硬件防火墻的四大選購要素之分類介紹

隨著互聯網應用的普及和飛速發展，網絡安全也成為人們最終擔心的一個方面。病毒和黑客攻擊作為網絡安全的主要隱患，時時刻刻在威脅著進行互聯網應用的計算機系統的安全。網絡防火墻作為防止黑客入侵的主要手段，也已經成為網絡安全建設的必選設備，不僅企事業單位網絡需要，時下，就連個人用戶防火墻也已成為必備的安全手段，雖然個人用戶絕大多數還是采用軟件式的個人防火墻產品。本文將要介紹的是在硬件防火墻設備選購時要注意的事項，當然適應用戶也主要是企事業單位。
　　目前來說市面上的網絡防火墻設備品牌繁多，各種不同檔次的產品讓人眼花繚亂，使普通用戶在購買時無從下手。那么如何選擇適應自己企業需要，能達到最大安全效果的防火墻產品呢？
　　
　　品牌是關鍵
　　防火墻產品屬高科技產品，生產這樣的設備不僅需要強大的資金作后盾，而且在技術實力上也需要有強大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術和服務，對將來的使用更加有保障。所以在選購防火墻產品時千萬別貪圖一時便宜，選購一些無保障的產品。曉通代理的Nokia在專用的高性能平臺上與處于市場領先地位的CheckPoint公司攜手開發了VPN－1/FireWall-1專用硬件防火墻，這是業內最強大的防火墻和VPN解決方案之一。同時曉通網絡作為諸多國際知名的網絡安全產品的代理，積累了相當豐富的經驗，這些經驗會對曉通代理的Nokia防火墻產品的使用起到觸類旁通的積極作用。
　　
　　安全最重要
　　防火墻本身就是一個用于安全防護的設備，當然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統和是否采用專用的硬件平臺。因為現在第二代防火墻產品通常不再依靠用戶的操作系統，而是采用自已單獨開發的操作系統。這個操作系統本身要求沒有安全隱患，當然作為普通用戶這只能通過品牌來保證。應用系統的安全性能是以防火墻自身操作系統的安全性能為基礎的，同時，應用系統自身的安全實現也直接影響到整個系統的安全性。
　　另外在安全策略上，防火墻應具有相當的靈活性。首先防火墻的過濾語言應該是靈活的，編程對用戶是友好的，還應具備若干可能的過濾屬性，如源和目的IP地址、協議類型、源和目的TCP/UDP端口及入出接口等。只有這樣用戶才能根據實際需求采取靈活的安全策略保護自己企業網絡的安全。
　　
　　另外，防火墻除應包含先進的鑒別措施，還應采用盡量多的先進技術，如包過濾技術、加密技術、可信的信息技術等。如身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統的訪問控制機制、授權管理等技術，這些都是防火墻安全系統所必需考慮的。
　　
　　曉通代理的Nokia防火墻使用了專用的IPSO安全操作系統和專門開發的硬件平臺，保證了系統平臺本身的高度的安全性。在這個平臺上，Nokia又集成了CheckPoint、SecoSheild、WebSense等安全產品，能夠實現全面的安全。這些產品能夠為用戶提供安全保證，同時提供又能夠提供足夠靈活和多變的策略。
　　
　　高效的性能和高可靠性
　　防火墻是通過對進入的數據進行過濾來識別是否符合安全策略的，所以在流量比較高時，要求防火墻能以最快的速度及時對所有數據包進行檢測，否則就可能造成比較的延時，甚至死機。這個指標非常重要，它體現了防火墻的可用性能，也體現了企業用戶使用防火墻產品的代價（延時），用戶無法接受過高的代價。如果防火墻對網絡造成較大的延時，還會給用戶造成較大的損失。這一點我們在使用個人防火墻時可能深有感觸，有時我們在打開防火墻時上網反應非常慢，而一旦去掉速度就上來了，原因就為因為防火墻過濾速度不夠快。
　　
　　如果防火墻對原有網絡帶寬影響過大，無疑就是對原有投資的巨大浪費。
　　
　　目前來說防火墻在類型上基本上都實現了從軟件到硬件的轉換，算法上也有了很大的優化，一部分防火墻的性能完全可以做到對原有網絡的性能影響很小了。具體到用戶來說，辨別一款防火墻的性能的優劣，主要可以看看權威評測機構或媒體的性能測試結果，這些結果都是以國際標準RFC2544標準來衡量的，主要包括：網絡吞吐量、丟包率、延遲、連接數等，其中吞吐量又是重中之重。Nokia IP1260防火墻可以提供高達4.2Gbps的性能，充分滿足大型企業或者電信級運營商的需要。同時，Nokia防火墻還支持集群技術，多臺Nokia防火墻可以實現動態的負載均衡，這樣不僅能夠滿足大規模網絡的應用，同時還能夠充分保護用戶的投資。
　　
　　當然在性能方面，對于不同規模的企業有不同的要求，不一定速度越高越好，像有的小型的局域網出口速率不到1M/s，選用100M/s的防火墻就是多余的。
　　
　　對于大、中型企業說就應當高度重視防火墻功能的多樣性。否則很可能選購回來的防火墻產品根本不能滿足當前或者短時間內的未來需求。
　　
　　質量好的防火墻能夠有效地控制通信，能夠為不同級別、不同需求的用戶提供不同的控制策略。控制策略的有效性、多樣性、級別目標清晰性以及制定難易程度都直反映出防火墻控制策略的質量。現在大多數的防火墻產品都支持NAT功能，它可以讓受防火墻保護一方的IP地址不被暴露。但注意啟用NAT后勢必會對防火墻系統的性能有所影響。
　　
　　目前防火墻技術進步很快，功能上也做的五花八門，用戶選擇上也比較困難。在包過濾方式上，目前各個廠商采用的基本上都是基于狀態檢測包過濾功能。其他的一些附加的功能可以視實際的需要而定，例如，對于沒有固定主機的單位，可能需要身份認證的功能；對網絡資源比較緊張的單位，可能需要帶寬管理的功能以合理控制資源分配；對于有總部和分支機構的企業，就可能需要選擇能支持VPN通訊功能的防火墻產品等等。
　　
　　對于經常有公司內部用戶移動辦公的企業，最好能提供支持VPN通信或者身份驗證功能，這樣做有兩個好處：一是可以大量節省通信費用（因為VPN只需要用戶與本地ISP連接即可）；另一方面用戶出差時可以登錄公司內部的服務器，在沒有其它加密手段或者加密成本比較高時，這樣的身份驗證方式是比較實用的。Nokia防火墻作為業內領先的產品，全面提供包括防火墻、VPN、入侵檢測、流量控制、防病毒網關等多種功能在內的產品。
　　
　　因為防火墻就象單位用戶出入互聯網的一道門，如果門壞了，顯然進出互聯網也就成問題了。這樣很可能會使用戶造成巨大的損失，這就要求防火墻產品自身具有高的可靠性。提高防火墻的可靠性通常是在設計中采取措施，具體措施是提高部件的強健性、增大設計閥值和增加冗余部件。曉通代理的Nokia防火墻支持虛擬路由器冗余協議（VRRP，RFC2338），可以在2臺或者多臺Nokia防火墻之間實現冗余和負載均衡。
　　
　　對于高可靠性環境，Nokia的IP集群技術可以將多個設備集群在一起，作為單個虛擬網關運行，實現動態的負載均衡。同一集群的所有成員共享安全狀態信息，一旦出現故障，可以自動轉化到冗余設備上。同時，為了優化性能，集群會不斷地對負載進行重新平衡。這樣，用戶的網絡就不會因為防火墻故障造成經濟損失。Nokia硬件冗余包括支持熱交換接口卡、冗余電源系統、電扇系統和鏡像熱交換硬盤系統等。
　　
　　從適合中小型企業或大型企業分支機構的IP40安全訪問解決方案，到適合大中型企業全面安全訪問的IP350/380解決方案，曉通網絡都會根據用戶的不同要求，為用戶量身定制網絡安全解決方案，這些按照不同需求制定的安全解決方案將為用戶提供具備高度可靠性、便于管理并且能夠不斷根據需求進行升級的全面安全保障。