經(jīng)常接觸網(wǎng)絡(luò)安全領(lǐng)域的朋友對硬件防火墻這個名詞一定不陌生：對于企業(yè)用戶來說，硬件防火墻本身支持安全策略，有先進的認(rèn)證手段或有掛鉤程序，可以安裝先進的認(rèn)證方法;如果需要，可以運用過濾技術(shù)允許和禁止服務(wù)，是網(wǎng)絡(luò)安全的第一道防線。目前基本上所有的大型企業(yè)都會選擇硬件防火墻作為抵御外部攻擊、保護內(nèi)網(wǎng)安全的首選安全設(shè)備，這篇文章里主要介紹企業(yè)實際應(yīng)用中常見的硬件防火墻的概念及選購注意事項。

什么是硬件防火墻？

關(guān)于硬件防火墻的定義，各IT專業(yè)媒體說法不一，到現(xiàn)在也沒有一個統(tǒng)一的概念，通俗地講，硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，可以減少CPU的負(fù)擔(dān)這樣一種防火墻。 硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障，它的安全和穩(wěn)定，直接關(guān)系到整個內(nèi)部網(wǎng)絡(luò)的安全。

為什么要慎重選擇硬件防火墻？

由于網(wǎng)絡(luò)中應(yīng)用了防火墻設(shè)備，就要求防火墻能夠提供相應(yīng)的支持，包括可管理、環(huán)境適應(yīng)能力、與已有交換機/路由器的互聯(lián)互通、一定的吞吐能力和適當(dāng)?shù)难舆t等，這樣防火墻才不會成為網(wǎng)絡(luò)瓶頸，但是很多用戶對于防火墻的基本功能和參考數(shù)據(jù)還沒有正確的認(rèn)識;還有，很多企業(yè)安全用戶對于自身安全需求認(rèn)識不足，往往容易迷失在產(chǎn)品的數(shù)據(jù)羅列和宣傳中，目前基本上大半的企業(yè)用戶在購買防火墻時都是聽防火墻廠商的“忽悠”，經(jīng)常會忽略了自己的實際需求。

再加上外部攻擊的多樣化以及防火墻產(chǎn)品的多樣化，用戶選購防火墻造成了一定的困難。單是硬件防火墻就可分成網(wǎng)關(guān)、郵件、前端、后端等許多種，用戶對于自己到底需要什么樣的安全防護并沒有概念，這個時候選擇防火墻就需要非常慎重。

產(chǎn)品本身的安全性

防火墻本身直接暴露在外網(wǎng)訪問之下，所以產(chǎn)品本身的安全性應(yīng)該是用戶選擇產(chǎn)品時首先要注意的一點。這里所說的產(chǎn)品安全性主要針對產(chǎn)品所采用的系統(tǒng)構(gòu)架是否完整或者強健、產(chǎn)品是否有過安全漏洞歷史、是否有被拒絕服務(wù)攻擊擊潰的歷史等方面。除此之外，產(chǎn)品所支持的認(rèn)證方式也是值得思忖的問題之一，支持方式較為廣泛、與網(wǎng)內(nèi)認(rèn)證措施協(xié)同較好的產(chǎn)品無疑具有更高的安全性，而且也可以避免成為整體安全環(huán)境中的“短板”。

數(shù)據(jù)處理性能

防火墻控制的對象是網(wǎng)絡(luò)數(shù)據(jù)，因此數(shù)據(jù)處理能力是用戶在購買產(chǎn)品前要著重考察的一項。主要的衡量指標(biāo)包括吞吐量、轉(zhuǎn)發(fā)率、丟包率、緩沖能力和延遲等，通過這些參數(shù)的對比可以了解一款硬件防火墻產(chǎn)品的硬件性能。這個時候不能迷信廠家所給出的數(shù)據(jù)表，多參考第三方評測數(shù)據(jù)或者別的產(chǎn)品的參數(shù)才是上選。

另外，吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大打折扣。因此在參考數(shù)據(jù)時也不要迷信絕對數(shù)據(jù)，算法的不同也會導(dǎo)致吞吐量有很大的差別。

一般來說，對于中小型企業(yè)，選擇吞吐量為百兆級的防火墻即可滿足需要，而對于電信、金融、保險等大公司大企業(yè)部門就需要采用吞吐量千兆級的防火墻產(chǎn)品。

可管理性

這是考察產(chǎn)品的易用性重要的一項?，F(xiàn)在的信息環(huán)境相當(dāng)復(fù)雜，如果沒有一個配置合理的管理系統(tǒng)，很容易為日后的使用和制定安全方案種下隱患，同時可管理性差的防火墻產(chǎn)品增加了安全管理員的工作量，也無形中增加了企業(yè)人力的成本。

其次，一些大型防火墻面對的是行業(yè)用戶，這就對產(chǎn)品的集中管理性能提出了較高的要求，在安全策略的定制與下發(fā)、日志的集中管理與分析等方面比較出色的產(chǎn)品不僅避免了大量問題的集中出現(xiàn)，也給企業(yè)降低網(wǎng)絡(luò)設(shè)備成本帶來了便利。

日志記錄能力

所有的安全系統(tǒng)都在遭受著被攻擊的危險，一款日志功能強大的防火墻，記錄的項目比較全面，可以有效的防范日志被竄改，并能利用多種途徑將日志數(shù)據(jù)定期備份到指定機器等，這些都給企業(yè)日后追究攻擊者的法律責(zé)任提供了有效的依據(jù)。

產(chǎn)品兼容性

現(xiàn)在的企業(yè)擁有交換機、路由器等大量網(wǎng)絡(luò)設(shè)備，防火墻產(chǎn)品與這些設(shè)備的兼容性也非常重要，畢竟網(wǎng)絡(luò)安全要依賴設(shè)計良好功能完整的體系。如果所購買的產(chǎn)品不能與其它設(shè)備很好地兼容，不僅造成了大量的資源浪費，也給網(wǎng)絡(luò)安全帶來了禍端。

產(chǎn)品的售后及相應(yīng)服務(wù)

動輒就幾萬元的防火墻設(shè)備由于技術(shù)升級經(jīng)常會更改配置來配合最新的技術(shù)，一個負(fù)責(zé)任的廠商會提供完整的售后及升級服務(wù)，相比其它網(wǎng)絡(luò)設(shè)備，用戶在購買防火墻時除去設(shè)備，最重要的是還購買了相關(guān)服務(wù)。另外，廠商的資歷和技術(shù)實力決定著上述小標(biāo)題中的各項指標(biāo)，因此，一個廠家在防火墻行業(yè)資歷的高低和口碑的好壞在一定意義上反映了其產(chǎn)品值得購買的程度。

更多附加功能未必好

就像現(xiàn)在的家用路由器一樣，防火墻設(shè)備現(xiàn)在也開始擺脫功能千篇一律的現(xiàn)象，路由等附加功能開始被廣泛地提起，擁有這些功能當(dāng)然給用戶增加了不少方便，但是用戶在選購產(chǎn)品時過分地關(guān)注這些功能而忽略防火墻本身的功能無疑是本末倒置。況且，在相同的芯片配置情況下，過多的附加功能會影響產(chǎn)品的處理性能，也會消耗產(chǎn)品的存儲空間，因此選購防火墻設(shè)備，還是需求為先。

總結(jié)：

企業(yè)從事行業(yè)的不同會造成對安全的不同需求，了解企業(yè)自身安全薄弱環(huán)節(jié)并選擇產(chǎn)品，不僅僅為企業(yè)節(jié)約了成本，更是為內(nèi)部網(wǎng)絡(luò)安全上了一把“保險鎖”。在具體的選購過程中，即使是同一個品牌，還應(yīng)注意將每臺防火墻產(chǎn)品的各項參數(shù)指示進行對比，從眾多的型號中選出真正適合自己企業(yè)的防火墻。
 

【編輯推薦】

1. 安全知識：公司防火墻應(yīng)做的10件事
2. 企業(yè)用戶選購防火墻系統(tǒng)的十項注意
3. 防火墻功能分類及其局限性介紹分析