為此選購(gòu)防火墻還是很重要的，對(duì)于企業(yè)來(lái)說(shuō)夜是至關(guān)重要的。簡(jiǎn)單的說(shuō)，選擇防火墻需要兼顧安全和性能。在提高企業(yè)網(wǎng)絡(luò)安全的同時(shí)，也需要不夠響網(wǎng)絡(luò)數(shù)據(jù)傳輸大效率以及可用性。具體的說(shuō)，在2010年筆者以為可以根據(jù)如何標(biāo)準(zhǔn)來(lái)選購(gòu)防火墻。

標(biāo)準(zhǔn)一、根據(jù)企業(yè)規(guī)模來(lái)選購(gòu)不同的許可證

許可證跟授權(quán)用戶(hù)類(lèi)似。企業(yè)需要根據(jù)自己公司網(wǎng)絡(luò)的規(guī)模，來(lái)選擇合適的許可證數(shù)。如以思科的PIX501防火墻類(lèi)似，有多個(gè)可用的許可證供用戶(hù)選擇。如“10個(gè)用戶(hù)許可證”，其最多支持10個(gè)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)中不同IP地址的并發(fā)連接通過(guò)防火墻，并同時(shí)提供了最多可達(dá)32個(gè)租約的DCHP服務(wù)器的支持。如“50個(gè)用戶(hù)許可證”可以最多支持50個(gè)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)中不同源IP地址的并發(fā)連接，還提供了最多可達(dá)128個(gè)租約的DCHP服務(wù)器支持。而“無(wú)限個(gè)用戶(hù)許可證”則支持無(wú)限個(gè)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)中不同源IP地址的并發(fā)連接。這里需要注意，DHCP租約并不是無(wú)限個(gè)，而是最多支持可達(dá)256個(gè)租約。

企業(yè)在選購(gòu)的時(shí)候，可以根據(jù)實(shí)際需要來(lái)進(jìn)行選擇。這里一般不會(huì)發(fā)生重復(fù)投資的問(wèn)題。也就是說(shuō)，以后需要更多用戶(hù)許可證的話，只需要通過(guò)升級(jí)就可以增加用戶(hù)的數(shù)量，而不用更換原有的設(shè)備。故對(duì)于資金比較有限的企業(yè)來(lái)說(shuō)，一開(kāi)始不用選擇太多的用戶(hù)許可證。在需要的時(shí)候，再進(jìn)行增加即可。

標(biāo)準(zhǔn)二、是否需要支持故障切換功能

上帝都有閉眼的時(shí)候。防火墻畢竟只是一個(gè)機(jī)器，由于各種的原因，如自然損害、電壓不穩(wěn)等等都會(huì)造成防火墻運(yùn)行故障。而有些企業(yè)對(duì)于網(wǎng)絡(luò)的安全與可用性要求特別高。如一些從事股票交易的金融企業(yè)。 對(duì)于這些企業(yè)來(lái)說(shuō)，有必要實(shí)現(xiàn)防火墻的自動(dòng)故障切換功能。簡(jiǎn)單的說(shuō)，就是在企業(yè)內(nèi)網(wǎng)與外網(wǎng)的聯(lián)接口，部署兩臺(tái)或者兩臺(tái)以上的防火墻。當(dāng)系統(tǒng)檢測(cè)到某臺(tái)防火墻出現(xiàn)故障的時(shí)候，會(huì)自動(dòng)切換到另外一臺(tái)沒(méi)有故障的防火墻上。如此的話，在保障安全的同時(shí)也提高了防火墻的可用性。

在選購(gòu)企業(yè)級(jí)別的交換機(jī)之前，企業(yè)網(wǎng)絡(luò)管理人員需要確認(rèn)有否這方面的需求。如思科的PIX515E防火墻就支持故障自動(dòng)切換功能。在這個(gè)防火墻的面板上有三個(gè)狀態(tài)LED燈，用于指示系統(tǒng)電源、系統(tǒng)是否處于活動(dòng)狀態(tài)、以及在接口上是否有網(wǎng)絡(luò)數(shù)據(jù)流量通過(guò)等等。如果有兩個(gè)運(yùn)行在故障切換模式中的防火墻，則Active等將指示哪個(gè)防火墻處于活躍狀態(tài)，哪個(gè)防火墻是處于備用狀態(tài)的。而同樣是思科的產(chǎn)品，PIX506E則沒(méi)有這個(gè)故障自動(dòng)切換的功能。可見(jiàn)即使是同一個(gè)公司的產(chǎn)品，其規(guī)格不同，功能上也有很大的差異。

另外需要注意的是，故障切換功能跟許可證多少不一樣。故障切換功能是需要通過(guò)硬件來(lái)實(shí)現(xiàn)的。也就是說(shuō)，現(xiàn)在企業(yè)可能不需要這個(gè)故障切換功能。以后如果需要的話，那么只有重新購(gòu)買(mǎi)防火墻，而不能夠通過(guò)升級(jí)來(lái)增加這個(gè)功能。即可能會(huì)造成比較大的重復(fù)投資。為此在選購(gòu)防火墻之前，作為企業(yè)網(wǎng)絡(luò)管理人員來(lái)說(shuō)，需要確認(rèn)清楚，免得造成不必要的浪費(fèi)。

標(biāo)準(zhǔn)三、是否需要附加的以太網(wǎng)接口以及需要的數(shù)量?

有些企業(yè)規(guī)模比較大，可能需要附加的以太網(wǎng)接口。如對(duì)于一個(gè)工業(yè)園區(qū)來(lái)說(shuō)，其內(nèi)部有5個(gè)大型的企業(yè)。工業(yè)園區(qū)的管理部門(mén)不可能為每個(gè)企業(yè)部署一個(gè)單獨(dú)的防火墻。出于節(jié)省成本的考慮，會(huì)讓他們使用同一個(gè)防火墻。而為了他們互不干擾，又會(huì)通過(guò)添加以太網(wǎng)接口的方式，來(lái)進(jìn)行分流。故在選購(gòu)防火墻的時(shí)候，其能夠支持的以太網(wǎng)接口的數(shù)量也是非常重要的。

在實(shí)際工作中，往往需要的接口數(shù)量比較難以估計(jì)。而且隨著后續(xù)企業(yè)的發(fā)展，其也是在不斷變化的。另外從成本上考慮，多一個(gè)以太網(wǎng)接口，其成本也會(huì)高出不少。為此在防火墻設(shè)計(jì)的時(shí)候，往往是采用模塊的方式。就好像普通的PC，可以根據(jù)需要在主板上插一定數(shù)量的網(wǎng)卡。大部分防火墻在設(shè)計(jì)時(shí)也是如此設(shè)計(jì)的。如思科的525防火墻，其包含三個(gè)PCI插糟。網(wǎng)絡(luò)管理員可以根據(jù)需要，再安裝6個(gè)附加的以太網(wǎng)接口。

為此出于成本的考慮，企業(yè)在剛開(kāi)始的時(shí)候，可以不附加以太網(wǎng)接口。等到以后發(fā)展到一定規(guī)模的時(shí)候，再根據(jù)需要購(gòu)買(mǎi)模塊來(lái)增加以太網(wǎng)接口的數(shù)量。最重要的是，這個(gè)過(guò)程中不需要更換原有的交換機(jī)，而只是增加一個(gè)模塊而已。不過(guò)作為企業(yè)網(wǎng)絡(luò)管理員來(lái)說(shuō)，還是需要預(yù)估以下，未來(lái)可能需要的以太網(wǎng)接口的最大數(shù)量。免得到時(shí)候以太網(wǎng)數(shù)量接口插糟不足而引起的麻煩。

另外如果有多個(gè)插糟的話，需要向大家提醒一個(gè)細(xì)節(jié)問(wèn)題。通常情況下，出于性能的考慮，PCI查找往往被分成不同的總線速度。如假設(shè)某個(gè)防護(hù)墻具有4個(gè)插糟，可能前面兩個(gè)其速度為66，而后面兩個(gè)插糟其速度只有33。在使用的時(shí)候，不要在同一個(gè)總線上混合使用速度不同的卡。這會(huì)導(dǎo)致所有的速度為66插糟速度降低為33。這是什么意思的?即有兩個(gè)插糟其總線速度為66，如果分別插了兩張卡，速度分別為66和33。那么最后速度為66的卡其實(shí)際的速率也就只有33。正確的做法是，寧可讓第二個(gè)插糟空著，而將速度為33的卡插到第三個(gè)插糟中去。這就是“木桶效應(yīng)”。在實(shí)際工作中，網(wǎng)絡(luò)管理員需要避免犯這個(gè)低級(jí)錯(cuò)誤。

標(biāo)準(zhǔn)四、防火墻的吞吐量

在企業(yè)中防火墻就相當(dāng)于一幢大樓的大門(mén)。大門(mén)的大小直接決定了在同一時(shí)間可以通過(guò)的人數(shù)。如果大門(mén)不夠大，當(dāng)人數(shù)一多，就會(huì)發(fā)生擁塞。對(duì)于企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，如果防火墻的吞吐量不夠大的話，就會(huì)引起網(wǎng)絡(luò)的擁塞，從而大大降低企業(yè)網(wǎng)絡(luò)的性能。

在防火墻的標(biāo)簽上，往往會(huì)寫(xiě)明其吞吐量。這個(gè)吞吐量一邊指的就是防火墻處理數(shù)據(jù)發(fā)速度，是理論上的最高速度。為此在選購(gòu)的時(shí)候，這個(gè)說(shuō)明書(shū)上的吞吐量只是一個(gè)參考值。其實(shí)際的吞吐量還跟防火墻的接口速度、連接鏈路的速度和分組的大小等等。在大部分情況下，防火墻都達(dá)不到其理論上的最大速率，如果能夠達(dá)到8成已經(jīng)算是不錯(cuò)了。大家在辦理網(wǎng)絡(luò)寬帶的時(shí)候，可能對(duì)方高速你到達(dá)你家的速度有2M或者3M。但是你在家里上網(wǎng)的時(shí)候，永遠(yuǎn)也達(dá)不到這個(gè)速度。這是同樣的道理。

為此在選購(gòu)防火墻的時(shí)候，網(wǎng)絡(luò)管理員需要預(yù)估一下所需要的吞吐量。在實(shí)際選購(gòu)的時(shí)候，要選購(gòu)那些比這個(gè)需要的吞吐量大一點(diǎn)的防火墻產(chǎn)品。即將防火墻說(shuō)明書(shū)上的吞吐量打一個(gè)八折之后，再跟實(shí)際的吞吐量進(jìn)行對(duì)比。在其他條件相同的情況下，吞吐量越大，其價(jià)格也就越高。

吞吐量不夠大的話，會(huì)直接影響到網(wǎng)絡(luò)的性能。特別是某些企業(yè)，可能會(huì)在防火墻內(nèi)部部署一些服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、OA服務(wù)器等等，供外網(wǎng)的用戶(hù)訪問(wèn)。此時(shí)更加要確保防火墻有足夠大的吞吐量。否則的話，通過(guò)互聯(lián)網(wǎng)訪問(wèn)，速度本來(lái)就慢。再在防火墻上卡一下的話，反映就會(huì)變得更加遲鈍了。

【編輯推薦】

1. Linux系統(tǒng)防火墻配置實(shí)戰(zhàn)演示
2. 寬帶ADSL貓防火墻配置實(shí)戰(zhàn)級(jí)
3. Linux網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)并不難！
4. 軟件防火墻故障發(fā)現(xiàn)與排除很簡(jiǎn)單！
5. 安全防護(hù)之防火墻防止Windows藍(lán)屏攻擊不用怕！