局域网监控技术局域网管理之全方位讲解怎样选购合适的硬件防火墙

随着互联网应用的普及和飞速发展，网络安全也成为人们最终担心的一个方面。病毒和黑客攻击作为网络安全的主要隐患，时时刻刻在威胁着进行互联网应用的计算机系统的安全。网络防火墙作为防止黑客入侵的主要手段，也已经成为网络安全建设的必选设备，不仅企事业单位网络需要，时下，就连个人用户防火墙也已成为必备的安全手段，虽然个人用户绝大多数还是采用软件式的个人防火墙产品。本文将要介绍的是在硬件防火墙设备选购时要注意的事项，当然适应用户也主要是企事业单位。目前来说市面上的网络防火墙设备品牌繁多，各种不同档次的产品让人眼花缭乱，使普通用户在购买时无从下手。那么如何选择适应自己企业需要，能达到最大安全效果的防火墙产品呢？

一、品牌是关键

防火墙产品属高科技产品，生产这样的设备不仅需要强大的资金作后盾，而且在技术实力上也需要有强大的保障。选择了好的品牌在一定程度上也就选择了好的技术和服务，对将来的使用更加有保障。所以在选购防火墙产品时千万别贪图一时便宜，选购一些无保障的产品。晓通代理的Nokia在专用的高性能平台上与处于市场领先地位的CheckPoint公司携手开发了VPN－1/FireWall-1专用硬件防火墙，这是业内最强大的防火墙和VPN解决方案之一。同时晓通网络作为诸多国际知名的网络安全产品的代理，积累了相当丰富的经验，这些经验会对晓通代理的Nokia防火墙产品的使用起到触类旁通的积极作用。

二、安全最重要

防火墙本身就是一个用于安全防护的设备，当然其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。因为现在第二代防火墙产品通常不再依靠用户的操作系统，而是采用自已单独开发的操作系统。这个操作系统本身要求没有安全隐患，当然作为普通用户这只能通过品牌来保证。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的，同时，应用系统自身的安全实现也直接影响到整个系统的安全性。

另外在安全策略上，防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的，编程对用户是友好的，还应具备若干可能的过滤属性，如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。只有这样用户才能根据实际需求采取灵活的安全策略保护自己企业网络的安全。另外，防火墙除应包含先进的鉴别措施，还应采用尽量多的先进技术，如包过滤技术、加密技术、可信的信息技术等。如身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术，这些都是防火墙安全系统所必需考虑的。晓通代理的Nokia防火墙使用了专用的IPSO安全操作系统和专门开发的硬件平台，保证了系统平台本身的高度的安全性。在这个平台上，Nokia又集成了CheckPoint、SecoSheild、WebSense等安全产品，能够实现全面的安全。这些产品能够为用户提供安全保证，同时提供又能够提供足够灵活和多变的策略。

三、高效的性能和高可靠性

防火墙是通过对进入的数据进行过滤来识别是否符合安全策略的，所以在流量比较高时，要求防火墙能以最快的速度及时对所有数据包进行检测，否则就可能造成比较的延时，甚至死机。这个指标非常重要，它体现了防火墙的可用性能，也体现了企业用户使用防火墙产品的代价（延时），用户无法接受过高的代价。如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触，有时我们在打开防火墙时上网反应非常慢，而一旦去掉速度就上来了，原因就为因为防火墙过滤速度不够快。如果防火墙对原有网络带宽影响过大，无疑就是对原有投资的巨大浪费。

目前来说防火墙在类型上基本上都实现了从软件到硬件的转换，算法上也有了很大的优化，一部分防火墙的性能完全可以做到对原有网络的性能影响很小了。具体到用户来说，辨别一款防火墙的性能的优劣，主要可以看看权威评测机构或媒体的性能测试结果，这些结果都是以国际标准RFC2544标准来衡量的，主要包括：网络吞吐量、丢包率、延迟、连接数等，其中吞吐量又是重中之重。Nokia IP1260防火墙可以提供高达4.2Gbps的性能，充分满足大型企业或者电信级运营商的需要。同时，Nokia防火墙还支持集群技术，多台Nokia防火墙可以实现动态的负载均衡，这样不仅能够满足大规模网络的应用，同时还能够充分保护用户的投资。

当然在性能方面，对于不同规模的企业有不同的要求，不一定速度越高越好，像有的小型的局域网出口速率不到1M/s，选用100M/s的防火墙就是多余的。对于大、中型企业说就应当高度重视防火墙功能的多样性。否则很可能选购回来的防火墙产品根本不能满足当前或者短时间内的未来需求。质量好的防火墙能够有效地控制通信，能够为不同级别、不同需求的用户提供不同的控制策略。控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出防火墙控制策略的质量。现在大多数的防火墙产品都支持NAT功能，它可以让受防火墙保护一方的IP地址不被暴露。但注意启用NAT后势必会对防火墙系统的性能有所影响。