企業(yè)安全要上鎖 如何選購(gòu)硬件防火墻
經(jīng)常接觸網(wǎng)絡(luò)安全領(lǐng)域的朋友對(duì)硬件防火墻這個(gè)名詞一定不陌生:對(duì)于企業(yè)用戶來(lái)說(shuō),硬件防火墻本身支持安全策略,有先進(jìn)的認(rèn)證手段或有掛鉤程序,可以安裝先進(jìn)的認(rèn)證方法;如果需要,可以運(yùn)用過(guò)濾技術(shù)允許和禁止服務(wù),是網(wǎng)絡(luò)安全的第一道防線。目前基本上所有的大型企業(yè)都會(huì)選擇硬件防火墻作為抵御外部攻擊、保護(hù)內(nèi)網(wǎng)安全的首選安全設(shè)備,這篇文章里主要介紹企業(yè)實(shí)際應(yīng)用中常見的硬件防火墻的概念及選購(gòu)注意事項(xiàng)。
什么是硬件防火墻?
關(guān)于硬件防火墻的定義,各IT專業(yè)媒體說(shuō)法不一,到現(xiàn)在也沒有一個(gè)統(tǒng)一的概念,通俗地講,硬件防火墻是指把防火墻程序做到芯片里面,由硬件執(zhí)行這些功能,可以減少CPU的負(fù)擔(dān)這樣一種防火墻。 硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障,它的安全和穩(wěn)定,直接關(guān)系到整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。
為什么要慎重選擇硬件防火墻?
由于網(wǎng)絡(luò)中應(yīng)用了防火墻設(shè)備,就要求防火墻能夠提供相應(yīng)的支持,包括可管理、環(huán)境適應(yīng)能力、與已有交換機(jī)/路由器的互聯(lián)互通、一定的吞吐能力和適當(dāng)?shù)难舆t等,這樣防火墻才不會(huì)成為網(wǎng)絡(luò)瓶頸,但是很多用戶對(duì)于防火墻的基本功能和參考數(shù)據(jù)還沒有正確的認(rèn)識(shí);還有,很多企業(yè)安全用戶對(duì)于自身安全需求認(rèn)識(shí)不足,往往容易迷失在產(chǎn)品的數(shù)據(jù)羅列和宣傳中,目前基本上大半的企業(yè)用戶在購(gòu)買防火墻時(shí)都是聽防火墻廠商的“忽悠”,經(jīng)常會(huì)忽略了自己的實(shí)際需求。
再加上外部攻擊的多樣化以及防火墻產(chǎn)品的多樣化,用戶選購(gòu)防火墻造成了一定的困難。單是硬件防火墻就可分成網(wǎng)關(guān)、郵件、前端、后端等許多種,用戶對(duì)于自己到底需要什么樣的安全防護(hù)并沒有概念,這個(gè)時(shí)候選擇防火墻就需要非常慎重。
產(chǎn)品本身的安全性
防火墻本身直接暴露在外網(wǎng)訪問(wèn)之下,所以產(chǎn)品本身的安全性應(yīng)該是用戶選擇產(chǎn)品時(shí)首先要注意的一點(diǎn)。這里所說(shuō)的產(chǎn)品安全性主要針對(duì)產(chǎn)品所采用的系統(tǒng)構(gòu)架是否完整或者強(qiáng)健、產(chǎn)品是否有過(guò)安全漏洞歷史、是否有被拒絕服務(wù)攻擊擊潰的歷史等方面。除此之外,產(chǎn)品所支持的認(rèn)證方式也是值得思忖的問(wèn)題之一,支持方式較為廣泛、與網(wǎng)內(nèi)認(rèn)證措施協(xié)同較好的產(chǎn)品無(wú)疑具有更高的安全性,而且也可以避免成為整體安全環(huán)境中的“短板”。
數(shù)據(jù)處理性能
防火墻控制的對(duì)象是網(wǎng)絡(luò)數(shù)據(jù),因此數(shù)據(jù)處理能力是用戶在購(gòu)買產(chǎn)品前要著重考察的一項(xiàng)。主要的衡量指標(biāo)包括吞吐量、轉(zhuǎn)發(fā)率、丟包率、緩沖能力和延遲等,通過(guò)這些參數(shù)的對(duì)比可以了解一款硬件防火墻產(chǎn)品的硬件性能。這個(gè)時(shí)候不能迷信廠家所給出的數(shù)據(jù)表,多參考第三方評(píng)測(cè)數(shù)據(jù)或者別的產(chǎn)品的參數(shù)才是上選。
另外,吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡,及程序算法的效率決定,尤其是程序算法,會(huì)使防火墻系統(tǒng)進(jìn)行大量運(yùn)算,通信量大打折扣。因此在參考數(shù)據(jù)時(shí)也不要迷信絕對(duì)數(shù)據(jù),算法的不同也會(huì)導(dǎo)致吞吐量有很大的差別。
一般來(lái)說(shuō),對(duì)于中小型企業(yè),選擇吞吐量為百兆級(jí)的防火墻即可滿足需要,而對(duì)于電信、金融、保險(xiǎn)等大公司大企業(yè)部門就需要采用吞吐量千兆級(jí)的防火墻產(chǎn)品。
可管理性
這是考察產(chǎn)品的易用性重要的一項(xiàng)。現(xiàn)在的信息環(huán)境相當(dāng)復(fù)雜,如果沒有一個(gè)配置合理的管理系統(tǒng),很容易為日后的使用和制定安全方案種下隱患,同時(shí)可管理性差的防火墻產(chǎn)品增加了安全管理員的工作量,也無(wú)形中增加了企業(yè)人力的成本。
其次,一些大型防火墻面對(duì)的是行業(yè)用戶,這就對(duì)產(chǎn)品的集中管理性能提出了較高的要求,在安全策略的定制與下發(fā)、日志的集中管理與分析等方面比較出色的產(chǎn)品不僅避免了大量問(wèn)題的集中出現(xiàn),也給企業(yè)降低網(wǎng)絡(luò)設(shè)備成本帶來(lái)了便利。
日志記錄能力
所有的安全系統(tǒng)都在遭受著被攻擊的危險(xiǎn),一款日志功能強(qiáng)大的防火墻,記錄的項(xiàng)目比較全面,可以有效的防范日志被竄改,并能利用多種途徑將日志數(shù)據(jù)定期備份到指定機(jī)器等,這些都給企業(yè)日后追究攻擊者的法律責(zé)任提供了有效的依據(jù)。
產(chǎn)品兼容性
現(xiàn)在的企業(yè)擁有交換機(jī)、路由器等大量網(wǎng)絡(luò)設(shè)備,防火墻產(chǎn)品與這些設(shè)備的兼容性也非常重要,畢竟網(wǎng)絡(luò)安全要依賴設(shè)計(jì)良好功能完整的體系。如果所購(gòu)買的產(chǎn)品不能與其它設(shè)備很好地兼容,不僅造成了大量的資源浪費(fèi),也給網(wǎng)絡(luò)安全帶來(lái)了禍端。
產(chǎn)品的售后及相應(yīng)服務(wù)
動(dòng)輒就幾萬(wàn)元的防火墻設(shè)備由于技術(shù)升級(jí)經(jīng)常會(huì)更改配置來(lái)配合最新的技術(shù),一個(gè)負(fù)責(zé)任的廠商會(huì)提供完整的售后及升級(jí)服務(wù),相比其它網(wǎng)絡(luò)設(shè)備,用戶在購(gòu)買防火墻時(shí)除去設(shè)備,最重要的是還購(gòu)買了相關(guān)服務(wù)。另外,廠商的資歷和技術(shù)實(shí)力決定著上述小標(biāo)題中的各項(xiàng)指標(biāo),因此,一個(gè)廠家在防火墻行業(yè)資歷的高低和口碑的好壞在一定意義上反映了其產(chǎn)品值得購(gòu)買的程度。
更多附加功能未必好
就像現(xiàn)在的家用路由器一樣,防火墻設(shè)備現(xiàn)在也開始擺脫功能千篇一律的現(xiàn)象,路由等附加功能開始被廣泛地提起,擁有這些功能當(dāng)然給用戶增加了不少方便,但是用戶在選購(gòu)產(chǎn)品時(shí)過(guò)分地關(guān)注這些功能而忽略防火墻本身的功能無(wú)疑是本末倒置。況且,在相同的芯片配置情況下,過(guò)多的附加功能會(huì)影響產(chǎn)品的處理性能,也會(huì)消耗產(chǎn)品的存儲(chǔ)空間,因此選購(gòu)防火墻設(shè)備,還是需求為先。
總結(jié):
企業(yè)從事行業(yè)的不同會(huì)造成對(duì)安全的不同需求,了解企業(yè)自身安全薄弱環(huán)節(jié)并選擇產(chǎn)品,不僅僅為企業(yè)節(jié)約了成本,更是為內(nèi)部網(wǎng)絡(luò)安全上了一把“保險(xiǎn)鎖”。在具體的選購(gòu)過(guò)程中,即使是同一個(gè)品牌,還應(yīng)注意將每臺(tái)防火墻產(chǎn)品的各項(xiàng)參數(shù)指示進(jìn)行對(duì)比,從眾多的型號(hào)中選出真正適合自己企業(yè)的防火墻。
【編輯推薦】
