為此選購防火墻還是很重要的，對于企業(yè)來說夜是至關(guān)重要的。簡單的說，選擇防火墻需要兼顧安全和性能。在提高企業(yè)網(wǎng)絡(luò)安全的同時(shí)，也需要不夠響網(wǎng)絡(luò)數(shù)據(jù)傳輸大效率以及可用性。具體的說，在2010年筆者以為可以根據(jù)如何標(biāo)準(zhǔn)來選購防火墻。

標(biāo)準(zhǔn)一、根據(jù)企業(yè)規(guī)模來選購不同的許可證

許可證跟授權(quán)用戶類似。企業(yè)需要根據(jù)自己公司網(wǎng)絡(luò)的規(guī)模，來選擇合適的許可證數(shù)。如以思科的PIX501防火墻類似，有多個(gè)可用的許可證供用戶選擇。如“10個(gè)用戶許可證”，其最多支持10個(gè)來自內(nèi)部網(wǎng)絡(luò)中不同IP地址的并發(fā)連接通過防火墻，并同時(shí)提供了最多可達(dá)32個(gè)租約的DCHP服務(wù)器的支持。如“50個(gè)用戶許可證”可以最多支持50個(gè)來自內(nèi)部網(wǎng)絡(luò)中不同源IP地址的并發(fā)連接，還提供了最多可達(dá)128個(gè)租約的DCHP服務(wù)器支持。而“無限個(gè)用戶許可證”則支持無限個(gè)來自內(nèi)部網(wǎng)絡(luò)中不同源IP地址的并發(fā)連接。這里需要注意，DHCP租約并不是無限個(gè)，而是最多支持可達(dá)256個(gè)租約。

企業(yè)在選購的時(shí)候，可以根據(jù)實(shí)際需要來進(jìn)行選擇。這里一般不會發(fā)生重復(fù)投資的問題。也就是說，以后需要更多用戶許可證的話，只需要通過升級就可以增加用戶的數(shù)量，而不用更換原有的設(shè)備。故對于資金比較有限的企業(yè)來說，一開始不用選擇太多的用戶許可證。在需要的時(shí)候，再進(jìn)行增加即可。

標(biāo)準(zhǔn)二、是否需要支持故障切換功能

上帝都有閉眼的時(shí)候。防火墻畢竟只是一個(gè)機(jī)器，由于各種的原因，如自然損害、電壓不穩(wěn)等等都會造成防火墻運(yùn)行故障。而有些企業(yè)對于網(wǎng)絡(luò)的安全與可用性要求特別高。如一些從事股票交易的金融企業(yè)。 對于這些企業(yè)來說，有必要實(shí)現(xiàn)防火墻的自動故障切換功能。簡單的說，就是在企業(yè)內(nèi)網(wǎng)與外網(wǎng)的聯(lián)接口，部署兩臺或者兩臺以上的防火墻。當(dāng)系統(tǒng)檢測到某臺防火墻出現(xiàn)故障的時(shí)候，會自動切換到另外一臺沒有故障的防火墻上。如此的話，在保障安全的同時(shí)也提高了防火墻的可用性。

在選購企業(yè)級別的交換機(jī)之前，企業(yè)網(wǎng)絡(luò)管理人員需要確認(rèn)有否這方面的需求。如思科的PIX515E防火墻就支持故障自動切換功能。在這個(gè)防火墻的面板上有三個(gè)狀態(tài)LED燈，用于指示系統(tǒng)電源、系統(tǒng)是否處于活動狀態(tài)、以及在接口上是否有網(wǎng)絡(luò)數(shù)據(jù)流量通過等等。如果有兩個(gè)運(yùn)行在故障切換模式中的防火墻，則Active等將指示哪個(gè)防火墻處于活躍狀態(tài)，哪個(gè)防火墻是處于備用狀態(tài)的。而同樣是思科的產(chǎn)品，PIX506E則沒有這個(gè)故障自動切換的功能?？梢娂词故峭粋€(gè)公司的產(chǎn)品，其規(guī)格不同，功能上也有很大的差異。

另外需要注意的是，故障切換功能跟許可證多少不一樣。故障切換功能是需要通過硬件來實(shí)現(xiàn)的。也就是說，現(xiàn)在企業(yè)可能不需要這個(gè)故障切換功能。以后如果需要的話，那么只有重新購買防火墻，而不能夠通過升級來增加這個(gè)功能。即可能會造成比較大的重復(fù)投資。為此在選購防火墻之前，作為企業(yè)網(wǎng)絡(luò)管理人員來說，需要確認(rèn)清楚，免得造成不必要的浪費(fèi)。

標(biāo)準(zhǔn)三、是否需要附加的以太網(wǎng)接口以及需要的數(shù)量?

有些企業(yè)規(guī)模比較大，可能需要附加的以太網(wǎng)接口。如對于一個(gè)工業(yè)園區(qū)來說，其內(nèi)部有5個(gè)大型的企業(yè)。工業(yè)園區(qū)的管理部門不可能為每個(gè)企業(yè)部署一個(gè)單獨(dú)的防火墻。出于節(jié)省成本的考慮，會讓他們使用同一個(gè)防火墻。而為了他們互不干擾，又會通過添加以太網(wǎng)接口的方式，來進(jìn)行分流。故在選購防火墻的時(shí)候，其能夠支持的以太網(wǎng)接口的數(shù)量也是非常重要的。

在實(shí)際工作中，往往需要的接口數(shù)量比較難以估計(jì)。而且隨著后續(xù)企業(yè)的發(fā)展，其也是在不斷變化的。另外從成本上考慮，多一個(gè)以太網(wǎng)接口，其成本也會高出不少。為此在防火墻設(shè)計(jì)的時(shí)候，往往是采用模塊的方式。就好像普通的PC，可以根據(jù)需要在主板上插一定數(shù)量的網(wǎng)卡。大部分防火墻在設(shè)計(jì)時(shí)也是如此設(shè)計(jì)的。如思科的525防火墻，其包含三個(gè)PCI插糟。網(wǎng)絡(luò)管理員可以根據(jù)需要，再安裝6個(gè)附加的以太網(wǎng)接口。

為此出于成本的考慮，企業(yè)在剛開始的時(shí)候，可以不附加以太網(wǎng)接口。等到以后發(fā)展到一定規(guī)模的時(shí)候，再根據(jù)需要購買模塊來增加以太網(wǎng)接口的數(shù)量。最重要的是，這個(gè)過程中不需要更換原有的交換機(jī)，而只是增加一個(gè)模塊而已。不過作為企業(yè)網(wǎng)絡(luò)管理員來說，還是需要預(yù)估以下，未來可能需要的以太網(wǎng)接口的最大數(shù)量。免得到時(shí)候以太網(wǎng)數(shù)量接口插糟不足而引起的麻煩。

另外如果有多個(gè)插糟的話，需要向大家提醒一個(gè)細(xì)節(jié)問題。通常情況下，出于性能的考慮，PCI查找往往被分成不同的總線速度。如假設(shè)某個(gè)防護(hù)墻具有4個(gè)插糟，可能前面兩個(gè)其速度為66，而后面兩個(gè)插糟其速度只有33。在使用的時(shí)候，不要在同一個(gè)總線上混合使用速度不同的卡。這會導(dǎo)致所有的速度為66插糟速度降低為33。這是什么意思的?即有兩個(gè)插糟其總線速度為66，如果分別插了兩張卡，速度分別為66和33。那么最后速度為66的卡其實(shí)際的速率也就只有33。正確的做法是，寧可讓第二個(gè)插糟空著，而將速度為33的卡插到第三個(gè)插糟中去。這就是“木桶效應(yīng)”。在實(shí)際工作中，網(wǎng)絡(luò)管理員需要避免犯這個(gè)低級錯(cuò)誤。

標(biāo)準(zhǔn)四、防火墻的吞吐量

在企業(yè)中防火墻就相當(dāng)于一幢大樓的大門。大門的大小直接決定了在同一時(shí)間可以通過的人數(shù)。如果大門不夠大，當(dāng)人數(shù)一多，就會發(fā)生擁塞。對于企業(yè)網(wǎng)絡(luò)來說，如果防火墻的吞吐量不夠大的話，就會引起網(wǎng)絡(luò)的擁塞，從而大大降低企業(yè)網(wǎng)絡(luò)的性能。

在防火墻的標(biāo)簽上，往往會寫明其吞吐量。這個(gè)吞吐量一邊指的就是防火墻處理數(shù)據(jù)發(fā)速度，是理論上的最高速度。為此在選購的時(shí)候，這個(gè)說明書上的吞吐量只是一個(gè)參考值。其實(shí)際的吞吐量還跟防火墻的接口速度、連接鏈路的速度和分組的大小等等。在大部分情況下，防火墻都達(dá)不到其理論上的最大速率，如果能夠達(dá)到8成已經(jīng)算是不錯(cuò)了。大家在辦理網(wǎng)絡(luò)寬帶的時(shí)候，可能對方高速你到達(dá)你家的速度有2M或者3M。但是你在家里上網(wǎng)的時(shí)候，永遠(yuǎn)也達(dá)不到這個(gè)速度。這是同樣的道理。

為此在選購防火墻的時(shí)候，網(wǎng)絡(luò)管理員需要預(yù)估一下所需要的吞吐量。在實(shí)際選購的時(shí)候，要選購那些比這個(gè)需要的吞吐量大一點(diǎn)的防火墻產(chǎn)品。即將防火墻說明書上的吞吐量打一個(gè)八折之后，再跟實(shí)際的吞吐量進(jìn)行對比。在其他條件相同的情況下，吞吐量越大，其價(jià)格也就越高。

吞吐量不夠大的話，會直接影響到網(wǎng)絡(luò)的性能。特別是某些企業(yè)，可能會在防火墻內(nèi)部部署一些服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、OA服務(wù)器等等，供外網(wǎng)的用戶訪問。此時(shí)更加要確保防火墻有足夠大的吞吐量。否則的話，通過互聯(lián)網(wǎng)訪問，速度本來就慢。再在防火墻上卡一下的話，反映就會變得更加遲鈍了。

【編輯推薦】

1. Linux系統(tǒng)防火墻配置實(shí)戰(zhàn)演示
2. 寬帶ADSL貓防火墻配置實(shí)戰(zhàn)級
3. Linux網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)并不難！
4. 軟件防火墻故障發(fā)現(xiàn)與排除很簡單！
5. 安全防護(hù)之防火墻防止Windows藍(lán)屏攻擊不用怕！