為此選購防火墻還是很重要的，對于企業(yè)來說夜是至關(guān)重要的。簡單的說，選擇防火墻需要兼顧安全和性能。在提高企業(yè)網(wǎng)絡(luò)安全的同時，也需要不夠響網(wǎng)絡(luò)數(shù)據(jù)傳輸大效率以及可用性。具體的說，在2010年筆者以為可以根據(jù)如何標準來選購防火墻。

標準一、根據(jù)企業(yè)規(guī)模來選購不同的許可證

許可證跟授權(quán)用戶類似。企業(yè)需要根據(jù)自己公司網(wǎng)絡(luò)的規(guī)模，來選擇合適的許可證數(shù)。如以思科的PIX501防火墻類似，有多個可用的許可證供用戶選擇。如“10個用戶許可證”，其最多支持10個來自內(nèi)部網(wǎng)絡(luò)中不同IP地址的并發(fā)連接通過防火墻，并同時提供了最多可達32個租約的DCHP服務(wù)器的支持。如“50個用戶許可證”可以最多支持50個來自內(nèi)部網(wǎng)絡(luò)中不同源IP地址的并發(fā)連接，還提供了最多可達128個租約的DCHP服務(wù)器支持。而“無限個用戶許可證”則支持無限個來自內(nèi)部網(wǎng)絡(luò)中不同源IP地址的并發(fā)連接。這里需要注意，DHCP租約并不是無限個，而是最多支持可達256個租約。

企業(yè)在選購的時候，可以根據(jù)實際需要來進行選擇。這里一般不會發(fā)生重復投資的問題。也就是說，以后需要更多用戶許可證的話，只需要通過升級就可以增加用戶的數(shù)量，而不用更換原有的設(shè)備。故對于資金比較有限的企業(yè)來說，一開始不用選擇太多的用戶許可證。在需要的時候，再進行增加即可。

標準二、是否需要支持故障切換功能

上帝都有閉眼的時候。防火墻畢竟只是一個機器，由于各種的原因，如自然損害、電壓不穩(wěn)等等都會造成防火墻運行故障。而有些企業(yè)對于網(wǎng)絡(luò)的安全與可用性要求特別高。如一些從事股票交易的金融企業(yè)。 對于這些企業(yè)來說，有必要實現(xiàn)防火墻的自動故障切換功能。簡單的說，就是在企業(yè)內(nèi)網(wǎng)與外網(wǎng)的聯(lián)接口，部署兩臺或者兩臺以上的防火墻。當系統(tǒng)檢測到某臺防火墻出現(xiàn)故障的時候，會自動切換到另外一臺沒有故障的防火墻上。如此的話，在保障安全的同時也提高了防火墻的可用性。

在選購企業(yè)級別的交換機之前，企業(yè)網(wǎng)絡(luò)管理人員需要確認有否這方面的需求。如思科的PIX515E防火墻就支持故障自動切換功能。在這個防火墻的面板上有三個狀態(tài)LED燈，用于指示系統(tǒng)電源、系統(tǒng)是否處于活動狀態(tài)、以及在接口上是否有網(wǎng)絡(luò)數(shù)據(jù)流量通過等等。如果有兩個運行在故障切換模式中的防火墻，則Active等將指示哪個防火墻處于活躍狀態(tài)，哪個防火墻是處于備用狀態(tài)的。而同樣是思科的產(chǎn)品，PIX506E則沒有這個故障自動切換的功能。可見即使是同一個公司的產(chǎn)品，其規(guī)格不同，功能上也有很大的差異。

另外需要注意的是，故障切換功能跟許可證多少不一樣。故障切換功能是需要通過硬件來實現(xiàn)的。也就是說，現(xiàn)在企業(yè)可能不需要這個故障切換功能。以后如果需要的話，那么只有重新購買防火墻，而不能夠通過升級來增加這個功能。即可能會造成比較大的重復投資。為此在選購防火墻之前，作為企業(yè)網(wǎng)絡(luò)管理人員來說，需要確認清楚，免得造成不必要的浪費。

標準三、是否需要附加的以太網(wǎng)接口以及需要的數(shù)量?

有些企業(yè)規(guī)模比較大，可能需要附加的以太網(wǎng)接口。如對于一個工業(yè)園區(qū)來說，其內(nèi)部有5個大型的企業(yè)。工業(yè)園區(qū)的管理部門不可能為每個企業(yè)部署一個單獨的防火墻。出于節(jié)省成本的考慮，會讓他們使用同一個防火墻。而為了他們互不干擾，又會通過添加以太網(wǎng)接口的方式，來進行分流。故在選購防火墻的時候，其能夠支持的以太網(wǎng)接口的數(shù)量也是非常重要的。

在實際工作中，往往需要的接口數(shù)量比較難以估計。而且隨著后續(xù)企業(yè)的發(fā)展，其也是在不斷變化的。另外從成本上考慮，多一個以太網(wǎng)接口，其成本也會高出不少。為此在防火墻設(shè)計的時候，往往是采用模塊的方式。就好像普通的PC，可以根據(jù)需要在主板上插一定數(shù)量的網(wǎng)卡。大部分防火墻在設(shè)計時也是如此設(shè)計的。如思科的525防火墻，其包含三個PCI插糟。網(wǎng)絡(luò)管理員可以根據(jù)需要，再安裝6個附加的以太網(wǎng)接口。

為此出于成本的考慮，企業(yè)在剛開始的時候，可以不附加以太網(wǎng)接口。等到以后發(fā)展到一定規(guī)模的時候，再根據(jù)需要購買模塊來增加以太網(wǎng)接口的數(shù)量。最重要的是，這個過程中不需要更換原有的交換機，而只是增加一個模塊而已。不過作為企業(yè)網(wǎng)絡(luò)管理員來說，還是需要預估以下，未來可能需要的以太網(wǎng)接口的最大數(shù)量。免得到時候以太網(wǎng)數(shù)量接口插糟不足而引起的麻煩。

另外如果有多個插糟的話，需要向大家提醒一個細節(jié)問題。通常情況下，出于性能的考慮，PCI查找往往被分成不同的總線速度。如假設(shè)某個防護墻具有4個插糟，可能前面兩個其速度為66，而后面兩個插糟其速度只有33。在使用的時候，不要在同一個總線上混合使用速度不同的卡。這會導致所有的速度為66插糟速度降低為33。這是什么意思的?即有兩個插糟其總線速度為66，如果分別插了兩張卡，速度分別為66和33。那么最后速度為66的卡其實際的速率也就只有33。正確的做法是，寧可讓第二個插糟空著，而將速度為33的卡插到第三個插糟中去。這就是“木桶效應(yīng)”。在實際工作中，網(wǎng)絡(luò)管理員需要避免犯這個低級錯誤。

標準四、防火墻的吞吐量

在企業(yè)中防火墻就相當于一幢大樓的大門。大門的大小直接決定了在同一時間可以通過的人數(shù)。如果大門不夠大，當人數(shù)一多，就會發(fā)生擁塞。對于企業(yè)網(wǎng)絡(luò)來說，如果防火墻的吞吐量不夠大的話，就會引起網(wǎng)絡(luò)的擁塞，從而大大降低企業(yè)網(wǎng)絡(luò)的性能。

在防火墻的標簽上，往往會寫明其吞吐量。這個吞吐量一邊指的就是防火墻處理數(shù)據(jù)發(fā)速度，是理論上的最高速度。為此在選購的時候，這個說明書上的吞吐量只是一個參考值。其實際的吞吐量還跟防火墻的接口速度、連接鏈路的速度和分組的大小等等。在大部分情況下，防火墻都達不到其理論上的最大速率，如果能夠達到8成已經(jīng)算是不錯了。大家在辦理網(wǎng)絡(luò)寬帶的時候，可能對方高速你到達你家的速度有2M或者3M。但是你在家里上網(wǎng)的時候，永遠也達不到這個速度。這是同樣的道理。

為此在選購防火墻的時候，網(wǎng)絡(luò)管理員需要預估一下所需要的吞吐量。在實際選購的時候，要選購那些比這個需要的吞吐量大一點的防火墻產(chǎn)品。即將防火墻說明書上的吞吐量打一個八折之后，再跟實際的吞吐量進行對比。在其他條件相同的情況下，吞吐量越大，其價格也就越高。

吞吐量不夠大的話，會直接影響到網(wǎng)絡(luò)的性能。特別是某些企業(yè)，可能會在防火墻內(nèi)部部署一些服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、OA服務(wù)器等等，供外網(wǎng)的用戶訪問。此時更加要確保防火墻有足夠大的吞吐量。否則的話，通過互聯(lián)網(wǎng)訪問，速度本來就慢。再在防火墻上卡一下的話，反映就會變得更加遲鈍了。

【編輯推薦】

1. Linux系統(tǒng)防火墻配置實戰(zhàn)演示
2. 寬帶ADSL貓防火墻配置實戰(zhàn)級
3. Linux網(wǎng)絡(luò)防火墻的實現(xiàn)并不難！
4. 軟件防火墻故障發(fā)現(xiàn)與排除很簡單！
5. 安全防護之防火墻防止Windows藍屏攻擊不用怕！