硬件防火墻的四大選購要素之分類(lèi)介紹

隨著(zhù)互聯(lián)網(wǎng)應用的普及和飛速發(fā)展，網(wǎng)絡(luò )安全也成為人們最終擔心的一個(gè)方面。病毒和黑客攻擊作為網(wǎng)絡(luò )安全的主要隱患，時(shí)時(shí)刻刻在威脅著(zhù)進(jìn)行互聯(lián)網(wǎng)應用的計算機系統的安全。網(wǎng)絡(luò )防火墻作為防止黑客入侵的主要手段，也已經(jīng)成為網(wǎng)絡(luò )安全建設的必選設備，不僅企事業(yè)單位網(wǎng)絡(luò )需要，時(shí)下，就連個(gè)人用戶(hù)防火墻也已成為必備的安全手段，雖然個(gè)人用戶(hù)絕大多數還是采用軟件式的個(gè)人防火墻產(chǎn)品。本文將要介紹的是在硬件防火墻設備選購時(shí)要注意的事項，當然適應用戶(hù)也主要是企事業(yè)單位。
　　目前來(lái)說(shuō)市面上的網(wǎng)絡(luò )防火墻設備品牌繁多，各種不同檔次的產(chǎn)品讓人眼花繚亂，使普通用戶(hù)在購買(mǎi)時(shí)無(wú)從下手。那么如何選擇適應自己企業(yè)需要，能達到最大安全效果的防火墻產(chǎn)品呢？
　　
　　品牌是關(guān)鍵
　　防火墻產(chǎn)品屬高科技產(chǎn)品，生產(chǎn)這樣的設備不僅需要強大的資金作后盾，而且在技術(shù)實(shí)力上也需要有強大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術(shù)和服務(wù)，對將來(lái)的使用更加有保障。所以在選購防火墻產(chǎn)品時(shí)千萬(wàn)別貪圖一時(shí)便宜，選購一些無(wú)保障的產(chǎn)品。曉通代理的Nokia在專(zhuān)用的高性能平臺上與處于市場(chǎng)領(lǐng)先地位的CheckPoint公司攜手開(kāi)發(fā)了VPN－1/FireWall-1專(zhuān)用硬件防火墻，這是業(yè)內最強大的防火墻和VPN解決方案之一。同時(shí)曉通網(wǎng)絡(luò )作為諸多國際知名的網(wǎng)絡(luò )安全產(chǎn)品的代理，積累了相當豐富的經(jīng)驗，這些經(jīng)驗會(huì )對曉通代理的Nokia防火墻產(chǎn)品的使用起到觸類(lèi)旁通的積極作用。
　　
　　安全最重要
　　防火墻本身就是一個(gè)用于安全防護的設備，當然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統和是否采用專(zhuān)用的硬件平臺。因為現在第二代防火墻產(chǎn)品通常不再依靠用戶(hù)的操作系統，而是采用自已單獨開(kāi)發(fā)的操作系統。這個(gè)操作系統本身要求沒(méi)有安全隱患，當然作為普通用戶(hù)這只能通過(guò)品牌來(lái)保證。應用系統的安全性能是以防火墻自身操作系統的安全性能為基礎的，同時(shí)，應用系統自身的安全實(shí)現也直接影響到整個(gè)系統的安全性。
　　另外在安全策略上，防火墻應具有相當的靈活性。首先防火墻的過(guò)濾語(yǔ)言應該是靈活的，編程對用戶(hù)是友好的，還應具備若干可能的過(guò)濾屬性，如源和目的IP地址、協(xié)議類(lèi)型、源和目的TCP/UDP端口及入出接口等。只有這樣用戶(hù)才能根據實(shí)際需求采取靈活的安全策略保護自己企業(yè)網(wǎng)絡(luò )的安全。
　　
　　另外，防火墻除應包含先進(jìn)的鑒別措施，還應采用盡量多的先進(jìn)技術(shù)，如包過(guò)濾技術(shù)、加密技術(shù)、可信的信息技術(shù)等。如身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統的訪(fǎng)問(wèn)控制機制、授權管理等技術(shù)，這些都是防火墻安全系統所必需考慮的。
　　
　　曉通代理的Nokia防火墻使用了專(zhuān)用的IPSO安全操作系統和專(zhuān)門(mén)開(kāi)發(fā)的硬件平臺，保證了系統平臺本身的高度的安全性。在這個(gè)平臺上，Nokia又集成了CheckPoint、SecoSheild、WebSense等安全產(chǎn)品，能夠實(shí)現全面的安全。這些產(chǎn)品能夠為用戶(hù)提供安全保證，同時(shí)提供又能夠提供足夠靈活和多變的策略。
　　
　　高效的性能和高可靠性
　　防火墻是通過(guò)對進(jìn)入的數據進(jìn)行過(guò)濾來(lái)識別是否符合安全策略的，所以在流量比較高時(shí)，要求防火墻能以最快的速度及時(shí)對所有數據包進(jìn)行檢測，否則就可能造成比較的延時(shí)，甚至死機。這個(gè)指標非常重要，它體現了防火墻的可用性能，也體現了企業(yè)用戶(hù)使用防火墻產(chǎn)品的代價(jià)（延時(shí)），用戶(hù)無(wú)法接受過(guò)高的代價(jià)。如果防火墻對網(wǎng)絡(luò )造成較大的延時(shí)，還會(huì )給用戶(hù)造成較大的損失。這一點(diǎn)我們在使用個(gè)人防火墻時(shí)可能深有感觸，有時(shí)我們在打開(kāi)防火墻時(shí)上網(wǎng)反應非常慢，而一旦去掉速度就上來(lái)了，原因就為因為防火墻過(guò)濾速度不夠快。
　　
　　如果防火墻對原有網(wǎng)絡(luò )帶寬影響過(guò)大，無(wú)疑就是對原有投資的巨大浪費。
　　
　　目前來(lái)說(shuō)防火墻在類(lèi)型上基本上都實(shí)現了從軟件到硬件的轉換，算法上也有了很大的優(yōu)化，一部分防火墻的性能完全可以做到對原有網(wǎng)絡(luò )的性能影響很小了。具體到用戶(hù)來(lái)說(shuō)，辨別一款防火墻的性能的優(yōu)劣，主要可以看看權威評測機構或媒體的性能測試結果，這些結果都是以國際標準RFC2544標準來(lái)衡量的，主要包括：網(wǎng)絡(luò )吞吐量、丟包率、延遲、連接數等，其中吞吐量又是重中之重。Nokia IP1260防火墻可以提供高達4.2Gbps的性能，充分滿(mǎn)足大型企業(yè)或者電信級運營(yíng)商的需要。同時(shí)，Nokia防火墻還支持集群技術(shù)，多臺Nokia防火墻可以實(shí)現動(dòng)態(tài)的負載均衡，這樣不僅能夠滿(mǎn)足大規模網(wǎng)絡(luò )的應用，同時(shí)還能夠充分保護用戶(hù)的投資。
　　
　　當然在性能方面，對于不同規模的企業(yè)有不同的要求，不一定速度越高越好，像有的小型的局域網(wǎng)出口速率不到1M/s，選用100M/s的防火墻就是多余的。
　　
　　對于大、中型企業(yè)說(shuō)就應當高度重視防火墻功能的多樣性。否則很可能選購回來(lái)的防火墻產(chǎn)品根本不能滿(mǎn)足當前或者短時(shí)間內的未來(lái)需求。
　　
　　質(zhì)量好的防火墻能夠有效地控制通信，能夠為不同級別、不同需求的用戶(hù)提供不同的控制策略?？刂撇呗缘挠行?、多樣性、級別目標清晰性以及制定難易程度都直反映出防火墻控制策略的質(zhì)量?，F在大多數的防火墻產(chǎn)品都支持NAT功能，它可以讓受防火墻保護一方的IP地址不被暴露。但注意啟用NAT后勢必會(huì )對防火墻系統的性能有所影響。
　　
　　目前防火墻技術(shù)進(jìn)步很快，功能上也做的五花八門(mén)，用戶(hù)選擇上也比較困難。在包過(guò)濾方式上，目前各個(gè)廠(chǎng)商采用的基本上都是基于狀態(tài)檢測包過(guò)濾功能。其他的一些附加的功能可以視實(shí)際的需要而定，例如，對于沒(méi)有固定主機的單位，可能需要身份認證的功能；對網(wǎng)絡(luò )資源比較緊張的單位，可能需要帶寬管理的功能以合理控制資源分配；對于有總部和分支機構的企業(yè)，就可能需要選擇能支持VPN通訊功能的防火墻產(chǎn)品等等。
　　
　　對于經(jīng)常有公司內部用戶(hù)移動(dòng)辦公的企業(yè)，最好能提供支持VPN通信或者身份驗證功能，這樣做有兩個(gè)好處：一是可以大量節省通信費用（因為VPN只需要用戶(hù)與本地ISP連接即可）；另一方面用戶(hù)出差時(shí)可以登錄公司內部的服務(wù)器，在沒(méi)有其它加密手段或者加密成本比較高時(shí)，這樣的身份驗證方式是比較實(shí)用的。Nokia防火墻作為業(yè)內領(lǐng)先的產(chǎn)品，全面提供包括防火墻、VPN、入侵檢測、流量控制、防病毒網(wǎng)關(guān)等多種功能在內的產(chǎn)品。
　　
　　因為防火墻就象單位用戶(hù)出入互聯(lián)網(wǎng)的一道門(mén)，如果門(mén)壞了，顯然進(jìn)出互聯(lián)網(wǎng)也就成問(wèn)題了。這樣很可能會(huì )使用戶(hù)造成巨大的損失，這就要求防火墻產(chǎn)品自身具有高的可靠性。提高防火墻的可靠性通常是在設計中采取措施，具體措施是提高部件的強健性、增大設計閥值和增加冗余部件。曉通代理的Nokia防火墻支持虛擬路由器冗余協(xié)議（VRRP，RFC2338），可以在2臺或者多臺Nokia防火墻之間實(shí)現冗余和負載均衡。
　　
　　對于高可靠性環(huán)境，Nokia的IP集群技術(shù)可以將多個(gè)設備集群在一起，作為單個(gè)虛擬網(wǎng)關(guān)運行，實(shí)現動(dòng)態(tài)的負載均衡。同一集群的所有成員共享安全狀態(tài)信息，一旦出現故障，可以自動(dòng)轉化到冗余設備上。同時(shí)，為了優(yōu)化性能，集群會(huì )不斷地對負載進(jìn)行重新平衡。這樣，用戶(hù)的網(wǎng)絡(luò )就不會(huì )因為防火墻故障造成經(jīng)濟損失。Nokia硬件冗余包括支持熱交換接口卡、冗余電源系統、電扇系統和鏡像熱交換硬盤(pán)系統等。
　　
　　從適合中小型企業(yè)或大型企業(yè)分支機構的IP40安全訪(fǎng)問(wèn)解決方案，到適合大中型企業(yè)全面安全訪(fǎng)問(wèn)的IP350/380解決方案，曉通網(wǎng)絡(luò )都會(huì )根據用戶(hù)的不同要求，為用戶(hù)量身定制網(wǎng)絡(luò )安全解決方案，這些按照不同需求制定的安全解決方案將為用戶(hù)提供具備高度可靠性、便于管理并且能夠不斷根據需求進(jìn)行升級的全面安全保障。