企业级别的防火墙是保障企业网络安全的第一道门槛。
企业级别的防火墙是保障企业网络安全的第一道门槛。为此选择一个合适的防火墙产品,对于企业来说至关重要。简单的说,选择防火墙需要兼顾安全与性能。在提高企业网络安全的同时,不能够影响网络数据传输大效率以及可用性。具体的说,在2010年笔者以为可以根据如何标准来选购防火墙。
标准一、根据企业规模来选购不同的许可证
许可证跟授权用户类似。企业需要根据自己公司网络的规模,来选择合适的许可证数。如以思科的PIX501防火墙类似,有多个可用的许可证供用户选择。如“10个用户许可证”,其最多支持10个来自内部网络中不同IP地址的并发连接通过防火墙,并同时提供了最多可达32个租约的DCHP服务器的支持。如“50个用户许可证”可以最多支持50个来自内部网络中不同源IP地址的并发连接,还提供了最多可达128个租约的DCHP服务器支持。而“无限个用户许可证”则支持无限个来自内部网络中不同源IP地址的并发连接。这里需要注意,DHCP租约并不是无限个,而是最多支持可达256个租约。
企业在选购的时候,可以根据实际需要来进行选择。这里一般不会发生重复投资的问题。也就是说,以后需要更多用户许可证的话,只需要通过升级就可以增加用户的数量,而不用更换原有的设备。故对于资金比较有限的企业来说,一开始不用选择太多的用户许可证。在需要的时候,再进行增加即可。
标准二、是否需要支持故障切换功能
上帝都有闭眼的时候。防火墙毕竟只是一个机器,由于各种的原因,如自然损害、电压不稳等等都会造成防火墙运行故障。而有些企业对于网络的安全与可用性要求特别高。如一些从事股票交易的金融企业。对于这些企业来说,有必要实现防火墙的自动故障切换功能。简单的说,就是在企业内网与外网的联接口,部署两台或者两台以上的防火墙。当系统检测到某台防火墙出现故障的时候,会自动切换到另外一台没有故障的防火墙上。如此的话,在保障安全的同时也提高了防火墙的可用性。
在选购企业级别的交换机之前,企业网络管理人员需要确认有否这方面的需求。如思科的PIX515E防火墙就支持故障自动切换功能。在这个防火墙的面板上有三个状态LED灯,用于指示系统电源、系统是否处于活动状态、以及在接口上是否有网络数据流量通过等等。如果有两个运行在故障切换模式中的防火墙,则Active等将指示哪个防火墙处于活跃状态,哪个防火墙是处于备用状态的。而同样是思科的产品,PIX506E则没有这个故障自动切换的功能。可见即使是同一个公司的产品,其规格不同,功能上也有很大的差异。
另外需要注意的是,故障切换功能跟许可证多少不一样。故障切换功能是需要通过硬件来实现的。也就是说,现在企业可能不需要这个故障切换功能。以后如果需要的话,那么只有重新购买防火墙,而不能够通过升级来增加这个功能。即可能会造成比较大的重复投资。为此在选购防火墙之前,作为企业网络管理人员来说,需要确认清楚,免得造成不必要的浪费。
标准三、是否需要附加的以太网接口以及需要的数量
有些企业规模比较大,可能需要附加的以太网接口。如对于一个工业园区来说,其内部有5个大型的企业。工业园区的管理部门不可能为每个企业部署一个单独的防火墙。出于节省成本的考虑,会让他们使用同一个防火墙。而为了他们互不干扰,又会通过添加以太网接口的方式,来进行分流。故在选购防火墙的时候,其能够支持的以太网接口的数量也是非常重要的。
在实际工作中,往往需要的接口数量比较难以估计。而且随着后续企业的发展,其也是在不断变化的。另外从成本上考虑,多一个以太网接口,其成本也会高出不少。为此在防火墙设计的时候,往往是采用模块的方式。就好像普通的PC,可以根据需要在主板上插一定数量的网卡。大部分防火墙在设计时也是如此设计的。如思科的525防火墙,其包含三个PCI插糟。网络管理员可以根据需要,再安装6个附加的以太网接口。
为此出于成本的考虑,企业在刚开始的时候,可以不附加以太网接口。等到以后发展到一定规模的时候,再根据需要购买模块来增加以太网接口的数量。最重要的是,这个过程中不需要更换原有的交换机,而只是增加一个模块而已。不过作为企业网络管理员来说,还是需要预估以下,未来可能需要的以太网接口的最大数量。免得到时候以太网数量接口插糟不足而引起的麻烦。
另外如果有多个插糟的话,需要向大家提醒一个细节问题。通常情况下,出于性能的考虑,PCI查找往往被分成不同的总线速度。如假设某个防护墙具有4个插糟,可能前面两个其速度为66,而后面两个插糟其速度只有33。在使用的时候,不要在同一个总线上混合使用速度不同的卡。这会导致所有的速度为66插糟速度降低为33。这是什么意思的?即有两个插糟其总线速度为66,如果分别插了两张卡,速度分别为66和33。那么最后速度为66的卡其实际的速率也就只有33。正确的做法是,宁可让第二个插糟空着,而将速度为33的卡插到第三个插糟中去。这就是“木桶效应”。在实际工作中,网络管理员需要避免犯这个低级错误。
标准四、防火墙的吞吐量
在企业中防火墙就相当于一幢大楼的大门。大门的大小直接决定了在同一时间可以通过的人数。如果大门不够大,当人数一多,就会发生拥塞。对于企业网络来说,如果防火墙的吞吐量不够大的话,就会引起网络的拥塞,从而大大降低企业网络的性能。
在防火墙的标签上,往往会写明其吞吐量。这个吞吐量一边指的就是防火墙处理数据发速度,是理论上的最高速度。为此在选购的时候,这个说明书上的吞吐量只是一个参考值。其实际的吞吐量还跟防火墙的接口速度、连接链路的速度和分组的大小等等。在大部分情况下,防火墙都达不到其理论上的最大速率,如果能够达到8成已经算是不错了。大家在办理网络宽带的时候,可能对方高速你到达你家的速度有2M或者3M。但是你在家里上网的时候,永远也达不到这个速度。这是同样的道理。
为此在选购防火墙的时候,网络管理员需要预估一下所需要的吞吐量。在实际选购的时候,要选购那些比这个需要的吞吐量大一点的防火墙产品。即将防火墙说明书上的吞吐量打一个八折之后,再跟实际的吞吐量进行对比。在其他条件相同的情况下,吞吐量越大,其价格也就越高。
吞吐量不够大的话,会直接影响到网络的性能。特别是某些企业,可能会在防火墙内部部署一些服务器,如Web服务器、FTP服务器、OA服务器等等,供外网的用户访问。此时更加要确保防火墙有足够大的吞吐量。否则的话,通过互联网访问,速度本来就慢。再在防火墙上卡一下的话,反映就会变得更加迟钝了。
网友评论