科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全数据说话 硬件防火墙选购经验谈(上)

数据说话 硬件防火墙选购经验谈(上)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着网络技术的普及越来越多的企业开始关注内外网以及相关应用的安全,就目前实际使用来说通过防火墙来过滤入侵以及病毒的传播是最简单和直接的办法。

来源:chinaitlab 2010年7月11日

关键字: 网络安全 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  随着网络技术的普及越来越多的企业开始关注内外网以及相关应用的安全,就目前实际使用来说通过防火墙来过滤入侵以及病毒的传播是最简单和直接的办法。因此很多企业特别是中小企业都迫切希望通过购买硬件防火墙来实现提升安全的功能。但是在选择硬件防火墙时该本着什么样的原则进行呢?选购时需要针对哪些参数和性能进行考证呢?笔者担任网络安全与维护工作已经有七个年头了,亲身参与过多次硬件防火墙的采购以及招标,自身也积累了一些选购硬件防火墙的经验。今天就请各位IT168读者跟随笔者一起用数据说话来选购中小企业的硬件防火墙。

  一,什么是硬件防火墙:

  平时我们都接触过防火墙,不过很多用户使用的都是偏软件的防火墙,通过一些软件程序实现对系统和网络的保护。然而相比硬件防火墙而言软件防火墙在性能和处理能力等方面存在着很大的不同。所谓硬件防火墙就是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。

  硬件防火墙作为企业安全的屏障所起的作用是巨大的,正是因为防火墙程序和过滤规则的硬件化芯片化,所以硬件防火墙在处理并发数和连接数比较多的情况下优势更加明显,平时出现问题的机率也比较低。(如图1)

  

  二,数据说话——硬件防火墙选购经验谈:

  很多企业都面临硬件防火墙的选购,今天笔者就从实际选购出发从数据说话为各位介绍硬件防火墙选购上的一些经验。

  (1)按需选择原则

  首先需要确定的就是选择防火墙时按照需求去确定各个参数,一般来说企业内网网络结点数以及会话连接情况决定了硬件防火墙的级别。选择时依照满足性能为首的原则,然后适当为日后升级做准备。

  在执行按需选择原则时我们需要就以下几个方面进行划定,首先确定企业内网网络设备数量以及员工计算机数量,通过计算机下连网络数量来选择硬件防火墙的级别;其次根据企业网络流量来决定防火墙接口网络速度,流量大的需要选择G级接口,而小型网络100M的即可满足实际需求;再次考虑企业网络的稳定性,说白了就是是否需要提供线路上的冗余,对于多线多路网络接入来说这点需要额外考虑;最后就是从功能需求上去决定选购型号,一般来说防火墙都应该具备VPN接入的功能,这样才能够更好的提供不同权限不同用户级别的网络服务,同时诸如IPV6,VOIP等功能的支持要需要根据企业实际需求去选择。

  (2)防火墙硬字当先:

  在确定需求后我们就要查看防火墙的自身配置了,首先需要确保的是防火墙必须采用多核处理器的纯硬件架构(非X86),这个条件是必须满足的。为什么这么说呢?因为硬件防火墙区别于低性能低价格的软件防火墙而言关键点就是把防火墙程序做到芯片里面,从而节约了日常处理对CPU的占用。而很多厂商在推荐防火墙时可能选择的设备是一种“伪硬件”,使用新瓶装旧酒的策略,将经过优化的软件防火墙装到普通台式机上,再通过封装改造成所谓的硬件防火墙。这是明显的挂羊头卖狗肉。因此在确定防火墙时一定注意他是纯粹的硬件防火墙,另外由于在X86下搭建的系统多以Windows为主,而且Windows系统存在先天安全问题。所以在考虑硬件防火墙自身架构时也要尽量不采取X86架构。

  采用多核心处理器可以更好的处理并发通讯和高数量的连接,因此防火墙必须采用多核处理器的纯硬件架构(非X86)成为选购硬件防火墙的首要原则。

  (3)冗余运行稳定当先:(如图2)

  除了硬件防火墙自身“硬”指标外我们还需要关注的是设备运行的冗余性,对于企业来说网络接入冗余性,电源支持冗余性以及数据的冗余性都非常关键。毕竟企业很多业务都运行在网络上,硬件防火墙一旦出现问题各种安全防范以及网络接入服务都要受到致命的影响。

  因此在选购硬件防火墙时其自身的冗余运行以及稳定性方面的表现也同样重要,其中网络接入方面的多接性以及电源支持的冗余性显得更加重要。

  (4)连接会话做足文章:(如图3)

  

  除了上面两个因素需要考虑外防火墙自身的网络性能也需要考虑在内,具体包括防火墙的吞吐量以及并发连接数连各个参数。对于具备10000个下连网络节点的企业内网来说应该保证硬件防火墙满足下面几个要求——

  吞吐量 ≥7.9G bps

  吞吐量(小包) ≥2900 M bps

  最大并发连接数 ≥4,900,000

  每秒新建连接数 ≥190,000

  小提示:

  什么是吞吐量——吞吐量是在一个给定的时间段内设备能够传输的数据量,使用Mb/s进行度量。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M.纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,这样才算是真正的100M防火墙。

  网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。如果企业实际下连节点不是万个级别的话,我们可以适当的将上面提到的几个参数进行缩减。吞吐量决定硬件防火墙处理数据的能力,而连接数的多少决定了防火墙自身的性能。

  三,总结:

  由于篇幅关系笔者在本文中针对硬件防火墙选购方面介绍了几点经验,通过确定硬件防火墙核心是否真的“硬”,连接会话吞吐量实际情况以及性能硬件环节的冗余功能等方面下手,让我们选购的硬件防火墙可以真正的为我们企业高效服务。

  在“数据说话——硬件防火墙选购经验谈(下)”一文中笔者将继续为各位读者讲解其他几个选购原则。让我们最大限度的避免被厂商所忽悠。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章