè)比較大的帶寬。如果企業(yè)帶寬跟不上的話,這些應(yīng)用的質(zhì)量將會受到很大的影響,如通話的質(zhì)量可能會時斷時續(xù)。就好像手機(jī)信號差一樣。雖然可以通過提高互聯(lián)網(wǎng)的接入速度來改善這種情況,但是這不是首選方案。因?yàn)樵黾訋捫枰髽I(yè)花費(fèi)比較大的投資。故筆者認(rèn)為最理想的解決方案是對企業(yè)的通信流量進(jìn)行管理。通過防火墻把一些關(guān)鍵應(yīng)用的流量設(shè)置為比較高的優(yōu)先級。在網(wǎng)絡(luò)傳輸中,要首先保障這些通信流量能夠優(yōu)先通過。這就可以明顯改善語音通話等視頻應(yīng)用的效果。
另外這還可以用來約束員工的網(wǎng)絡(luò)行為。如有些員工喜歡利用emule等工具下載電影。但是這些工具的話會占用很大的帶寬,因?yàn)樗麄冊趶木W(wǎng)絡(luò)上下載的同時,也提供別人進(jìn)行下載。故耗用的帶寬比較多。如果一味的限制他們,也不怎么人情化。如果把這些通信流量設(shè)置為比較低的級別,當(dāng)網(wǎng)絡(luò)比較繁忙的時候,這些通信流量占用的帶寬將不斷降低,只到為零。如此的話,這些通信流量對企業(yè)其他正常網(wǎng)絡(luò)應(yīng)用的影響將會降至到最低。
故筆者建議CIO在防火墻選型時第二個需要考慮的就是協(xié)議的優(yōu)先級管理。特別是企業(yè)有語音電話、視頻會議系統(tǒng)這些高級網(wǎng)絡(luò)應(yīng)用的話,則這個協(xié)議的優(yōu)先級管理功能就更加的重要。
三、具有一定的擴(kuò)展性。
企業(yè)的網(wǎng)絡(luò)不可能永遠(yuǎn)的一成不變。隨著企業(yè)規(guī)模的擴(kuò)大,公司內(nèi)部的網(wǎng)絡(luò)會不斷的升級,以符合企業(yè)日益發(fā)展的需要。如企業(yè)現(xiàn)在可能只是一個公司,但是隨著規(guī)模的壯大可能會在各地開立分公司或者辦事處。此時就遇到一個問題,如何把各地的分公司的網(wǎng)絡(luò)與總公司的網(wǎng)絡(luò)連接起來。為此通過來連接無疑是一個不錯的方案。但是此時CIO就遇到了一個問題,現(xiàn)有的防火墻能否支持技術(shù)呢?企業(yè)很有可能以前在選購防火墻的時候沒有注意到這個問題。那么后來網(wǎng)絡(luò)升級后,CIO就會變得跟被動了。
所以CIO在選型購防火墻時第三個要考慮的指標(biāo)就是防火墻的擴(kuò)展性?,F(xiàn)在企業(yè)可能不需要某個功能,如功能。在購買防火墻時購買不需要用到的模塊也是一種浪費(fèi)。但是防火墻要能夠保證在以后企業(yè)用的著的時候,能夠順利進(jìn)行擴(kuò)展,而不需要重新購買。在這個擴(kuò)展性問題上,筆者認(rèn)為CIO可以從幾個方面來考慮。
一是為了后續(xù)擴(kuò)展的需要,最好能夠購買那些模塊化設(shè)計的防火墻。如此的話,后續(xù)增添其他功能的話,只需要購買模塊即可。而不需要更換整個硬件防火墻。也就是說CIO選擇的硬件防火墻系統(tǒng)最好是一個可隨意伸縮的模塊化解決方案,包括從最基本的包過濾器到帶加密功能的型包過濾器,最終到一個獨(dú)立的應(yīng)用網(wǎng)關(guān)的等等。只有如此,才能讓CIO輕松面對企業(yè)信息化應(yīng)用的升級。
二是考慮網(wǎng)絡(luò)接口的問題。通常情況下防火墻最基本的配置有兩個網(wǎng)絡(luò)接口:內(nèi)部的和外部的網(wǎng)絡(luò)接口。這些接口對應(yīng)著訪問網(wǎng)絡(luò)的信任程度。其中外部網(wǎng)絡(luò)接口連接的是不可信賴的網(wǎng)絡(luò),而內(nèi)部網(wǎng)絡(luò)接口連接的是得到信任的網(wǎng)絡(luò)。在內(nèi)部網(wǎng)部署時,連接到外部的接口可能需要和公司的主要部分連接,這時可能比外部網(wǎng)絡(luò)的信任度高,但又稍微低于內(nèi)部網(wǎng)絡(luò)的信任度。但是隨著公司因特網(wǎng)商業(yè)需求的復(fù)雜化,只有兩個接口的防火墻明顯具有局限性,可能無法滿足企業(yè)業(yè)務(wù)方面的需求。如企業(yè)可能出于安全的需要,以后很有可能要用到第三個接口DMZ接口。為此為了以后信息化應(yīng)用升級的考慮,CIO在防火墻選購時,還需要關(guān)注是否有足夠豐富的接口;或者考慮以后是否可以通過模塊的形式來增加可用的接口。