以下的文章主要向大家講述的是選擇防火墻應(yīng)該考慮的幾個(gè)方面，首先需要我們大家明白的是，防火墻不是路由器、交換機(jī)以及服務(wù)器。(雖然看起來比較象)所以不能用那些產(chǎn)品的指標(biāo)來選擇防火墻。那么選擇防火墻應(yīng)該注意哪些方面呢?

首先要明確，防火墻不是路由器、交換機(jī)或者服務(wù)器。(雖然看起來比較象)所以不能用那些產(chǎn)品的指標(biāo)來選擇防火墻。那么選擇防火墻應(yīng)該注意哪些方面呢?

一安全性：

這是重中之重。安全性不高的防火墻，其他性能再好也是空談。安全性包括幾個(gè)方面，自身安全性、訪問控制能力和抗攻擊能力。

自身安全性主要是指防火墻系統(tǒng)的健壯性，也就是說防火墻本身應(yīng)該是難以被攻入的。還有防火墻的管理方式也很重要。管理員采用什么方式管理防火墻，是telnet還是web，有沒有加密和認(rèn)證等等。

訪問控制能力是防火墻的核心功能。訪問控制能力包括控制細(xì)度，也就是能控制哪些內(nèi)容，比如地址、協(xié)議、端口、時(shí)間、用戶、命令、附件等等。還要注意的就是控制強(qiáng)度，也就是說應(yīng)該限制的內(nèi)容必須全部阻斷，應(yīng)該通過的內(nèi)容不應(yīng)該有任何阻斷。

抗攻擊能力是指防火墻對各種攻擊的抵抗能力。包括抵御攻擊的種類，數(shù)量。特別是對DOS和DDOS攻擊的抵抗力。目前對于DDOS攻擊還沒有什么完善的解決辦法。因此對DDOS攻擊主要看能抵御的強(qiáng)度有多大。

用戶在選擇防火墻的時(shí)候，自己來判斷以上這些性能是很困難的。因?yàn)橛脩魶]有專門的測試工具和手段。用戶可以根據(jù)一些第三方的認(rèn)證和評測來輔助判斷。比如能否擁有安全性較嚴(yán)格的軍隊(duì)認(rèn)證、還有就是中國信息安全產(chǎn)品測評認(rèn)證中心的等級證書?，F(xiàn)在用的標(biāo)準(zhǔn)是國標(biāo)GB/T18336，等級越高越好，一共7級。(不過現(xiàn)在最好的好像也就是EAL3)

二網(wǎng)絡(luò)性能。

防火墻是個(gè)網(wǎng)絡(luò)設(shè)備。在保證安全的基礎(chǔ)上，應(yīng)該最大程度減少對網(wǎng)絡(luò)性能的影響。對于網(wǎng)絡(luò)性能，主要就是看最大帶寬、并發(fā)連接數(shù)、每秒新增連接數(shù)、丟包和延遲。這些指標(biāo)和交換機(jī)、路由器都是相同的，這里就不多說了。但是有一點(diǎn)要注意。防火墻在策略起作用和全通策略的狀態(tài)下，上述指標(biāo)都是不一樣的。用戶一定要考慮實(shí)際環(huán)境。比如先按照用戶的要求添加多少條策略(全通策略在最后)然后再測試。傳說中有的百兆防火墻小包(64字節(jié))通過率能達(dá)到70%以上，甚至90%，我覺得在實(shí)際使用中一定不可能。之所以能夠測試出這樣的數(shù)據(jù)只有兩個(gè)可能：一是采用高性能硬件，比如采用了千兆網(wǎng)卡芯片，二是在測試機(jī)的內(nèi)核做手腳。

三是網(wǎng)絡(luò)功能。

這里包括的內(nèi)容就多了，什么地址轉(zhuǎn)換、IP/MAC綁定、靜態(tài)和動態(tài)路由、源地址路由、代理、透明代理、ADSL撥號、DHCP支持、雙機(jī)熱備、負(fù)載均衡等等。

在這些眼花繚亂的功能里，用戶應(yīng)該有一雙明亮的眼睛。因?yàn)椴⒉皇敲恳粋€(gè)功能用戶都需要的，用戶也不需要為了一些不需要的功能花冤枉錢。當(dāng)然，價(jià)錢相等的情況下功能越多越好啊，呵呵。用戶應(yīng)該首先明確自己都需要什么功能，并且要確定這些功能都要達(dá)到什么效果。然后再尋找相應(yīng)的設(shè)備。有些功能在不同廠家的定義是不同的。實(shí)現(xiàn)的效果也不一樣。

四是管理功能。

這里面的內(nèi)容也不少。用戶不要小看了這里的東西。防火墻這種設(shè)備不像交換機(jī)，安裝好了50年不管。防火墻需要經(jīng)常管理。日常的管理就是看日志，修訂策略，添加和刪除用戶。更高的管理還包括第三方互動，VPN建立，遠(yuǎn)程集中管理等等。管理方面用戶應(yīng)該注意界面的友好性，設(shè)置選項(xiàng)應(yīng)該通俗易懂。日志特別重要，好的日志系統(tǒng)應(yīng)該有詳細(xì)的記錄，包括連接的狀態(tài)和內(nèi)容，應(yīng)該便于分類和排序，應(yīng)該方便存入數(shù)據(jù)庫并有syslog等標(biāo)準(zhǔn)的接口。遠(yuǎn)程管理對用戶來說要注意管理命令的加密和認(rèn)證，是否支持策略遠(yuǎn)程導(dǎo)入導(dǎo)出等等。至于管理的界面是否好看，那就看個(gè)人喜好了。

五是質(zhì)量。

防火墻的質(zhì)量表現(xiàn)可不是做工精細(xì)不精細(xì)啊，而是防火墻是否能經(jīng)久耐用?，F(xiàn)在比較先進(jìn)的防火墻普遍采用的是貼板技術(shù)。也就是將所有的原件都采用貼片的工藝。這樣整個(gè)防火墻都是一體的，自然不容易出故障。如果防火墻的內(nèi)存，網(wǎng)口還采用插槽的方式，甚至還采用普通硬盤作為系統(tǒng)內(nèi)核存儲設(shè)備，那系統(tǒng)的穩(wěn)定性就可想而知了。另外在高穩(wěn)定性要求的環(huán)境里要看有沒有雙電源，大功率風(fēng)扇等等。雖然看上去是細(xì)節(jié)，但是我可是知道很多防火墻室內(nèi)溫度一高就死機(jī)的。：)

上面說的內(nèi)容都是對防火墻產(chǎn)品本身的一些介紹。我想大家應(yīng)該對怎樣選擇防火墻有個(gè)原理性的認(rèn)識了。那么下面就針對一些實(shí)際情況來講一講。先把我在一開始提的幾個(gè)誤區(qū)做個(gè)Q&A吧。

誤區(qū)一：防火墻是國外的好。

解釋：在網(wǎng)絡(luò)安全領(lǐng)域，甚至是計(jì)算機(jī)領(lǐng)域，我們完全不用崇洋媚外。因?yàn)閲鴥?nèi)的研發(fā)力量已經(jīng)漸漸在趕超了。當(dāng)然，我們的整體實(shí)力還是有限的。但是，對于防火墻這種比較成熟的技術(shù)來說，我們完全可以做的和國外的一樣好。國外品牌，大家熟知的checkpoint，為什么現(xiàn)在的市場份額越來越少?主要是自己不思進(jìn)取。別人早都用硬件防火墻了，他還死抱著純軟件不放?，F(xiàn)在和nokia合作推出硬件產(chǎn)品，是沒辦法的事。這種合作我也很不看好。畢竟對nokia來說這是小生意，不會重視的。在國內(nèi)進(jìn)行的多次評測中，國內(nèi)的產(chǎn)品在性能指標(biāo)上和國外的產(chǎn)品各有千秋。當(dāng)然，國外的產(chǎn)品占了幾個(gè)最，比如最快的產(chǎn)品是netscreen，支持協(xié)議最多的是checkpoint，入侵檢測結(jié)合的最好的是fortinet。但是不要忘記，這些防火墻往往都是一個(gè)方面突出，然而其他方面就很一般了。國內(nèi)的防火墻優(yōu)勢在于，功能比較全面，很容易用，服務(wù)本地化。片面強(qiáng)調(diào)一個(gè)功能對防火墻來說是不夠的。用戶應(yīng)該結(jié)合自己的實(shí)際來選擇防火墻。我認(rèn)為國內(nèi)的防火墻在性價(jià)比上是很好的。

也有人擔(dān)心國內(nèi)防火墻安全性不夠。國家在這些方面都有專門的認(rèn)證和評測機(jī)構(gòu)。我想不是白吃飯的。(當(dāng)然，有的評測確實(shí)只拿錢不測試)而國外的就一定安全么?我想更應(yīng)該在心里劃個(gè)問號。

誤區(qū)二：防火墻純硬件的比linux架構(gòu)的好。

解釋：硬件還是軟件，這個(gè)只是跟實(shí)現(xiàn)原理有關(guān)。要實(shí)現(xiàn)防火墻的功能還是靠軟件。ASIC的防火墻是把防火墻代碼做在芯片里，運(yùn)行的效率當(dāng)然高。但是別的呢?防火墻可不是只做包檢測的設(shè)備。還有很多別的功能。要想全部集成在芯片里，難度很大。特別是如果新出現(xiàn)了一個(gè)功能，要添加到原有的ASIC芯片里，往往很難。有人說ASIC芯片速度快。這個(gè)問題分兩個(gè)角度來考慮。第一，韓國也有ASIC芯片的防火墻。而且國內(nèi)也有OEM的(是哪一家我不說了)，但是都是低端產(chǎn)品，并發(fā)連接只有幾千而已。所以不是ASIC就一定好，要看研發(fā)的水平了。第二你需要這么快的速度么?速度是重要的，但不是唯一的。現(xiàn)在netscreen能做到幾十個(gè)G，但是有個(gè)幾個(gè)用戶有這么大的帶寬?除了電信，沒幾個(gè)用得著。而linux架構(gòu)的防火墻在軟件上可以很容易的添加功能，甚至可以應(yīng)用戶的要求訂制開發(fā)。

誤區(qū)三：防火墻各項(xiàng)指標(biāo)越高越好。

其實(shí)還是那句話：按需選擇。可能用戶有的是錢，那當(dāng)然另說了。但是在用戶資金有限的情況下，還是應(yīng)該仔細(xì)衡量一下，哪些指標(biāo)對用戶來說更有用。當(dāng)然，選擇產(chǎn)品時(shí)一定要有前瞻性，產(chǎn)品最好能適應(yīng)今后兩年網(wǎng)絡(luò)的擴(kuò)展。我曾經(jīng)見過用戶的選型方法是這樣的：因?yàn)槲覀兊膶＞€是電信用光纖拉過來的，所以我們要用千兆防火墻和交換機(jī)。

其實(shí)這根光纖只有8M。我想，電信發(fā)展的再快，專線速度達(dá)到100M以上恐怕也是5、6年以后的事情了(租金多少還難說)，因此現(xiàn)在就選擇千兆設(shè)備還不如選個(gè)好的光電轉(zhuǎn)換模塊。有的用戶片面追求最大并發(fā)連接數(shù)，認(rèn)為并發(fā)連接越大越好。

其實(shí)這也是國內(nèi)一些廠商的誤導(dǎo)。最大并發(fā)連接夠用就可以了?，F(xiàn)在的國內(nèi)廠家在這個(gè)指標(biāo)上玩花樣，你可以對比這兩年同型號產(chǎn)品的公開指標(biāo)，會發(fā)現(xiàn)有些產(chǎn)品的并發(fā)連接突然成倍增長。當(dāng)然，也可能是產(chǎn)品升級了，但是很多情況是廠家為了打標(biāo)，故意修改的數(shù)字。反正大部分用戶都沒條件測試最大并發(fā)，我寫個(gè)幾百萬你怎么知道?其實(shí)對于百兆防火墻來說，有100萬的并發(fā)應(yīng)該足夠了，富富有余。其他的指標(biāo)也一樣，按需選擇才是根本。

【編輯推薦】

1. 企業(yè)管理員如何高效配置防火墻
2. 解析C/S架構(gòu)的分布式防火墻
3. 如何辨別硬件防火墻性能
4. 企業(yè)安全產(chǎn)品測評之Cisco PIX防火墻
5. Web應(yīng)用防火墻的功能與特點(diǎn)的描述