硬件防火墻選購指南:數(shù)據(jù)篇
互聯(lián)網(wǎng)應(yīng)用在企業(yè)中所占的比例越來越高,同時更多的企業(yè)開始關(guān)注自己的網(wǎng)絡(luò)安全。硬件防火墻選購可以說是最簡單和直接的保護企業(yè)網(wǎng)絡(luò)安全方式,也被越來越多的企業(yè)提上日程。那么本篇文章就通過一些數(shù)據(jù)指標(biāo)來詳細(xì)談一談如何進行硬件防火墻選購。
一,什么是硬件防火墻:
平時我們都接觸過防火墻,不過很多用戶使用的都是偏軟件的防火墻,通過一些軟件程序?qū)崿F(xiàn)對系統(tǒng)和網(wǎng)絡(luò)的保護。然而相比硬件防火墻而言軟件防火墻在性能和處理能力等方面存在著很大的不同。所謂硬件防火墻就是指把防火墻程序做到芯片里面,由硬件執(zhí)行這些功能,能減少CPU的負(fù)擔(dān),使路由更穩(wěn)定。
硬件防火墻作為企業(yè)安全的屏障所起的作用是巨大的,正是因為防火墻程序和過濾規(guī)則的硬件化芯片化,所以硬件防火墻在處理并發(fā)數(shù)和連接數(shù)比較多的情況下優(yōu)勢更加明顯,平時出現(xiàn)問題的機率也比較低。
二,數(shù)據(jù)說話——硬件防火墻選購經(jīng)驗談:
很多企業(yè)都面臨硬件防火墻選購,今天筆者就從實際選購出發(fā)從數(shù)據(jù)說話為各位介紹硬件防火墻選購上的一些經(jīng)驗。
(1)按需選擇原則
首先需要確定的就是選擇防火墻時按照需求去確定各個參數(shù),一般來說企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)點數(shù)以及會話連接情況決定了硬件防火墻的級別。選擇時依照滿足性能為首的原則,然后適當(dāng)為日后升級做準(zhǔn)備。
在執(zhí)行按需選擇原則時我們需要就以下幾個方面進行劃定,首先確定企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備數(shù)量以及員工計算機數(shù)量,通過計算機下連網(wǎng)絡(luò)數(shù)量來選擇硬件防火墻的級別;其次根據(jù)企業(yè)網(wǎng)絡(luò)流量來決定防火墻接口網(wǎng)絡(luò)速度,流量大的需要選擇G級接口,而小型網(wǎng)絡(luò)100M的即可滿足實際需求;再次考慮企業(yè)網(wǎng)絡(luò)的穩(wěn)定性,說白了就是是否需要提供線路上的冗余,對于多線多路網(wǎng)絡(luò)接入來說這點需要額外考慮;最后就是從功能需求上去決定選購型號,一般來說防火墻都應(yīng)該具備VPN接入的功能,這樣才能夠更好的提供不同權(quán)限不同用戶級別的網(wǎng)絡(luò)服務(wù),同時諸如IPV6,VOIP等功能的支持要需要根據(jù)企業(yè)實際需求去選擇。
(2)防火墻硬字當(dāng)先:
在確定需求后我們就要查看防火墻的自身配置了,首先需要確保的是防火墻必須采用多核處理器的純硬件架構(gòu)(非X86),這個條件是必須滿足的。為什么這么說呢?因為硬件防火墻區(qū)別于低性能低價格的軟件防火墻而言關(guān)鍵點就是把防火墻程序做到芯片里面,從而節(jié)約了日常處理對CPU的占用。而很多廠商在推薦防火墻時可能選擇的設(shè)備是一種“偽硬件”,使用新瓶裝舊酒的策略,將經(jīng)過優(yōu)化的軟件防火墻裝到普通臺式機上,再通過封裝改造成所謂的硬件防火墻。這是明顯的掛羊頭賣狗肉。因此在確定防火墻時一定注意他是純粹的硬件防火墻,另外由于在X86下搭建的系統(tǒng)多以Windows為主,而且Windows系統(tǒng)存在先天安全問題。所以在考慮硬件防火墻自身架構(gòu)時也要盡量不采取X86架構(gòu)。
采用多核心處理器可以更好的處理并發(fā)通訊和高數(shù)量的連接,因此防火墻必須采用多核處理器的純硬件架構(gòu)(非X86)成為選購硬件防火墻的首要原則。
(3)冗余運行穩(wěn)定當(dāng)先:
除了硬件防火墻自身“硬”指標(biāo)外我們還需要關(guān)注的是設(shè)備運行的冗余性,對于企業(yè)來說網(wǎng)絡(luò)接入冗余性,電源支持冗余性以及數(shù)據(jù)的冗余性都非常關(guān)鍵。畢竟企業(yè)很多業(yè)務(wù)都運行在網(wǎng)絡(luò)上,硬件防火墻一旦出現(xiàn)問題各種安全防范以及網(wǎng)絡(luò)接入服務(wù)都要受到致命的影響。
因此在選購硬件防火墻時其自身的冗余運行以及穩(wěn)定性方面的表現(xiàn)也同樣重要,其中網(wǎng)絡(luò)接入方面的多接性以及電源支持的冗余性顯得更加重要。
(4)連接會話做足文章:
除了上面兩個因素需要考慮外防火墻自身的網(wǎng)絡(luò)性能也需要考慮在內(nèi),具體包括防火墻的吞吐量以及并發(fā)連接數(shù)連各個參數(shù)。對于具備10000個下連網(wǎng)絡(luò)節(jié)點的企業(yè)內(nèi)網(wǎng)來說應(yīng)該保證硬件防火墻滿足下面幾個要求——
吞吐量 ≥7.9G bps
吞吐量(小包) ≥2900 M bps
最大并發(fā)連接數(shù) ≥4,900,000
每秒新建連接數(shù) ≥190,000
小提示:
什么是吞吐量——吞吐量是在一個給定的時間段內(nèi)設(shè)備能夠傳輸?shù)臄?shù)據(jù)量,使用Mb/s進行度量。吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡及程序算法的效率決定,尤其是程序算法,會使防火墻系統(tǒng)進行大量運算,通信量大打折扣。因此大多數(shù)防火墻雖號稱100M防火墻,由于其算法依靠軟件實現(xiàn),通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達(dá)到線性90-95M,這樣才算是真正的100M防火墻。
網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成,防火墻對每個數(shù)據(jù)包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。這是測量防火墻性能的重要指標(biāo)。如果企業(yè)實際下連節(jié)點不是萬個級別的話,我們可以適當(dāng)?shù)膶⑸厦嫣岬降膸讉€參數(shù)進行縮減。吞吐量決定硬件防火墻處理數(shù)據(jù)的能力,而連接數(shù)的多少決定了防火墻自身的性能。
三,硬件防火墻選購總結(jié):
由于篇幅關(guān)系筆者在本文中針對硬件防火墻選購方面介紹了幾點經(jīng)驗,通過確定硬件防火墻核心是否真的“硬”,連接會話吞吐量實際情況以及性能硬件環(huán)節(jié)的冗余功能等方面下手,讓我們選購的硬件防火墻可以真正的為我們企業(yè)高效服務(wù)。
【編輯推薦】
