企業安全要上鎖 如何選購硬件防火墻
經常接觸網絡安全領域的朋友對硬件防火墻這個名詞一定不陌生:對于企業用戶來說,硬件防火墻本身支持安全策略,有先進的認證手段或有掛鉤程序,可以安裝先進的認證方法;如果需要,可以運用過濾技術允許和禁止服務,是網絡安全的第一道防線。目前基本上所有的大型企業都會選擇硬件防火墻作為抵御外部攻擊、保護內網安全的首選安全設備,這篇文章里主要介紹企業實際應用中常見的硬件防火墻的概念及選購注意事項。
什么是硬件防火墻?
關于硬件防火墻的定義,各IT專業媒體說法不一,到現在也沒有一個統一的概念,通俗地講,硬件防火墻是指把防火墻程序做到芯片里面,由硬件執行這些功能,可以減少CPU的負擔這樣一種防火墻。 硬件防火墻是保障內部網絡安全的一道重要屏障,它的安全和穩定,直接關系到整個內部網絡的安全。
為什么要慎重選擇硬件防火墻?
由于網絡中應用了防火墻設備,就要求防火墻能夠提供相應的支持,包括可管理、環境適應能力、與已有交換機/路由器的互聯互通、一定的吞吐能力和適當的延遲等,這樣防火墻才不會成為網絡瓶頸,但是很多用戶對于防火墻的基本功能和參考數據還沒有正確的認識;還有,很多企業安全用戶對于自身安全需求認識不足,往往容易迷失在產品的數據羅列和宣傳中,目前基本上大半的企業用戶在購買防火墻時都是聽防火墻廠商的“忽悠”,經常會忽略了自己的實際需求。
再加上外部攻擊的多樣化以及防火墻產品的多樣化,用戶選購防火墻造成了一定的困難。單是硬件防火墻就可分成網關、郵件、前端、后端等許多種,用戶對于自己到底需要什么樣的安全防護并沒有概念,這個時候選擇防火墻就需要非常慎重。
產品本身的安全性
防火墻本身直接暴露在外網訪問之下,所以產品本身的安全性應該是用戶選擇產品時首先要注意的一點。這里所說的產品安全性主要針對產品所采用的系統構架是否完整或者強健、產品是否有過安全漏洞歷史、是否有被拒絕服務攻擊擊潰的歷史等方面。除此之外,產品所支持的認證方式也是值得思忖的問題之一,支持方式較為廣泛、與網內認證措施協同較好的產品無疑具有更高的安全性,而且也可以避免成為整體安全環境中的“短板”。
數據處理性能
防火墻控制的對象是網絡數據,因此數據處理能力是用戶在購買產品前要著重考察的一項。主要的衡量指標包括吞吐量、轉發率、丟包率、緩沖能力和延遲等,通過這些參數的對比可以了解一款硬件防火墻產品的硬件性能。這個時候不能迷信廠家所給出的數據表,多參考第三方評測數據或者別的產品的參數才是上選。
另外,吞吐量的大小主要由防火墻內網卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統進行大量運算,通信量大打折扣。因此在參考數據時也不要迷信絕對數據,算法的不同也會導致吞吐量有很大的差別。
一般來說,對于中小型企業,選擇吞吐量為百兆級的防火墻即可滿足需要,而對于電信、金融、保險等大公司大企業部門就需要采用吞吐量千兆級的防火墻產品。
可管理性
這是考察產品的易用性重要的一項。現在的信息環境相當復雜,如果沒有一個配置合理的管理系統,很容易為日后的使用和制定安全方案種下隱患,同時可管理性差的防火墻產品增加了安全管理員的工作量,也無形中增加了企業人力的成本。
其次,一些大型防火墻面對的是行業用戶,這就對產品的集中管理性能提出了較高的要求,在安全策略的定制與下發、日志的集中管理與分析等方面比較出色的產品不僅避免了大量問題的集中出現,也給企業降低網絡設備成本帶來了便利。
日志記錄能力
所有的安全系統都在遭受著被攻擊的危險,一款日志功能強大的防火墻,記錄的項目比較全面,可以有效的防范日志被竄改,并能利用多種途徑將日志數據定期備份到指定機器等,這些都給企業日后追究攻擊者的法律責任提供了有效的依據。
產品兼容性
現在的企業擁有交換機、路由器等大量網絡設備,防火墻產品與這些設備的兼容性也非常重要,畢竟網絡安全要依賴設計良好功能完整的體系。如果所購買的產品不能與其它設備很好地兼容,不僅造成了大量的資源浪費,也給網絡安全帶來了禍端。
產品的售后及相應服務
動輒就幾萬元的防火墻設備由于技術升級經常會更改配置來配合最新的技術,一個負責任的廠商會提供完整的售后及升級服務,相比其它網絡設備,用戶在購買防火墻時除去設備,最重要的是還購買了相關服務。另外,廠商的資歷和技術實力決定著上述小標題中的各項指標,因此,一個廠家在防火墻行業資歷的高低和口碑的好壞在一定意義上反映了其產品值得購買的程度。
更多附加功能未必好
就像現在的家用路由器一樣,防火墻設備現在也開始擺脫功能千篇一律的現象,路由等附加功能開始被廣泛地提起,擁有這些功能當然給用戶增加了不少方便,但是用戶在選購產品時過分地關注這些功能而忽略防火墻本身的功能無疑是本末倒置。況且,在相同的芯片配置情況下,過多的附加功能會影響產品的處理性能,也會消耗產品的存儲空間,因此選購防火墻設備,還是需求為先。
總結:
企業從事行業的不同會造成對安全的不同需求,了解企業自身安全薄弱環節并選擇產品,不僅僅為企業節約了成本,更是為內部網絡安全上了一把“保險鎖”。在具體的選購過程中,即使是同一個品牌,還應注意將每臺防火墻產品的各項參數指示進行對比,從眾多的型號中選出真正適合自己企業的防火墻。
【編輯推薦】
