硬件防火墻的四大選購要素之分類介紹

隨著互聯(lián)網(wǎng)應用的普及和飛速發(fā)展，網(wǎng)絡安全也成為人們最終擔心的一個方面。病毒和黑客攻擊作為網(wǎng)絡安全的主要隱患，時時刻刻在威脅著進行互聯(lián)網(wǎng)應用的計算機系統(tǒng)的安全。網(wǎng)絡防火墻作為防止黑客入侵的主要手段，也已經(jīng)成為網(wǎng)絡安全建設(shè)的必選設(shè)備，不僅企事業(yè)單位網(wǎng)絡需要，時下，就連個人用戶防火墻也已成為必備的安全手段，雖然個人用戶絕大多數(shù)還是采用軟件式的個人防火墻產(chǎn)品。本文將要介紹的是在硬件防火墻設(shè)備選購時要注意的事項，當然適應用戶也主要是企事業(yè)單位。
　　目前來說市面上的網(wǎng)絡防火墻設(shè)備品牌繁多，各種不同檔次的產(chǎn)品讓人眼花繚亂，使普通用戶在購買時無從下手。那么如何選擇適應自己企業(yè)需要，能達到最大安全效果的防火墻產(chǎn)品呢？
　　
　　品牌是關(guān)鍵
　　防火墻產(chǎn)品屬高科技產(chǎn)品，生產(chǎn)這樣的設(shè)備不僅需要強大的資金作后盾，而且在技術(shù)實力上也需要有強大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術(shù)和服務，對將來的使用更加有保障。所以在選購防火墻產(chǎn)品時千萬別貪圖一時便宜，選購一些無保障的產(chǎn)品。曉通代理的Nokia在專用的高性能平臺上與處于市場領(lǐng)先地位的CheckPoint公司攜手開發(fā)了VPN－1/FireWall-1專用硬件防火墻，這是業(yè)內(nèi)最強大的防火墻和VPN解決方案之一。同時曉通網(wǎng)絡作為諸多國際知名的網(wǎng)絡安全產(chǎn)品的代理，積累了相當豐富的經(jīng)驗，這些經(jīng)驗會對曉通代理的Nokia防火墻產(chǎn)品的使用起到觸類旁通的積極作用。
　　
　　安全最重要
　　防火墻本身就是一個用于安全防護的設(shè)備，當然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統(tǒng)和是否采用專用的硬件平臺。因為現(xiàn)在第二代防火墻產(chǎn)品通常不再依靠用戶的操作系統(tǒng)，而是采用自已單獨開發(fā)的操作系統(tǒng)。這個操作系統(tǒng)本身要求沒有安全隱患，當然作為普通用戶這只能通過品牌來保證。應用系統(tǒng)的安全性能是以防火墻自身操作系統(tǒng)的安全性能為基礎(chǔ)的，同時，應用系統(tǒng)自身的安全實現(xiàn)也直接影響到整個系統(tǒng)的安全性。
　　另外在安全策略上，防火墻應具有相當?shù)撵`活性。首先防火墻的過濾語言應該是靈活的，編程對用戶是友好的，還應具備若干可能的過濾屬性，如源和目的IP地址、協(xié)議類型、源和目的TCP/UDP端口及入出接口等。只有這樣用戶才能根據(jù)實際需求采取靈活的安全策略保護自己企業(yè)網(wǎng)絡的安全。
　　
　　另外，防火墻除應包含先進的鑒別措施，還應采用盡量多的先進技術(shù)，如包過濾技術(shù)、加密技術(shù)、可信的信息技術(shù)等。如身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統(tǒng)的訪問控制機制、授權(quán)管理等技術(shù)，這些都是防火墻安全系統(tǒng)所必需考慮的。
　　
　　曉通代理的Nokia防火墻使用了專用的IPSO安全操作系統(tǒng)和專門開發(fā)的硬件平臺，保證了系統(tǒng)平臺本身的高度的安全性。在這個平臺上，Nokia又集成了CheckPoint、SecoSheild、WebSense等安全產(chǎn)品，能夠?qū)崿F(xiàn)全面的安全。這些產(chǎn)品能夠為用戶提供安全保證，同時提供又能夠提供足夠靈活和多變的策略。
　　
　　高效的性能和高可靠性
　　防火墻是通過對進入的數(shù)據(jù)進行過濾來識別是否符合安全策略的，所以在流量比較高時，要求防火墻能以最快的速度及時對所有數(shù)據(jù)包進行檢測，否則就可能造成比較的延時，甚至死機。這個指標非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的代價（延時），用戶無法接受過高的代價。如果防火墻對網(wǎng)絡造成較大的延時，還會給用戶造成較大的損失。這一點我們在使用個人防火墻時可能深有感觸，有時我們在打開防火墻時上網(wǎng)反應非常慢，而一旦去掉速度就上來了，原因就為因為防火墻過濾速度不夠快。
　　
　　如果防火墻對原有網(wǎng)絡帶寬影響過大，無疑就是對原有投資的巨大浪費。
　　
　　目前來說防火墻在類型上基本上都實現(xiàn)了從軟件到硬件的轉(zhuǎn)換，算法上也有了很大的優(yōu)化，一部分防火墻的性能完全可以做到對原有網(wǎng)絡的性能影響很小了。具體到用戶來說，辨別一款防火墻的性能的優(yōu)劣，主要可以看看權(quán)威評測機構(gòu)或媒體的性能測試結(jié)果，這些結(jié)果都是以國際標準RFC2544標準來衡量的，主要包括：網(wǎng)絡吞吐量、丟包率、延遲、連接數(shù)等，其中吞吐量又是重中之重。Nokia IP1260防火墻可以提供高達4.2Gbps的性能，充分滿足大型企業(yè)或者電信級運營商的需要。同時，Nokia防火墻還支持集群技術(shù)，多臺Nokia防火墻可以實現(xiàn)動態(tài)的負載均衡，這樣不僅能夠滿足大規(guī)模網(wǎng)絡的應用，同時還能夠充分保護用戶的投資。
　　
　　當然在性能方面，對于不同規(guī)模的企業(yè)有不同的要求，不一定速度越高越好，像有的小型的局域網(wǎng)出口速率不到1M/s，選用100M/s的防火墻就是多余的。
　　
　　對于大、中型企業(yè)說就應當高度重視防火墻功能的多樣性。否則很可能選購回來的防火墻產(chǎn)品根本不能滿足當前或者短時間內(nèi)的未來需求。
　　
　　質(zhì)量好的防火墻能夠有效地控制通信，能夠為不同級別、不同需求的用戶提供不同的控制策略?？刂撇呗缘挠行?、多樣性、級別目標清晰性以及制定難易程度都直反映出防火墻控制策略的質(zhì)量。現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓受防火墻保護一方的IP地址不被暴露。但注意啟用NAT后勢必會對防火墻系統(tǒng)的性能有所影響。
　　
　　目前防火墻技術(shù)進步很快，功能上也做的五花八門，用戶選擇上也比較困難。在包過濾方式上，目前各個廠商采用的基本上都是基于狀態(tài)檢測包過濾功能。其他的一些附加的功能可以視實際的需要而定，例如，對于沒有固定主機的單位，可能需要身份認證的功能；對網(wǎng)絡資源比較緊張的單位，可能需要帶寬管理的功能以合理控制資源分配；對于有總部和分支機構(gòu)的企業(yè)，就可能需要選擇能支持VPN通訊功能的防火墻產(chǎn)品等等。
　　
　　對于經(jīng)常有公司內(nèi)部用戶移動辦公的企業(yè)，最好能提供支持VPN通信或者身份驗證功能，這樣做有兩個好處：一是可以大量節(jié)省通信費用（因為VPN只需要用戶與本地ISP連接即可）；另一方面用戶出差時可以登錄公司內(nèi)部的服務器，在沒有其它加密手段或者加密成本比較高時，這樣的身份驗證方式是比較實用的。Nokia防火墻作為業(yè)內(nèi)領(lǐng)先的產(chǎn)品，全面提供包括防火墻、VPN、入侵檢測、流量控制、防病毒網(wǎng)關(guān)等多種功能在內(nèi)的產(chǎn)品。
　　
　　因為防火墻就象單位用戶出入互聯(lián)網(wǎng)的一道門，如果門壞了，顯然進出互聯(lián)網(wǎng)也就成問題了。這樣很可能會使用戶造成巨大的損失，這就要求防火墻產(chǎn)品自身具有高的可靠性。提高防火墻的可靠性通常是在設(shè)計中采取措施，具體措施是提高部件的強健性、增大設(shè)計閥值和增加冗余部件。曉通代理的Nokia防火墻支持虛擬路由器冗余協(xié)議（VRRP，RFC2338），可以在2臺或者多臺Nokia防火墻之間實現(xiàn)冗余和負載均衡。
　　
　　對于高可靠性環(huán)境，Nokia的IP集群技術(shù)可以將多個設(shè)備集群在一起，作為單個虛擬網(wǎng)關(guān)運行，實現(xiàn)動態(tài)的負載均衡。同一集群的所有成員共享安全狀態(tài)信息，一旦出現(xiàn)故障，可以自動轉(zhuǎn)化到冗余設(shè)備上。同時，為了優(yōu)化性能，集群會不斷地對負載進行重新平衡。這樣，用戶的網(wǎng)絡就不會因為防火墻故障造成經(jīng)濟損失。Nokia硬件冗余包括支持熱交換接口卡、冗余電源系統(tǒng)、電扇系統(tǒng)和鏡像熱交換硬盤系統(tǒng)等。
　　
　　從適合中小型企業(yè)或大型企業(yè)分支機構(gòu)的IP40安全訪問解決方案，到適合大中型企業(yè)全面安全訪問的IP350/380解決方案，曉通網(wǎng)絡都會根據(jù)用戶的不同要求，為用戶量身定制網(wǎng)絡安全解決方案，這些按照不同需求制定的安全解決方案將為用戶提供具備高度可靠性、便于管理并且能夠不斷根據(jù)需求進行升級的全面安全保障。