防火墻對(duì)于公司網(wǎng)絡(luò)安全來說，起的是關(guān)鍵性的作用，只有它，才可以防止來自互聯(lián)網(wǎng)上永不停止的各種威脅。防火墻的選擇對(duì)遠(yuǎn)程終端連接到中心系統(tǒng)獲取必要資源或完成重要任務(wù)的影響也非常大。當(dāng)選擇基于硬件的防火墻時(shí)，應(yīng)當(dāng)考慮以下十個(gè)方面的因素，以確保企業(yè)實(shí)現(xiàn)投資、安全性和生產(chǎn)力的最大化。

在市面上，UTM的種類非常多。根據(jù)商業(yè)模式的不同，一些網(wǎng)絡(luò)安全設(shè)備可以提供大量的功能和全面的服務(wù)，但是需要公司承擔(dān)高昂的價(jià)格，而另一些則只包含了基本的服務(wù)，但采購的成本也很低。

因此，選擇的時(shí)間一定要確保平臺(tái)是公認(rèn)和值得信賴的。Barracuda、思科、SonicWALL公司和WatchGuard都屬于擁有市場(chǎng)份額的著名品牌，它們獲得的市場(chǎng)份額就是可以提供值得信賴安全的很好的理由。無論你選擇什么品牌的防火墻，都應(yīng)該確保其通過國際計(jì)算機(jī)安全協(xié)會(huì)(ICSA)的認(rèn)證，符合數(shù)據(jù)包檢測(cè)的行業(yè)標(biāo)準(zhǔn)。

在安全方面，全球跨國企業(yè)需要多級(jí)控制管理，但即使是這些需要大量保護(hù)的企業(yè)也不應(yīng)該將設(shè)備配置方式限定在命令行模式下。很多防火墻都可以在提供高度安全性的同時(shí)，提供友好的圖形界面以方便管理。

在選擇基于硬件的防火墻時(shí)，考慮到易用性也會(huì)帶來很大的好處。一個(gè)平臺(tái)越容易進(jìn)行管理，就越容易找到可以進(jìn)行安裝、維護(hù)和故障處理等工作的專業(yè)人士。

防火墻存在的目的并不限于防止網(wǎng)絡(luò)黑客的攻擊和非法數(shù)據(jù)輸出。一個(gè)好的防火墻還應(yīng)該可以在為遠(yuǎn)程連接建立安全通道，并對(duì)其進(jìn)行監(jiān)測(cè)。在選擇基于硬件的防火墻時(shí)，應(yīng)該確保其支持同類設(shè)備的基于SSL-和IPSec-保護(hù)的VPN連接(以保護(hù)點(diǎn)至點(diǎn)或站點(diǎn)到站點(diǎn)VPN)，讓員工可以實(shí)現(xiàn)安全連接。

在網(wǎng)絡(luò)策略中，防火墻通常承擔(dān)公司網(wǎng)絡(luò)的互聯(lián)網(wǎng)網(wǎng)關(guān)的角色。對(duì)于規(guī)模較小的辦公室，可以讓防火墻承擔(dān)雙重責(zé)任，即既作為安全設(shè)備又作為網(wǎng)絡(luò)交換機(jī)。同時(shí)，對(duì)于規(guī)模較大的辦公環(huán)境來說，防火墻屬于更大結(jié)構(gòu)的組成部分，這時(shí)，它承擔(dān)的唯一責(zé)任就是對(duì)流量進(jìn)行過濾。

確保防火墻可以對(duì)負(fù)載進(jìn)行分配管理。這就意味著它需要配備必要的以太網(wǎng)端口并擁有適當(dāng)?shù)乃俣?如果有必要的話，應(yīng)該選擇10Mbps/100Mbps和/或1000Mbps)。但還有更多要注意的因素，確保你選擇的防火墻擁有進(jìn)行數(shù)據(jù)包檢查的功能，并且可以提供安全服務(wù)網(wǎng)關(guān)和路由功能。

特別要注意的是制造商關(guān)于支持最大節(jié)點(diǎn)數(shù)目的建議。如果超過了路由器的能力，就可能會(huì)出現(xiàn)錯(cuò)誤，數(shù)據(jù)傳輸就會(huì)由于缺乏許可或者超過支持范圍而中斷。

硬件出現(xiàn)問題是有可能的。更壞的情況可能是，僅僅因?yàn)槭切略O(shè)備并不意味著它一定可以正常工作。全天候的技術(shù)支持以及部署過程中的全面技術(shù)支持應(yīng)當(dāng)包含在和防火墻制造商簽定的技術(shù)支持合同中。

在購買前，應(yīng)該撥打制造商技術(shù)支持團(tuán)隊(duì)的電話，了解部署和配置方面的問題。根據(jù)答復(fù)的速度和內(nèi)容等情況，可以確定在實(shí)地部署出現(xiàn)問題時(shí)你將獲得服務(wù)的情況。

即使在選擇基于硬件的防火墻時(shí)，公司并不認(rèn)為這是必須的情況下，也應(yīng)該將無線網(wǎng)絡(luò)功能包含進(jìn)來。IT團(tuán)隊(duì)可以在部署的時(shí)間關(guān)閉無線網(wǎng)絡(luò)功能。增加無線局域網(wǎng)功能會(huì)導(dǎo)致購買成本增加，但對(duì)于客戶連接或方便地訪問網(wǎng)絡(luò)來說，這是必須的。安全的無線連接是很容易獲得的(并不需要購買一臺(tái)全新的路由器)。對(duì)于一家處于變化中的公司企業(yè)來說，無線局域網(wǎng)功能可能被證明是必要的。

通過設(shè)置防火墻，很多公司成功地降低了病毒、間諜軟件和垃圾郵件帶來的大量威脅。在比較防火墻功能，確定運(yùn)行費(fèi)用的時(shí)間，為了減低成本，你可以選擇在防火墻而不是傳統(tǒng)的域控制器或其他服務(wù)器上部署這些服務(wù)。

現(xiàn)在很多IT部門都選擇使用OpenDNS進(jìn)行內(nèi)容過濾，一些防火墻制造商也在設(shè)備中提供了網(wǎng)頁過濾的選擇。對(duì)于所有和業(yè)務(wù)有關(guān)的網(wǎng)絡(luò)服務(wù)來說，都需要利用網(wǎng)關(guān)安全服務(wù)進(jìn)行內(nèi)容過濾。這樣做的優(yōu)點(diǎn)是可以實(shí)現(xiàn)功能集成在一臺(tái)設(shè)備中。但缺點(diǎn)是，你需要支付相關(guān)的費(fèi)用。

因此，在選擇基于硬件的防火墻解決方案時(shí)，要考慮到公司的需求和預(yù)算情況，確定是否應(yīng)該由防火墻管理內(nèi)容過濾功能。如果答案是肯定的話，選擇一個(gè)包含了可靠成熟內(nèi)容過濾功能的防火墻。

防火墻可以對(duì)關(guān)鍵網(wǎng)絡(luò)任務(wù)進(jìn)行管理。僅僅一個(gè)工作日，一臺(tái)路由器就可以阻止成千上萬的入侵企圖、防范各種攻擊，并記錄失敗的網(wǎng)絡(luò)連接。但這些信息只有包含在易于獲取的格式中時(shí)，才能為網(wǎng)絡(luò)管理員提供有效的幫助。對(duì)于防火墻來說，不僅需要對(duì)重要事件進(jìn)行監(jiān)控，而且應(yīng)該將數(shù)據(jù)以兼容的格式保存起來。對(duì)于一個(gè)優(yōu)秀的防火墻來說，應(yīng)該至少可以利用電子郵件為重要事件提供警告。

【編輯推薦】

1. 網(wǎng)絡(luò)防火墻已走到盡頭？
2. 取代UTM？下一代防火墻勢(shì)不可擋
3. 防火墻讓互聯(lián)網(wǎng)攻擊者無機(jī)可乘？
4. 利用防火墻來防止DOS攻擊的實(shí)例解析
5. 掌握Linux防火墻經(jīng)典應(yīng)用 讓企業(yè)網(wǎng)絡(luò)更安全