企業選購防火墻的標準有哪些?
為此選購防火墻還是很重要的,對于企業來說夜是至關重要的。簡單的說,選擇防火墻需要兼顧安全和性能。在提高企業網絡安全的同時,也需要不夠響網絡數據傳輸大效率以及可用性。具體的說,在2010年筆者以為可以根據如何標準來選購防火墻。
標準一、根據企業規模來選購不同的許可證
許可證跟授權用戶類似。企業需要根據自己公司網絡的規模,來選擇合適的許可證數。如以思科的PIX501防火墻類似,有多個可用的許可證供用戶選擇。如“10個用戶許可證”,其最多支持10個來自內部網絡中不同IP地址的并發連接通過防火墻,并同時提供了最多可達32個租約的DCHP服務器的支持。如“50個用戶許可證”可以最多支持50個來自內部網絡中不同源IP地址的并發連接,還提供了最多可達128個租約的DCHP服務器支持。而“無限個用戶許可證”則支持無限個來自內部網絡中不同源IP地址的并發連接。這里需要注意,DHCP租約并不是無限個,而是最多支持可達256個租約。
企業在選購的時候,可以根據實際需要來進行選擇。這里一般不會發生重復投資的問題。也就是說,以后需要更多用戶許可證的話,只需要通過升級就可以增加用戶的數量,而不用更換原有的設備。故對于資金比較有限的企業來說,一開始不用選擇太多的用戶許可證。在需要的時候,再進行增加即可。
標準二、是否需要支持故障切換功能
上帝都有閉眼的時候。防火墻畢竟只是一個機器,由于各種的原因,如自然損害、電壓不穩等等都會造成防火墻運行故障。而有些企業對于網絡的安全與可用性要求特別高。如一些從事股票交易的金融企業。 對于這些企業來說,有必要實現防火墻的自動故障切換功能。簡單的說,就是在企業內網與外網的聯接口,部署兩臺或者兩臺以上的防火墻。當系統檢測到某臺防火墻出現故障的時候,會自動切換到另外一臺沒有故障的防火墻上。如此的話,在保障安全的同時也提高了防火墻的可用性。
在選購企業級別的交換機之前,企業網絡管理人員需要確認有否這方面的需求。如思科的PIX515E防火墻就支持故障自動切換功能。在這個防火墻的面板上有三個狀態LED燈,用于指示系統電源、系統是否處于活動狀態、以及在接口上是否有網絡數據流量通過等等。如果有兩個運行在故障切換模式中的防火墻,則Active等將指示哪個防火墻處于活躍狀態,哪個防火墻是處于備用狀態的。而同樣是思科的產品,PIX506E則沒有這個故障自動切換的功能。可見即使是同一個公司的產品,其規格不同,功能上也有很大的差異。
另外需要注意的是,故障切換功能跟許可證多少不一樣。故障切換功能是需要通過硬件來實現的。也就是說,現在企業可能不需要這個故障切換功能。以后如果需要的話,那么只有重新購買防火墻,而不能夠通過升級來增加這個功能。即可能會造成比較大的重復投資。為此在選購防火墻之前,作為企業網絡管理人員來說,需要確認清楚,免得造成不必要的浪費。
標準三、是否需要附加的以太網接口以及需要的數量?
有些企業規模比較大,可能需要附加的以太網接口。如對于一個工業園區來說,其內部有5個大型的企業。工業園區的管理部門不可能為每個企業部署一個單獨的防火墻。出于節省成本的考慮,會讓他們使用同一個防火墻。而為了他們互不干擾,又會通過添加以太網接口的方式,來進行分流。故在選購防火墻的時候,其能夠支持的以太網接口的數量也是非常重要的。
在實際工作中,往往需要的接口數量比較難以估計。而且隨著后續企業的發展,其也是在不斷變化的。另外從成本上考慮,多一個以太網接口,其成本也會高出不少。為此在防火墻設計的時候,往往是采用模塊的方式。就好像普通的PC,可以根據需要在主板上插一定數量的網卡。大部分防火墻在設計時也是如此設計的。如思科的525防火墻,其包含三個PCI插糟。網絡管理員可以根據需要,再安裝6個附加的以太網接口。
為此出于成本的考慮,企業在剛開始的時候,可以不附加以太網接口。等到以后發展到一定規模的時候,再根據需要購買模塊來增加以太網接口的數量。最重要的是,這個過程中不需要更換原有的交換機,而只是增加一個模塊而已。不過作為企業網絡管理員來說,還是需要預估以下,未來可能需要的以太網接口的最大數量。免得到時候以太網數量接口插糟不足而引起的麻煩。
另外如果有多個插糟的話,需要向大家提醒一個細節問題。通常情況下,出于性能的考慮,PCI查找往往被分成不同的總線速度。如假設某個防護墻具有4個插糟,可能前面兩個其速度為66,而后面兩個插糟其速度只有33。在使用的時候,不要在同一個總線上混合使用速度不同的卡。這會導致所有的速度為66插糟速度降低為33。這是什么意思的?即有兩個插糟其總線速度為66,如果分別插了兩張卡,速度分別為66和33。那么最后速度為66的卡其實際的速率也就只有33。正確的做法是,寧可讓第二個插糟空著,而將速度為33的卡插到第三個插糟中去。這就是“木桶效應”。在實際工作中,網絡管理員需要避免犯這個低級錯誤。
標準四、防火墻的吞吐量
在企業中防火墻就相當于一幢大樓的大門。大門的大小直接決定了在同一時間可以通過的人數。如果大門不夠大,當人數一多,就會發生擁塞。對于企業網絡來說,如果防火墻的吞吐量不夠大的話,就會引起網絡的擁塞,從而大大降低企業網絡的性能。
在防火墻的標簽上,往往會寫明其吞吐量。這個吞吐量一邊指的就是防火墻處理數據發速度,是理論上的最高速度。為此在選購的時候,這個說明書上的吞吐量只是一個參考值。其實際的吞吐量還跟防火墻的接口速度、連接鏈路的速度和分組的大小等等。在大部分情況下,防火墻都達不到其理論上的最大速率,如果能夠達到8成已經算是不錯了。大家在辦理網絡寬帶的時候,可能對方高速你到達你家的速度有2M或者3M。但是你在家里上網的時候,永遠也達不到這個速度。這是同樣的道理。
為此在選購防火墻的時候,網絡管理員需要預估一下所需要的吞吐量。在實際選購的時候,要選購那些比這個需要的吞吐量大一點的防火墻產品。即將防火墻說明書上的吞吐量打一個八折之后,再跟實際的吞吐量進行對比。在其他條件相同的情況下,吞吐量越大,其價格也就越高。
吞吐量不夠大的話,會直接影響到網絡的性能。特別是某些企業,可能會在防火墻內部部署一些服務器,如Web服務器、FTP服務器、OA服務器等等,供外網的用戶訪問。此時更加要確保防火墻有足夠大的吞吐量。否則的話,通過互聯網訪問,速度本來就慢。再在防火墻上卡一下的話,反映就會變得更加遲鈍了。
【編輯推薦】
