硬件防火墻的四大選購(gòu)要素之分類介紹

隨著互聯(lián)網(wǎng)應(yīng)用的普及和飛速發(fā)展，網(wǎng)絡(luò)安全也成為人們最終擔(dān)心的一個(gè)方面。病毒和黑客攻擊作為網(wǎng)絡(luò)安全的主要隱患，時(shí)時(shí)刻刻在威脅著進(jìn)行互聯(lián)網(wǎng)應(yīng)用的計(jì)算機(jī)系統(tǒng)的安全。網(wǎng)絡(luò)防火墻作為防止黑客入侵的主要手段，也已經(jīng)成為網(wǎng)絡(luò)安全建設(shè)的必選設(shè)備，不僅企事業(yè)單位網(wǎng)絡(luò)需要，時(shí)下，就連個(gè)人用戶防火墻也已成為必備的安全手段，雖然個(gè)人用戶絕大多數(shù)還是采用軟件式的個(gè)人防火墻產(chǎn)品。本文將要介紹的是在硬件防火墻設(shè)備選購(gòu)時(shí)要注意的事項(xiàng)，當(dāng)然適應(yīng)用戶也主要是企事業(yè)單位。
　　目前來說市面上的網(wǎng)絡(luò)防火墻設(shè)備品牌繁多，各種不同檔次的產(chǎn)品讓人眼花繚亂，使普通用戶在購(gòu)買時(shí)無從下手。那么如何選擇適應(yīng)自己企業(yè)需要，能達(dá)到最大安全效果的防火墻產(chǎn)品呢？
　　
　　品牌是關(guān)鍵
　　防火墻產(chǎn)品屬高科技產(chǎn)品，生產(chǎn)這樣的設(shè)備不僅需要強(qiáng)大的資金作后盾，而且在技術(shù)實(shí)力上也需要有強(qiáng)大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術(shù)和服務(wù)，對(duì)將來的使用更加有保障。所以在選購(gòu)防火墻產(chǎn)品時(shí)千萬別貪圖一時(shí)便宜，選購(gòu)一些無保障的產(chǎn)品。曉通代理的Nokia在專用的高性能平臺(tái)上與處于市場(chǎng)領(lǐng)先地位的CheckPoint公司攜手開發(fā)了VPN－1/FireWall-1專用硬件防火墻，這是業(yè)內(nèi)最強(qiáng)大的防火墻和VPN解決方案之一。同時(shí)曉通網(wǎng)絡(luò)作為諸多國(guó)際知名的網(wǎng)絡(luò)安全產(chǎn)品的代理，積累了相當(dāng)豐富的經(jīng)驗(yàn)，這些經(jīng)驗(yàn)會(huì)對(duì)曉通代理的Nokia防火墻產(chǎn)品的使用起到觸類旁通的積極作用。
　　
　　安全最重要
　　防火墻本身就是一個(gè)用于安全防護(hù)的設(shè)備，當(dāng)然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統(tǒng)和是否采用專用的硬件平臺(tái)。因?yàn)楝F(xiàn)在第二代防火墻產(chǎn)品通常不再依靠用戶的操作系統(tǒng)，而是采用自已單獨(dú)開發(fā)的操作系統(tǒng)。這個(gè)操作系統(tǒng)本身要求沒有安全隱患，當(dāng)然作為普通用戶這只能通過品牌來保證。應(yīng)用系統(tǒng)的安全性能是以防火墻自身操作系統(tǒng)的安全性能為基礎(chǔ)的，同時(shí)，應(yīng)用系統(tǒng)自身的安全實(shí)現(xiàn)也直接影響到整個(gè)系統(tǒng)的安全性。
　　另外在安全策略上，防火墻應(yīng)具有相當(dāng)?shù)撵`活性。首先防火墻的過濾語(yǔ)言應(yīng)該是靈活的，編程對(duì)用戶是友好的，還應(yīng)具備若干可能的過濾屬性，如源和目的IP地址、協(xié)議類型、源和目的TCP/UDP端口及入出接口等。只有這樣用戶才能根據(jù)實(shí)際需求采取靈活的安全策略保護(hù)自己企業(yè)網(wǎng)絡(luò)的安全。
　　
　　另外，防火墻除應(yīng)包含先進(jìn)的鑒別措施，還應(yīng)采用盡量多的先進(jìn)技術(shù)，如包過濾技術(shù)、加密技術(shù)、可信的信息技術(shù)等。如身份識(shí)別及驗(yàn)證、信息的保密性保護(hù)、信息的完整性校驗(yàn)、系統(tǒng)的訪問控制機(jī)制、授權(quán)管理等技術(shù)，這些都是防火墻安全系統(tǒng)所必需考慮的。
　　
　　曉通代理的Nokia防火墻使用了專用的IPSO安全操作系統(tǒng)和專門開發(fā)的硬件平臺(tái)，保證了系統(tǒng)平臺(tái)本身的高度的安全性。在這個(gè)平臺(tái)上，Nokia又集成了CheckPoint、SecoSheild、WebSense等安全產(chǎn)品，能夠?qū)崿F(xiàn)全面的安全。這些產(chǎn)品能夠?yàn)橛脩籼峁┌踩ＷC，同時(shí)提供又能夠提供足夠靈活和多變的策略。
　　
　　高效的性能和高可靠性
　　防火墻是通過對(duì)進(jìn)入的數(shù)據(jù)進(jìn)行過濾來識(shí)別是否符合安全策略的，所以在流量比較高時(shí)，要求防火墻能以最快的速度及時(shí)對(duì)所有數(shù)據(jù)包進(jìn)行檢測(cè)，否則就可能造成比較的延時(shí)，甚至死機(jī)。這個(gè)指標(biāo)非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的代價(jià)（延時(shí)），用戶無法接受過高的代價(jià)。如果防火墻對(duì)網(wǎng)絡(luò)造成較大的延時(shí)，還會(huì)給用戶造成較大的損失。這一點(diǎn)我們?cè)谑褂脗€(gè)人防火墻時(shí)可能深有感觸，有時(shí)我們?cè)诖蜷_防火墻時(shí)上網(wǎng)反應(yīng)非常慢，而一旦去掉速度就上來了，原因就為因?yàn)榉阑饓^濾速度不夠快。
　　
　　如果防火墻對(duì)原有網(wǎng)絡(luò)帶寬影響過大，無疑就是對(duì)原有投資的巨大浪費(fèi)。
　　
　　目前來說防火墻在類型上基本上都實(shí)現(xiàn)了從軟件到硬件的轉(zhuǎn)換，算法上也有了很大的優(yōu)化，一部分防火墻的性能完全可以做到對(duì)原有網(wǎng)絡(luò)的性能影響很小了。具體到用戶來說，辨別一款防火墻的性能的優(yōu)劣，主要可以看看權(quán)威評(píng)測(cè)機(jī)構(gòu)或媒體的性能測(cè)試結(jié)果，這些結(jié)果都是以國(guó)際標(biāo)準(zhǔn)RFC2544標(biāo)準(zhǔn)來衡量的，主要包括：網(wǎng)絡(luò)吞吐量、丟包率、延遲、連接數(shù)等，其中吞吐量又是重中之重。Nokia IP1260防火墻可以提供高達(dá)4.2Gbps的性能，充分滿足大型企業(yè)或者電信級(jí)運(yùn)營(yíng)商的需要。同時(shí)，Nokia防火墻還支持集群技術(shù)，多臺(tái)Nokia防火墻可以實(shí)現(xiàn)動(dòng)態(tài)的負(fù)載均衡，這樣不僅能夠滿足大規(guī)模網(wǎng)絡(luò)的應(yīng)用，同時(shí)還能夠充分保護(hù)用戶的投資。
　　
　　當(dāng)然在性能方面，對(duì)于不同規(guī)模的企業(yè)有不同的要求，不一定速度越高越好，像有的小型的局域網(wǎng)出口速率不到1M/s，選用100M/s的防火墻就是多余的。
　　
　　對(duì)于大、中型企業(yè)說就應(yīng)當(dāng)高度重視防火墻功能的多樣性。否則很可能選購(gòu)回來的防火墻產(chǎn)品根本不能滿足當(dāng)前或者短時(shí)間內(nèi)的未來需求。
　　
　　質(zhì)量好的防火墻能夠有效地控制通信，能夠?yàn)椴煌?jí)別、不同需求的用戶提供不同的控制策略?？刂撇呗缘挠行?、多樣性、級(jí)別目標(biāo)清晰性以及制定難易程度都直反映出防火墻控制策略的質(zhì)量?，F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓受防火墻保護(hù)一方的IP地址不被暴露。但注意啟用NAT后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。
　　
　　目前防火墻技術(shù)進(jìn)步很快，功能上也做的五花八門，用戶選擇上也比較困難。在包過濾方式上，目前各個(gè)廠商采用的基本上都是基于狀態(tài)檢測(cè)包過濾功能。其他的一些附加的功能可以視實(shí)際的需要而定，例如，對(duì)于沒有固定主機(jī)的單位，可能需要身份認(rèn)證的功能；對(duì)網(wǎng)絡(luò)資源比較緊張的單位，可能需要帶寬管理的功能以合理控制資源分配；對(duì)于有總部和分支機(jī)構(gòu)的企業(yè)，就可能需要選擇能支持VPN通訊功能的防火墻產(chǎn)品等等。
　　
　　對(duì)于經(jīng)常有公司內(nèi)部用戶移動(dòng)辦公的企業(yè)，最好能提供支持VPN通信或者身份驗(yàn)證功能，這樣做有兩個(gè)好處：一是可以大量節(jié)省通信費(fèi)用（因?yàn)閂PN只需要用戶與本地ISP連接即可）；另一方面用戶出差時(shí)可以登錄公司內(nèi)部的服務(wù)器，在沒有其它加密手段或者加密成本比較高時(shí)，這樣的身份驗(yàn)證方式是比較實(shí)用的。Nokia防火墻作為業(yè)內(nèi)領(lǐng)先的產(chǎn)品，全面提供包括防火墻、VPN、入侵檢測(cè)、流量控制、防病毒網(wǎng)關(guān)等多種功能在內(nèi)的產(chǎn)品。
　　
　　因?yàn)榉阑饓拖髥挝挥脩舫鋈牖ヂ?lián)網(wǎng)的一道門，如果門壞了，顯然進(jìn)出互聯(lián)網(wǎng)也就成問題了。這樣很可能會(huì)使用戶造成巨大的損失，這就要求防火墻產(chǎn)品自身具有高的可靠性。提高防火墻的可靠性通常是在設(shè)計(jì)中采取措施，具體措施是提高部件的強(qiáng)健性、增大設(shè)計(jì)閥值和增加冗余部件。曉通代理的Nokia防火墻支持虛擬路由器冗余協(xié)議（VRRP，RFC2338），可以在2臺(tái)或者多臺(tái)Nokia防火墻之間實(shí)現(xiàn)冗余和負(fù)載均衡。
　　
　　對(duì)于高可靠性環(huán)境，Nokia的IP集群技術(shù)可以將多個(gè)設(shè)備集群在一起，作為單個(gè)虛擬網(wǎng)關(guān)運(yùn)行，實(shí)現(xiàn)動(dòng)態(tài)的負(fù)載均衡。同一集群的所有成員共享安全狀態(tài)信息，一旦出現(xiàn)故障，可以自動(dòng)轉(zhuǎn)化到冗余設(shè)備上。同時(shí)，為了優(yōu)化性能，集群會(huì)不斷地對(duì)負(fù)載進(jìn)行重新平衡。這樣，用戶的網(wǎng)絡(luò)就不會(huì)因?yàn)榉阑饓收显斐山?jīng)濟(jì)損失。Nokia硬件冗余包括支持熱交換接口卡、冗余電源系統(tǒng)、電扇系統(tǒng)和鏡像熱交換硬盤系統(tǒng)等。
　　
　　從適合中小型企業(yè)或大型企業(yè)分支機(jī)構(gòu)的IP40安全訪問解決方案，到適合大中型企業(yè)全面安全訪問的IP350/380解決方案，曉通網(wǎng)絡(luò)都會(huì)根據(jù)用戶的不同要求，為用戶量身定制網(wǎng)絡(luò)安全解決方案，這些按照不同需求制定的安全解決方案將為用戶提供具備高度可靠性、便于管理并且能夠不斷根據(jù)需求進(jìn)行升級(jí)的全面安全保障。