互聯(lián)網(wǎng)應(yīng)用在企業(yè)中所占的比例越來越高，同時(shí)更多的企業(yè)開始關(guān)注自己的網(wǎng)絡(luò)安全。硬件防火墻選購(gòu)可以說是最簡(jiǎn)單和直接的保護(hù)企業(yè)網(wǎng)絡(luò)安全方式，也被越來越多的企業(yè)提上日程。那么本篇文章就通過一些數(shù)據(jù)指標(biāo)來詳細(xì)談一談如何進(jìn)行硬件防火墻選購(gòu)。

一，什么是硬件防火墻：

平時(shí)我們都接觸過防火墻，不過很多用戶使用的都是偏軟件的防火墻，通過一些軟件程序?qū)崿F(xiàn)對(duì)系統(tǒng)和網(wǎng)絡(luò)的保護(hù)。然而相比硬件防火墻而言軟件防火墻在性能和處理能力等方面存在著很大的不同。所謂硬件防火墻就是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負(fù)擔(dān)，使路由更穩(wěn)定。

硬件防火墻作為企業(yè)安全的屏障所起的作用是巨大的，正是因?yàn)榉阑饓Τ绦蚝瓦^濾規(guī)則的硬件化芯片化，所以硬件防火墻在處理并發(fā)數(shù)和連接數(shù)比較多的情況下優(yōu)勢(shì)更加明顯，平時(shí)出現(xiàn)問題的機(jī)率也比較低。

二，數(shù)據(jù)說話——硬件防火墻選購(gòu)經(jīng)驗(yàn)談：

很多企業(yè)都面臨硬件防火墻選購(gòu)，今天筆者就從實(shí)際選購(gòu)出發(fā)從數(shù)據(jù)說話為各位介紹硬件防火墻選購(gòu)上的一些經(jīng)驗(yàn)。

(1)按需選擇原則

首先需要確定的就是選擇防火墻時(shí)按照需求去確定各個(gè)參數(shù)，一般來說企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)點(diǎn)數(shù)以及會(huì)話連接情況決定了硬件防火墻的級(jí)別。選擇時(shí)依照滿足性能為首的原則，然后適當(dāng)為日后升級(jí)做準(zhǔn)備。

在執(zhí)行按需選擇原則時(shí)我們需要就以下幾個(gè)方面進(jìn)行劃定，首先確定企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備數(shù)量以及員工計(jì)算機(jī)數(shù)量，通過計(jì)算機(jī)下連網(wǎng)絡(luò)數(shù)量來選擇硬件防火墻的級(jí)別;其次根據(jù)企業(yè)網(wǎng)絡(luò)流量來決定防火墻接口網(wǎng)絡(luò)速度，流量大的需要選擇G級(jí)接口，而小型網(wǎng)絡(luò)100M的即可滿足實(shí)際需求;再次考慮企業(yè)網(wǎng)絡(luò)的穩(wěn)定性，說白了就是是否需要提供線路上的冗余，對(duì)于多線多路網(wǎng)絡(luò)接入來說這點(diǎn)需要額外考慮;最后就是從功能需求上去決定選購(gòu)型號(hào)，一般來說防火墻都應(yīng)該具備VPN接入的功能，這樣才能夠更好的提供不同權(quán)限不同用戶級(jí)別的網(wǎng)絡(luò)服務(wù)，同時(shí)諸如IPV6，VOIP等功能的支持要需要根據(jù)企業(yè)實(shí)際需求去選擇。

(2)防火墻硬字當(dāng)先：

在確定需求后我們就要查看防火墻的自身配置了，首先需要確保的是防火墻必須采用多核處理器的純硬件架構(gòu)(非X86)，這個(gè)條件是必須滿足的。為什么這么說呢?因?yàn)橛布阑饓^(qū)別于低性能低價(jià)格的軟件防火墻而言關(guān)鍵點(diǎn)就是把防火墻程序做到芯片里面，從而節(jié)約了日常處理對(duì)CPU的占用。而很多廠商在推薦防火墻時(shí)可能選擇的設(shè)備是一種“偽硬件”，使用新瓶裝舊酒的策略，將經(jīng)過優(yōu)化的軟件防火墻裝到普通臺(tái)式機(jī)上，再通過封裝改造成所謂的硬件防火墻。這是明顯的掛羊頭賣狗肉。因此在確定防火墻時(shí)一定注意他是純粹的硬件防火墻，另外由于在X86下搭建的系統(tǒng)多以Windows為主，而且Windows系統(tǒng)存在先天安全問題。所以在考慮硬件防火墻自身架構(gòu)時(shí)也要盡量不采取X86架構(gòu)。

采用多核心處理器可以更好的處理并發(fā)通訊和高數(shù)量的連接，因此防火墻必須采用多核處理器的純硬件架構(gòu)(非X86)成為選購(gòu)硬件防火墻的首要原則。

(3)冗余運(yùn)行穩(wěn)定當(dāng)先：

除了硬件防火墻自身“硬”指標(biāo)外我們還需要關(guān)注的是設(shè)備運(yùn)行的冗余性，對(duì)于企業(yè)來說網(wǎng)絡(luò)接入冗余性，電源支持冗余性以及數(shù)據(jù)的冗余性都非常關(guān)鍵。畢竟企業(yè)很多業(yè)務(wù)都運(yùn)行在網(wǎng)絡(luò)上，硬件防火墻一旦出現(xiàn)問題各種安全防范以及網(wǎng)絡(luò)接入服務(wù)都要受到致命的影響。

因此在選購(gòu)硬件防火墻時(shí)其自身的冗余運(yùn)行以及穩(wěn)定性方面的表現(xiàn)也同樣重要，其中網(wǎng)絡(luò)接入方面的多接性以及電源支持的冗余性顯得更加重要。

(4)連接會(huì)話做足文章：

除了上面兩個(gè)因素需要考慮外防火墻自身的網(wǎng)絡(luò)性能也需要考慮在內(nèi)，具體包括防火墻的吞吐量以及并發(fā)連接數(shù)連各個(gè)參數(shù)。對(duì)于具備10000個(gè)下連網(wǎng)絡(luò)節(jié)點(diǎn)的企業(yè)內(nèi)網(wǎng)來說應(yīng)該保證硬件防火墻滿足下面幾個(gè)要求——

吞吐量 ≥7.9G bps

吞吐量(小包) ≥2900 M bps

最大并發(fā)連接數(shù) ≥4,900,000

每秒新建連接數(shù) ≥190,000

小提示：

什么是吞吐量——吞吐量是在一個(gè)給定的時(shí)間段內(nèi)設(shè)備能夠傳輸?shù)臄?shù)據(jù)量，使用Mb/s進(jìn)行度量。吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡及程序算法的效率決定，尤其是程序算法，會(huì)使防火墻系統(tǒng)進(jìn)行大量運(yùn)算，通信量大打折扣。因此大多數(shù)防火墻雖號(hào)稱100M防火墻，由于其算法依靠軟件實(shí)現(xiàn)，通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到100M,實(shí)際只有10M-20M。純硬件防火墻，由于采用硬件進(jìn)行運(yùn)算，因此吞吐量可以達(dá)到線性90-95M，這樣才算是真正的100M防火墻。

網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)包組成，防火墻對(duì)每個(gè)數(shù)據(jù)包的處理要耗費(fèi)資源。吞吐量是指在不丟包的情況下單位時(shí)間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。這是測(cè)量防火墻性能的重要指標(biāo)。如果企業(yè)實(shí)際下連節(jié)點(diǎn)不是萬個(gè)級(jí)別的話，我們可以適當(dāng)?shù)膶⑸厦嫣岬降膸讉€(gè)參數(shù)進(jìn)行縮減。吞吐量決定硬件防火墻處理數(shù)據(jù)的能力，而連接數(shù)的多少?zèng)Q定了防火墻自身的性能。

三，硬件防火墻選購(gòu)總結(jié)：

由于篇幅關(guān)系筆者在本文中針對(duì)硬件防火墻選購(gòu)方面介紹了幾點(diǎn)經(jīng)驗(yàn)，通過確定硬件防火墻核心是否真的“硬”，連接會(huì)話吞吐量實(shí)際情況以及性能硬件環(huán)節(jié)的冗余功能等方面下手，讓我們選購(gòu)的硬件防火墻可以真正的為我們企業(yè)高效服務(wù)。
 

【編輯推薦】

1. 防火墻安全測(cè)試之漏洞掃描
2. 防火墻安全測(cè)試之?dāng)?shù)據(jù)包偵聽
3. 防火墻安全測(cè)試之規(guī)則分析工具
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起