此文章主要講述的是硬件防火墻選購(gòu)十要素，隨著互聯(lián)網(wǎng)應(yīng)用的普及和飛速發(fā)展，網(wǎng)絡(luò)安全也成為人們憂心忡忡的一個(gè)方面。病毒和黑客攻擊作為網(wǎng)絡(luò)安全的主要隱患，時(shí)時(shí)刻刻在威脅著進(jìn)行互聯(lián)網(wǎng)應(yīng)用的計(jì)算機(jī)系統(tǒng)的安全。

隨著互聯(lián)網(wǎng)應(yīng)用的普及和飛速發(fā)展，網(wǎng)絡(luò)安全也成為人們最終為擔(dān)心的一個(gè)方面。病毒和黑客攻擊作為網(wǎng)絡(luò)安全的主要隱患，時(shí)時(shí)刻刻在威脅著進(jìn)行互聯(lián)網(wǎng)應(yīng)用的計(jì)算機(jī)系統(tǒng)的安全。網(wǎng)絡(luò)防火墻作為防止黑客入侵的主要手段，也已經(jīng)成為網(wǎng)絡(luò)安全建設(shè)的必選設(shè)備。

不僅對(duì)于企事粘單位網(wǎng)絡(luò)需要，就連個(gè)人用戶時(shí)下防火墻也已成為必備的安全手段，雖然個(gè)人用戶絕大多數(shù)還是采用軟件式的個(gè)人防火墻產(chǎn)品。本文要介紹的是在硬件防火墻設(shè)備選購(gòu)時(shí)要注意的事項(xiàng)，當(dāng)然適應(yīng)用戶也主要是企、事業(yè)單位。

目前來(lái)說(shuō)市面上的網(wǎng)絡(luò)防火墻設(shè)備不僅品牌繁多，就連各種不同的檔次產(chǎn)品也讓人眼花繚亂，普通用戶無(wú)從適從。那么如何選擇能夠適應(yīng)自己企業(yè)的需要，達(dá)到最大的安全效果的防火墻產(chǎn)品呢？筆者根據(jù)對(duì)防火墻的使用和維護(hù)經(jīng)驗(yàn)，總結(jié)出以下十大要素。

1.品牌是關(guān)鍵

因?yàn)榉阑饓Ξa(chǎn)品屬高科技產(chǎn)品，生產(chǎn)這樣的設(shè)備不僅需要強(qiáng)大的資金作后盾，而且在技術(shù)實(shí)力需要有強(qiáng)大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術(shù)和服務(wù)，對(duì)將來(lái)的使用更加有保障。所以在選購(gòu)防火墻產(chǎn)品時(shí)千萬(wàn)別隨便貪圖一時(shí)便宜。

選購(gòu)一些雜牌產(chǎn)品。目前國(guó)外在防火墻產(chǎn)品的開(kāi)發(fā)、生產(chǎn)中比較著名的品牌有：3COM、Cisco、Nokia、NetScreen、Check Point等，這些品牌技術(shù)實(shí)力比較強(qiáng)，而且都能提供高檔產(chǎn)品，當(dāng)然價(jià)格也相比下面要介紹的國(guó)產(chǎn)品牌要貴許多(通常在5000~1萬(wàn)元之間)甚至貴一倍以上。這些品牌對(duì)于大、中型有資金實(shí)力的企業(yè)來(lái)說(shuō)比較理想，因?yàn)橘?gòu)買(mǎi)了這類品牌產(chǎn)品，相對(duì)來(lái)說(shuō)在技術(shù)方面更有保障，能滿足公司各方面的特殊需求，而且可擴(kuò)展性比較強(qiáng)，適宜公司的發(fā)展需要。

國(guó)內(nèi)開(kāi)發(fā)、生產(chǎn)防火墻的品牌主要有：聯(lián)想-Dlink、天網(wǎng)、實(shí)達(dá)、東軟、天融信、安氏等，而又以聯(lián)想的Dlink、天網(wǎng)和實(shí)達(dá)品牌性能更好。這些品牌相對(duì)國(guó)外著名品牌來(lái)說(shuō)都處于中、低檔次。當(dāng)然價(jià)格要便宜許多(通常在5000元以下)，而且還能提供全中文的使用說(shuō)明書(shū)，方便安裝、調(diào)試和維護(hù)。對(duì)于中小企業(yè)來(lái)說(shuō)國(guó)產(chǎn)品牌是理想的選擇。

2.安全最重要

防火墻本身就是一個(gè)用于安全防護(hù)的設(shè)備，當(dāng)然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統(tǒng)和是否采用專用的硬件平臺(tái)。因?yàn)楝F(xiàn)在第二代防火墻產(chǎn)品通常不再依靠用戶的操作系統(tǒng)，而是采用自已單獨(dú)開(kāi)發(fā)的操作系統(tǒng)。

這個(gè)操作系統(tǒng)本身要求沒(méi)有安全隱患，當(dāng)然作為普通用戶這只能通過(guò)品牌來(lái)保證。應(yīng)用系統(tǒng)的安全性能是以防火墻自身操作系統(tǒng)的安全性能為基礎(chǔ)的，同時(shí)，應(yīng)用系統(tǒng)自身的安全實(shí)現(xiàn)也直接影響到整個(gè)系統(tǒng)的安全性。

另外在安全策略上，防火墻應(yīng)具有相當(dāng)?shù)撵`活性。首先防火墻的過(guò)濾語(yǔ)言應(yīng)該是靈活的，編程對(duì)用戶是友好的，還應(yīng)具備若干可能的過(guò)濾屬性，如源和目的IP地址、協(xié)議類型、源和目的TCP/UDP端口及入出接口等。只有這樣用戶才能根據(jù)實(shí)際需求采取靈活的安全策略保護(hù)自己企業(yè)網(wǎng)絡(luò)的安全。

另外，防火墻除應(yīng)包含先進(jìn)的鑒別措施，還應(yīng)采用盡量多的先進(jìn)技術(shù)，如包過(guò)濾技術(shù)、加密技術(shù)、可信的信息技術(shù)等。如身份識(shí)別及驗(yàn)證、信息的保密性保護(hù)、信息的完整性校驗(yàn)、系統(tǒng)的訪問(wèn)控制機(jī)制、授權(quán)管理等技術(shù)，這些都是防火墻安全系統(tǒng)所必需考慮的。

3.高效的性能

因?yàn)榉阑饓κ峭ㄟ^(guò)對(duì)進(jìn)入的數(shù)據(jù)進(jìn)行過(guò)濾來(lái)識(shí)別是否符合安全策略的，所以在流量比較高時(shí)，要求防火墻能以最快的速度及時(shí)對(duì)所有數(shù)據(jù)包進(jìn)行檢測(cè)，否則就可能造成比較的延時(shí)，甚至死機(jī)。這個(gè)指標(biāo)非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的代價(jià)(延時(shí))，用戶無(wú)法接受過(guò)高的代價(jià)。

如果防火墻對(duì)網(wǎng)絡(luò)造成較大的延時(shí)，還會(huì)給用戶造成較大的損失。這一點(diǎn)我們?cè)谑褂脗€(gè)人防火墻時(shí)可能深有感觸，有時(shí)我們?cè)诖蜷_(kāi)防火墻時(shí)上網(wǎng)反應(yīng)非常慢，而一旦去掉速度就上來(lái)了，原因就為因?yàn)榉阑饓^(guò)濾速度不夠快。

如果防火墻對(duì)原有網(wǎng)絡(luò)帶寬影響過(guò)大，無(wú)疑就是對(duì)原有投資的巨大浪費(fèi)。

目前來(lái)說(shuō)防火墻在類型上基本上都實(shí)現(xiàn)了從軟件到硬件防火墻的轉(zhuǎn)換，算法上也有了很大的優(yōu)化，一部分防火墻的性能完全可以做到對(duì)原有網(wǎng)絡(luò)的性能影響很小了。具體到用戶來(lái)說(shuō)，辨別一款防火墻的性能的優(yōu)劣，主要可以看看權(quán)威評(píng)測(cè)機(jī)構(gòu)或媒體的性能測(cè)試結(jié)果，這些結(jié)果都是以國(guó)際標(biāo)準(zhǔn)RFC2544標(biāo)準(zhǔn)來(lái)衡量的，主要包括：網(wǎng)絡(luò)吞吐量、丟包率、延遲、連接數(shù)等，其中吞吐量又是重中之重。

當(dāng)然在性能方面，對(duì)于不同規(guī)模的企業(yè)有不同的要求，不一定速度越高越好，像有的小型的局域網(wǎng)出口速率不到1M/s，選用100M/s的防火墻就是多余的。

4.高可靠性

因?yàn)榉阑饓拖髥挝挥脩舫鋈牖ヂ?lián)網(wǎng)的一道門(mén)，如果門(mén)壞了，顯然進(jìn)出互聯(lián)網(wǎng)也就成問(wèn)題了。這樣很可能會(huì)用戶造成巨大的損失，這就要求防火墻產(chǎn)品自身具有高的可靠性。提高防火墻的可靠性通常是在設(shè)計(jì)中采取措施，具體措施是提高部件的強(qiáng)健性、增大設(shè)計(jì)閥值和增加冗余部件。

5.強(qiáng)大的抗拒絕服務(wù)攻擊能力

在網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率最高的手段。拒絕服務(wù)攻擊可以分為兩類 ：一類是由于操作系統(tǒng)或應(yīng)用軟件在設(shè)計(jì)或編程上存在缺陷而造成的，這種類型只能通過(guò)打補(bǔ)丁的辦法來(lái)解決，如我們常見(jiàn)的各種Windows系統(tǒng)安全補(bǔ)丁 。另一類是由于協(xié)議本身存在缺陷而造成的，這種類型的攻擊雖然較少，但是造成的危害卻非常大。對(duì)于第一類問(wèn)題，防火墻顯得有些力不從心，因?yàn)橄到y(tǒng)缺陷與病毒感染不同，沒(méi)有病毒碼作為依據(jù)，防火墻常常會(huì)作出錯(cuò)誤的判斷。防火墻有能力對(duì)付第二類攻擊。

6. 功能的多樣性

這一點(diǎn)對(duì)于小型企業(yè)來(lái)說(shuō)不是很重要，但對(duì)于大、中型企業(yè)說(shuō)就應(yīng)當(dāng)高度重視。否則很可能選購(gòu)回來(lái)的防火墻產(chǎn)品根本不能滿足當(dāng)前或者短時(shí)間內(nèi)的未來(lái)需求。

質(zhì)量好的防火墻能夠有效地控制通信，能夠?yàn)椴煌?jí)別、不同需求的用戶提供不同的控制策略?？刂撇呗缘挠行浴⒍鄻有?、級(jí)別目標(biāo)清晰性以及制定難易程度都直反映出防火墻控制策略的質(zhì)量?，F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓受防火墻保護(hù)的一方的IP地址不被暴露。但注意啟用NAT后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。

目前防火墻技術(shù)進(jìn)步很快，功能上也做的五花八門(mén)，用戶選擇上也比較困難。在包過(guò)濾方式上，目前各個(gè)廠商采用的基本上都是基于狀態(tài)檢測(cè)包過(guò)濾功能。其他的一些附加的功能可以視實(shí)際的需要而定，例如，對(duì)于沒(méi)有固定主機(jī)的單位，可能需要身份認(rèn)證的功能;對(duì)網(wǎng)絡(luò)資源比較緊張的單位，可能需要帶寬管理的功能以合理控制資源分配;對(duì)于有總部和分支機(jī)構(gòu)的企業(yè)，就可能需要選擇能支持VPN通訊功能的防火墻產(chǎn)品等等。

對(duì)于經(jīng)常有公司內(nèi)部用戶移動(dòng)辦公的企業(yè)，最好能提供支持VPN通信或者身份驗(yàn)證功能，這樣做有兩個(gè)好處：一是可以大節(jié)省通信費(fèi)用(因?yàn)閂PN只需要用戶與本地ISP連接即可);另一方面用戶出差時(shí)可以登錄回公司內(nèi)部自己的服務(wù)器，在沒(méi)有其它加密手段或者加密成本比較高時(shí)，這樣身份驗(yàn)證方式是比較實(shí)用的。#p#

7. 配置的方便性

因?yàn)榉阑饓ψ鳛橐粋€(gè)高科技產(chǎn)品，一般技術(shù)人員是不太可能對(duì)其詳細(xì)配置原理全部掌握，所以這就要求防火墻產(chǎn)品在配置上盡可能簡(jiǎn)單，方便。但通常質(zhì)量好的防火墻系統(tǒng)在具有強(qiáng)大功能的同時(shí)，其配置安裝也較為復(fù)雜，需要網(wǎng)管員對(duì)原網(wǎng)絡(luò)配置進(jìn)行較大的改動(dòng)。

目前有一種支持透明通信的防火墻在安裝時(shí)不需要對(duì)網(wǎng)絡(luò)配置做任何改動(dòng)，非常適合小型企業(yè)選用。但要注意，在市場(chǎng)上并不是所有的防火墻都采用這種通信方式，有些防火墻只能在透明方式下或者網(wǎng)關(guān)方式下工作，而另外一些防火墻則可以在混合方式下工作。能工作于混合方式的防火墻顯然更具方便性。

8、管理的方便性

網(wǎng)絡(luò)技術(shù)發(fā)展很快，各種安全事件不斷涌現(xiàn)，這就要求網(wǎng)管員需要經(jīng)常調(diào)整安全策略。防火墻的管理不僅涉及控制策略的調(diào)整，而且還涉及業(yè)務(wù)系統(tǒng)的訪問(wèn)控制調(diào)整。防火墻的管理涉及管理途徑、管理工具和管理權(quán)限三方面。

防火墻的管理最好要適合網(wǎng)管員的管理習(xí)慣，設(shè)有遠(yuǎn)程Telnet登錄管理以及管理命令的在線幫助等。用戶在選擇防火墻時(shí)也應(yīng)該看其是否支持串口終端管理。如果防火墻沒(méi)有終端管理方式，就不容易確定故障所在。一個(gè)好的防火墻產(chǎn)品必須符合用戶的實(shí)際需要。對(duì)于國(guó)內(nèi)用戶來(lái)說(shuō)，防火墻最好是具有中文界面，既能支持命令行方式管理，又能支持GUI(圖形用戶界面，如Windows界面)和集中式管理。

在可管理性方面，防火墻日志對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)是至關(guān)重要的。防火墻日志應(yīng)具有可讀性，防火墻應(yīng)具有精簡(jiǎn)日志的能力，幫助管理員從日志中快速檢索到有用的信息。

9.靈活的可擴(kuò)展和可升級(jí)性

用戶的網(wǎng)絡(luò)不可能永遠(yuǎn)一成不變，隨著業(yè)務(wù)的發(fā)展，公司內(nèi)部可能組建不同安全級(jí)別的子網(wǎng)，這樣防火墻不僅要在公司內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行過(guò)濾，還要在公司內(nèi)部子網(wǎng)之間進(jìn)行過(guò)濾(現(xiàn)在的分布式防火墻不僅可以做到這一點(diǎn)，而且還可在內(nèi)部網(wǎng)各用戶之間過(guò)濾)。

目前的防火墻一般標(biāo)配三個(gè)網(wǎng)絡(luò)接口，分別連接外部網(wǎng)、內(nèi)部網(wǎng)和SSN。用戶在購(gòu)買(mǎi)防火墻時(shí)必須弄清楚是否可以增加網(wǎng)絡(luò)接口，因?yàn)橛行┓阑饓o(wú)法擴(kuò)展。用戶購(gòu)買(mǎi)或配置防火墻，首先要對(duì)自身的安全需求、網(wǎng)絡(luò)特性和成本預(yù)算做出分析，然后對(duì)防火墻產(chǎn)品進(jìn)行評(píng)估和審核，選出2～4家主要品牌產(chǎn)品進(jìn)行洽談，最后再確定優(yōu)選方案。

通常小型企業(yè)接入互聯(lián)網(wǎng)的目的一般是為了方便內(nèi)部用戶瀏覽Web、收發(fā)E-mail以及發(fā)布主頁(yè)。這類用戶在選購(gòu)防火墻時(shí)，主要要注意考慮保護(hù)內(nèi)部(敏感)數(shù)據(jù)的安全，特別要注重安全性，對(duì)服務(wù)協(xié)議的多樣性以及速度等可以不作特殊要求。建議這類用戶選用一般的代理型防火墻，具有http、mail等代理功能即可。

而對(duì)于有電子商務(wù)應(yīng)用的企業(yè)和網(wǎng)站等用戶來(lái)說(shuō)，這些企業(yè)每天都會(huì)有大量的商務(wù)信息通過(guò)防火墻。如果這些用戶需要在外部網(wǎng)絡(luò)發(fā)布Web(將Web服務(wù)器置于外部的情況)，同時(shí)需要保護(hù)數(shù)據(jù)庫(kù)或應(yīng)用服務(wù)器(置于防火墻內(nèi))，這就要求所采用的防火墻具有傳送SQL數(shù)據(jù)的功能，而且必須具有較快的傳送速度。建議這些用戶采用高效的包過(guò)濾型防火墻，并將其配置為只允許外部Web服務(wù)器和內(nèi)部傳送SQL數(shù)據(jù)使用。

未來(lái)的防火墻系統(tǒng)應(yīng)該是一個(gè)可隨意伸縮的模塊化解決方案，包括從最基本的包過(guò)濾器到帶加密功能的VPN型包過(guò)濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。

10.良好的協(xié)同工作能力

因?yàn)榉阑饓χ皇且粋€(gè)基礎(chǔ)的網(wǎng)絡(luò)安全設(shè)備，它不代表網(wǎng)絡(luò)安全防護(hù)體系的全部，通常它需要與防病毒系統(tǒng)和入侵檢測(cè)系統(tǒng)等安全產(chǎn)品協(xié)同配合，才能從根本上保證整個(gè)系統(tǒng)的安全，所以在選購(gòu)防火墻時(shí)就要考慮它是否能夠與其他安全產(chǎn)品協(xié)同工作。如何檢驗(yàn)它是否具有這個(gè)能力，通常是看它是否支持OPSEC(開(kāi)放安全結(jié)構(gòu))標(biāo)準(zhǔn)，通過(guò)這個(gè)接口與入侵檢測(cè)系統(tǒng)協(xié)同工作，通過(guò)CVP(內(nèi)容引導(dǎo)協(xié)議)與防病毒系統(tǒng)協(xié)同工作。

以上介紹了在選購(gòu)防火墻時(shí)所要注意的10個(gè)方面，事實(shí)上很難找到完全符合以上各項(xiàng)要求的防火墻產(chǎn)品。事實(shí)上如何評(píng)估防火墻是一個(gè)十分復(fù)雜的問(wèn)題。一般說(shuō)來(lái)，防火墻的安全和性能(速度等)是最重要的指標(biāo)，用戶接口(管理和配置界面)和審計(jì)追蹤次之，然后才是功能上的擴(kuò)展性。

用戶時(shí)常會(huì)面對(duì)安全和性能之間的矛盾。代理型防火墻通常更具安全性，但是性能要差于包過(guò)濾型防火墻。如果用作Internet防火墻，即使以T1(1.544Mbps)或E1(2.048Mbps)數(shù)字線路接入，防火墻也不會(huì)成為瓶頸。但是企業(yè)網(wǎng)之間如果以100M甚至G位網(wǎng)絡(luò)相連時(shí)，就會(huì)對(duì)防火墻的端口帶寬性能提出很高的要求。

所有用戶都希望自己買(mǎi)到物美價(jià)廉的產(chǎn)品，也就是性能價(jià)格比高的產(chǎn)品。按照購(gòu)買(mǎi)或?qū)崿F(xiàn)防火墻需要的經(jīng)費(fèi)來(lái)量化所有提出的解決辦法是十分重要的。有的防火墻產(chǎn)品可以不花錢(qián)或花很少的錢(qián)(如個(gè)人防火墻)，有的則要花上萬(wàn)元或更多的錢(qián)。具體而言，除考慮防火墻的銷(xiāo)售價(jià)格外，還要考慮它的管理費(fèi)用、維護(hù)費(fèi)用及消耗材料費(fèi)用等。

對(duì)于經(jīng)濟(jì)實(shí)力雄厚的公司或大的企業(yè)組織，一般把滿足需要放在第一位，把經(jīng)濟(jì)開(kāi)銷(xiāo)放在第二位，而且還把產(chǎn)品的更新?lián)Q代需要的開(kāi)銷(xiāo)考慮進(jìn)去。而對(duì)一般的機(jī)關(guān)學(xué)校來(lái)，由于經(jīng)濟(jì)條件一般，把產(chǎn)品價(jià)格放在重要位置考慮，只愿開(kāi)銷(xiāo)滿足當(dāng)前急需所購(gòu)產(chǎn)品的經(jīng)費(fèi)，對(duì)未來(lái)網(wǎng)絡(luò)系統(tǒng)的發(fā)展擴(kuò)充換代考慮甚少。我們只要在滿足實(shí)用性、安全性的基礎(chǔ)上，適當(dāng)考慮經(jīng)濟(jì)性就可以找到自己理想的產(chǎn)品。

上面介紹了在選購(gòu)防火墻產(chǎn)品時(shí)要注意的事項(xiàng)，最后簡(jiǎn)單介紹防火墻在安裝和配置方面應(yīng)注意的幾個(gè)方面。

用戶在選擇防火墻后，防火墻在安裝前，首先要在被保護(hù)網(wǎng)段內(nèi)使用ICMP包(PING)或Telnet對(duì)外網(wǎng)段進(jìn)行訪問(wèn)，并使用相同的方法從外網(wǎng)段對(duì)被保護(hù)網(wǎng)段進(jìn)行訪問(wèn)，以確保網(wǎng)絡(luò)間路由的正常;其次是使用瀏覽器從被保護(hù)網(wǎng)段對(duì)外部網(wǎng)段的服務(wù)器進(jìn)行訪問(wèn)，來(lái)確保網(wǎng)段間域名解析的正常。

在安裝防火墻時(shí)，用戶還需要確認(rèn)所安裝的防火墻的各個(gè)模塊的版本是否是最新版本或者帶有最新的補(bǔ)丁，并按照防火墻廠商提供的用戶手冊(cè)進(jìn)行安裝。對(duì)于軟件防火墻，用戶還需要在安裝前除掉該防火墻系統(tǒng)上的不必要的協(xié)議(如NetBEUI)和服務(wù)，并關(guān)閉系統(tǒng)的IP Forwarding功能。

在配置防火墻時(shí)，用戶還要注意防火墻控制對(duì)象的正確定義以及被控制對(duì)象與外網(wǎng)通信時(shí)所使用的協(xié)議，以確保防火墻的配置不會(huì)防礙正常的通信。另需要制定安全策略來(lái)對(duì)其進(jìn)行合理有效的配置。

上述的相關(guān)內(nèi)容就是對(duì)硬件防火墻選購(gòu)十要素的描述，希望會(huì)給你帶來(lái)一些幫助在此方面。

【編輯推薦】

1. 知我者為我心憂 硬件防火墻全接觸
2. 如何鑒別硬件防火墻性能的差異
3. 硬件防火墻的配置過(guò)程講解
4. 全方位講解硬件防火墻的選擇(多圖)
5. SonicWALL GX650硬件防火墻