選擇硬件防火墻時你應注意的十件事
對于公司網絡安全來說,防火墻起的是關鍵性的作用,只有它,才可以防止來自互聯(lián)網上永不停止的各種威脅。防火墻的選擇對遠程終端連接到中心系統(tǒng)獲取必要資源或完成重要任務的影響也非常大。當選擇基于硬件的防火墻時,應當考慮以下十個方面的因素,以確保企業(yè)實現(xiàn)投資、安全性和生產力的最大化.
1:必須可以提供值得信賴的安全
在市面上,UTM的種類非常多。根據(jù)商業(yè)模式的不同,一些網絡安全設備可以提供大量的功能和全面的服務,但是需要公司承擔高昂的價格,而另一些則只包含了基本的服務,但采購的成本也很低。
因此,選擇的時間一定要確保平臺是公認和值得信賴的。Barracuda、思科、SonicWALL公司和WatchGuard都屬于擁有市場份額的著名品牌,它們獲得的市場份額就是可以提供值得信賴安全的很好的理由。無論你選擇什么品牌的防火墻,都應該確保其通過國際計算機安全協(xié)會(ICSA)的認證,符合數(shù)據(jù)包檢測的行業(yè)標準。
2:具有良好的易用性
在安全方面,全球跨國企業(yè)需要多級控制管理,但即使是這些需要大量保護的企業(yè)也不應該將設備配置方式限定在命令行模式下。很多防火墻都可以在提供高度安全性的同時,提供友好的圖形界面以方便管理。
這樣做的優(yōu)點有幾個方面。圖形用戶界面有助于防止安裝時間出現(xiàn)錯誤。在圖形用戶界面下,更容易地診斷和糾正故障。圖形用戶界面也更易于培訓工作人員,并進行調整、升級和更新。
在選擇基于硬件的防火墻時,考慮到易用性也會帶來很大的好處。一個平臺越容易進行管理,就越容易找到可以進行安裝、維護和故障處理等工作的專業(yè)人士。
3:必須包含VPN支持
防火墻存在的目的并不限于防止網絡黑客的攻擊和非法數(shù)據(jù)輸出。一個好的防火墻還應該可以在為遠程連接建立安全通道,并對其進行監(jiān)測。在選擇基于硬件的防火墻時,應該確保其支持同類設備的基于SSL-和IPSec-保護的VPN連接(以保護點至點或站點到站點VPN),讓員工可以實現(xiàn)安全連接。
4:功能選擇要符合實際需求
在網絡策略中,防火墻通常承擔公司網絡的互聯(lián)網網關的角色。對于規(guī)模較小的辦公室,可以讓防火墻承擔雙重責任,即既作為安全設備又作為網絡交換機。同時,對于規(guī)模較大的辦公環(huán)境來說,防火墻屬于更大結構的組成部分,這時,它承擔的唯一責任就是對流量進行過濾。
確保防火墻可以對負載進行分配管理。這就意味著它需要配備必要的以太網端口并擁有適當?shù)乃俣?如果有必要的話,應該選擇10Mbps/100Mbps和/或1000Mbps)。但還有更多要注意的因素,確保你選擇的防火墻擁有進行數(shù)據(jù)包檢查的功能,并且可以提供安全服務網關和路由功能。
特別要注意的是制造商關于支持最大節(jié)點數(shù)目的建議。如果超過了路由器的能力,就可能會出現(xiàn)錯誤,數(shù)據(jù)傳輸就會由于缺乏許可或者超過支持范圍而中斷。
5:應該擁有可靠的技術支持
硬件出現(xiàn)問題是有可能的。更壞的情況可能是,僅僅因為是新設備并不意味著它一定可以正常工作。全天候的技術支持以及部署過程中的全面技術支持應當包含在和防火墻制造商簽定的技術支持合同中。
在購買前,應該撥打制造商技術支持團隊的電話,了解部署和配置方面的問題。根據(jù)答復的速度和內容等情況,可以確定在實地部署出現(xiàn)問題時你將獲得服務的情況。
6:關注無線網絡安全
即使在選擇基于硬件的防火墻時,公司并不認為這是必須的情況下,也應該將無線網絡功能包含進來。IT團隊可以在部署的時間關閉無線網絡功能。增加無線局域網功能會導致購買成本增加,但對于客戶連接或方便地訪問網絡來說,這是必須的。安全的無線連接是很容易獲得的(并不需要購買一臺全新的路由器)。對于一家處于變化中的公司企業(yè)來說,無線局域網功能可能被證明是必要的。
7:可以提供網關安全服務
通過設置防火墻,很多公司成功地降低了病毒、間諜軟件和垃圾郵件帶來的大量威脅。在比較防火墻功能,確定運行費用的時間,為了減低成本,你可以選擇在防火墻而不是傳統(tǒng)的域控制器或其他服務器上部署這些服務。
8:能夠進行內容過濾
現(xiàn)在很多IT部門都選擇使用OpenDNS進行內容過濾,一些防火墻制造商也在設備中提供了網頁過濾的選擇。對于所有和業(yè)務有關的網絡服務來說,都需要利用網關安全服務進行內容過濾。這樣做的優(yōu)點是可以實現(xiàn)功能集成在一臺設備中。但缺點是,你需要支付相關的費用。
因此,在選擇基于硬件的防火墻解決方案時,要考慮到公司的需求和預算情況,確定是否應該由防火墻管理內容過濾功能。如果答案是肯定的話,選擇一個包含了可靠成熟內容過濾功能的防火墻。
9:可以提供專業(yè)的監(jiān)測和報告
防火墻可以對關鍵網絡任務進行管理。僅僅一個工作日,一臺路由器就可以阻止成千上萬的入侵企圖、防范各種攻擊,并記錄失敗的網絡連接。但這些信息只有包含在易于獲取的格式中時,才能為網絡管理員提供有效的幫助。
對于防火墻來說,不僅需要對重要事件進行監(jiān)控,而且應該將數(shù)據(jù)以兼容的格式保存起來。對于一個優(yōu)秀的防火墻來說,應該至少可以利用電子郵件為重要事件提供警告。
10:了解是否具備故障轉移功能
一些公司可能需要廣域網故障轉移功能,或者冗余的互聯(lián)網連接進行自動故障檢測和糾正。很多防火墻都不具備自動故障轉移支持模式。如果該功能對貴公司來說是至關重要的話,請確認你選擇的防火墻包含了無縫切換模式;即使是高端防火墻,在默認情況下,也不一定包括這樣的功能。
此外,請確保選擇的模式符合公司的使用情況。舉例來說,如果一個單位擁有兩個RJ - 45廣域以太網端口的話,在第2個端口運行無線網卡將沒有什么好處。在這種情況下,USB接口的GSM卡或適配器才是比較適當?shù)倪x擇。
【編輯推薦】
