扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
安全永远是CIO的一个心病,而选择一款合适的防火墙则无疑是治疗这个心病的一大良药。笔者在防火墙选型这方面也花过不少的功夫,今天就跟大家讨论一下,防火墙选型该怎么做。笔者总结了六个指标,供大家参考。
一、网络吞吐量。
当CIO在企业中部署了企业级别的防火墙之后,企业进出互联网的所有通信流量都要通过防火墙,故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的,这时由于带宽的限制,可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入,带宽本来就很大。此时就给防火墙带来了一定的压力。
因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的,所以在流量比较高时,要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时,甚至发生死机。所以网络吞吐量指标非常重要,它体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的延时代价。如果防火墙对网络造成较大的延时,给用户造成较大的损失。这一点上笔者是深有感触。笔者企业很早以前就部署了企业级别的防火墙。后来公司网络进行升级改造,实现了光纤接入。可是升级改造后,笔者发现可用带宽不到预计带宽的一半。一开始笔者怀疑是光纤问题。叫对方技术人员过来,他们测试光纤的传输没有问题,带宽达到预计的标准。那笔者就感到困惑了?是什么原因吞噬了企业宝贵的带宽呢?经过一番查找,最终发现原来是哪个防火墙在作怪。原来这个防火墙采购比较早,其网络吞吐量只有10M。难怪采用光纤接入后达不到预计的要求。为此笔者不得不重新选择了一款高性能的防火墙,其网络吞吐量达到100M。就的防火墙笔者就用来进行内部的隔离。故如果企业采用了防火墙之后,对可用带宽造成了很大的影响,那无疑是一种大大的浪费。
所以笔者认为,CIO在选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然,这个吞吐量也不是越大越好。因为吞吐量越大的话,防火墙的价格也就越高。CIO要根据企业的实际情况,如现在接入互联网的带宽等因素,来选择的合适的带宽。当然如果企业资金充裕,CIO有钱没处花的话,那么吞吐量当然是越大越好。吞吐量一个基本的原则就是至少要跟企业现有的互联网接入带宽相当。
二、协议的优先级。
笔者企业现在已经实现了网络会议视频。各个分公司与总公司之间可以通过网络开视频会议,而不用再像以前那样赶来赶去开会。不过这个视频会议需要占用不少的带宽。以前每次启用这个视频会议,其他用户都会感受到网络速度明显的变慢。而且有时候网络视频也会有一卡一卡的现象。有时候笔者得把其他用户的外网断掉,这一卡一卡的现象就得到了改善。但是每次这么处理很是麻烦。为了改善这个情况,笔者在选择防火墙的时候特别关注防火墙是否有协议优先级的管理。也就是说,当视频会议系统启动时,企业网络带宽的使用率可能会比较高。这就好像现在的下班高峰一样,路上车堵了,那么车速难免就会慢下来。但是如果这是一辆救护车,那么其就有优先通过的权力。其他车辆都必须为其让道。笔者也希望能够实现类似的控制。还好,现在这款防火墙没有让笔者失望。在这款防火墙中,有协议优先级的功能,可以把语音流等关键业务的数据流量设置为比较高的优先级别。当企业的网络中出现拥塞时,将优先保证这些优先级别高的流量的通过。经过这个设置之后,以后开起视频会议的时候,就不用在手工的去关闭其他用户的网络。防火墙会自动根据企业网络状况来调整通信流量的优先级别,保证视频等通信流量具有优先通过的权力。
故笔者建议的第二个指标就是这个协议的优先性。现在视频应用在企业中使用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。如果企业带宽跟不上的话,这些应用的质量将会受到很大的影响,如通话的质量可能会时断时续。就好像手机信号差一样。虽然可以通过提高互联网的接入速度来改善这种情况,但是这不是首选方案。因为增加带宽需要企业花费比较大的投资。故笔者认为最理想的解决方案是对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中,要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。
另外这还可以用来约束员工的网络行为。如有些员工喜欢利用emule等工具下载电影。但是这些工具的话会占用很大的带宽,因为他们在从网络上下载的同时,也提供别人进行下载。故耗用的带宽比较多。如果一味的限制他们,也不怎么人情化。如果把这些通信流量设置为比较低的级别,当网络比较繁忙的时候,这些通信流量占用的带宽将不断降低,只到为零。如此的话,这些通信流量对企业其他正常网络应用的影响将会降至到最低。
故笔者建议CIO在防火墙选型时第二个需要考虑的就是协议的优先级管理。特别是企业有语音电话、视频会议系统这些高级网络应用的话,则这个协议的优先级管理功能就更加的重要。
三、具有一定的扩展性。
企业的网络不可能永远的一成不变。随着企业规模的扩大,公司内部的网络会不断的升级,以符合企业日益发展的需要。如企业现在可能只是一个公司,但是随着规模的壮大可能会在各地开立分公司或者办事处。此时就遇到一个问题,如何把各地的分公司的网络与总公司的网络连接起来。为此通过VPN来连接无疑是一个不错的方案。但是此时CIO就遇到了一个问题,现有的防火墙能否支持VPN技术呢?企业很有可能以前在选购防火墙的时候没有注意到这个问题。那么后来网络升级后,CIO就会变得跟被动了。
所以CIO在选型购防火墙时第三个要考虑的指标就是防火墙的扩展性。现在企业可能不需要某个功能,如VPN功能。在购买防火墙时购买不需要用到的VPN模块也是一种浪费。但是防火墙要能够保证在以后企业用的着的时候,能够顺利进行扩展,而不需要重新购买。在这个扩展性问题上,笔者认为CIO可以从几个方面来考虑。
一是为了后续扩展的需要,最好能够购买那些模块化设计的防火墙。如此的话,后续增添其他功能的话,只需要购买模块即可。而不需要更换整个硬件防火墙。也就是说CIO选择的硬件防火墙系统最好是一个可随意伸缩的模块化解决方案,包括从最基本的包过滤器到带加密功能的VPN型包过滤器,最终到一个独立的应用网关的等等。只有如此,才能让CIO轻松面对企业信息化应用的升级。
二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口:内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络,而内部网络接口连接的是得到信任的网络。在内部网部署时,连接到外部的接口可能需要和公司的主要部分连接,这时可能比外部网络的信任度高,但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化,只有两个接口的防火墙明显具有局限性,可能无法满足企业业务方面的需求。如企业可能出于安全的需要,以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑,CIO在防火墙选购时,还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。