硬件防火墻選購指南:數據篇
互聯網應用在企業中所占的比例越來越高,同時更多的企業開始關注自己的網絡安全。硬件防火墻選購可以說是最簡單和直接的保護企業網絡安全方式,也被越來越多的企業提上日程。那么本篇文章就通過一些數據指標來詳細談一談如何進行硬件防火墻選購。
一,什么是硬件防火墻:
平時我們都接觸過防火墻,不過很多用戶使用的都是偏軟件的防火墻,通過一些軟件程序實現對系統和網絡的保護。然而相比硬件防火墻而言軟件防火墻在性能和處理能力等方面存在著很大的不同。所謂硬件防火墻就是指把防火墻程序做到芯片里面,由硬件執行這些功能,能減少CPU的負擔,使路由更穩定。
硬件防火墻作為企業安全的屏障所起的作用是巨大的,正是因為防火墻程序和過濾規則的硬件化芯片化,所以硬件防火墻在處理并發數和連接數比較多的情況下優勢更加明顯,平時出現問題的機率也比較低。
二,數據說話——硬件防火墻選購經驗談:
很多企業都面臨硬件防火墻選購,今天筆者就從實際選購出發從數據說話為各位介紹硬件防火墻選購上的一些經驗。
(1)按需選擇原則
首先需要確定的就是選擇防火墻時按照需求去確定各個參數,一般來說企業內網網絡結點數以及會話連接情況決定了硬件防火墻的級別。選擇時依照滿足性能為首的原則,然后適當為日后升級做準備。
在執行按需選擇原則時我們需要就以下幾個方面進行劃定,首先確定企業內網網絡設備數量以及員工計算機數量,通過計算機下連網絡數量來選擇硬件防火墻的級別;其次根據企業網絡流量來決定防火墻接口網絡速度,流量大的需要選擇G級接口,而小型網絡100M的即可滿足實際需求;再次考慮企業網絡的穩定性,說白了就是是否需要提供線路上的冗余,對于多線多路網絡接入來說這點需要額外考慮;最后就是從功能需求上去決定選購型號,一般來說防火墻都應該具備VPN接入的功能,這樣才能夠更好的提供不同權限不同用戶級別的網絡服務,同時諸如IPV6,VOIP等功能的支持要需要根據企業實際需求去選擇。
(2)防火墻硬字當先:
在確定需求后我們就要查看防火墻的自身配置了,首先需要確保的是防火墻必須采用多核處理器的純硬件架構(非X86),這個條件是必須滿足的。為什么這么說呢?因為硬件防火墻區別于低性能低價格的軟件防火墻而言關鍵點就是把防火墻程序做到芯片里面,從而節約了日常處理對CPU的占用。而很多廠商在推薦防火墻時可能選擇的設備是一種“偽硬件”,使用新瓶裝舊酒的策略,將經過優化的軟件防火墻裝到普通臺式機上,再通過封裝改造成所謂的硬件防火墻。這是明顯的掛羊頭賣狗肉。因此在確定防火墻時一定注意他是純粹的硬件防火墻,另外由于在X86下搭建的系統多以Windows為主,而且Windows系統存在先天安全問題。所以在考慮硬件防火墻自身架構時也要盡量不采取X86架構。
采用多核心處理器可以更好的處理并發通訊和高數量的連接,因此防火墻必須采用多核處理器的純硬件架構(非X86)成為選購硬件防火墻的首要原則。
(3)冗余運行穩定當先:
除了硬件防火墻自身“硬”指標外我們還需要關注的是設備運行的冗余性,對于企業來說網絡接入冗余性,電源支持冗余性以及數據的冗余性都非常關鍵。畢竟企業很多業務都運行在網絡上,硬件防火墻一旦出現問題各種安全防范以及網絡接入服務都要受到致命的影響。
因此在選購硬件防火墻時其自身的冗余運行以及穩定性方面的表現也同樣重要,其中網絡接入方面的多接性以及電源支持的冗余性顯得更加重要。
(4)連接會話做足文章:
除了上面兩個因素需要考慮外防火墻自身的網絡性能也需要考慮在內,具體包括防火墻的吞吐量以及并發連接數連各個參數。對于具備10000個下連網絡節點的企業內網來說應該保證硬件防火墻滿足下面幾個要求——
吞吐量 ≥7.9G bps
吞吐量(小包) ≥2900 M bps
最大并發連接數 ≥4,900,000
每秒新建連接數 ≥190,000
小提示:
什么是吞吐量——吞吐量是在一個給定的時間段內設備能夠傳輸的數據量,使用Mb/s進行度量。吞吐量的大小主要由防火墻內網卡及程序算法的效率決定,尤其是程序算法,會使防火墻系統進行大量運算,通信量大打折扣。因此大多數防火墻雖號稱100M防火墻,由于其算法依靠軟件實現,通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達到線性90-95M,這樣才算是真正的100M防火墻。
網絡中的數據是由一個個數據包組成,防火墻對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數據包數量。這是測量防火墻性能的重要指標。如果企業實際下連節點不是萬個級別的話,我們可以適當的將上面提到的幾個參數進行縮減。吞吐量決定硬件防火墻處理數據的能力,而連接數的多少決定了防火墻自身的性能。
三,硬件防火墻選購總結:
由于篇幅關系筆者在本文中針對硬件防火墻選購方面介紹了幾點經驗,通過確定硬件防火墻核心是否真的“硬”,連接會話吞吐量實際情況以及性能硬件環節的冗余功能等方面下手,讓我們選購的硬件防火墻可以真正的為我們企業高效服務。
【編輯推薦】
