如何选择硬件防火墙.docx

如何选择硬件防火墙防火墙是目前使用最为广泛的网络安全产品之一，用户在选购时应该注意以下几点：1、防火墙架构的选择目前主流防火墙在硬件架构存在着三大架要构，1传统的X86架构，2专用集成电路(ASIC)技术架构，3专用多核网络处理架构。国内多数安全厂商的产品基于传统的X86架构防火墙，该架构开发简单，功能丰富，但是其PCI总线速率的限制以及中断的传输机制导致其吞吐只能达到百兆级别且在网络流量小包居多时性能下降非常严重。基于ASIC架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，不经过主CPU处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能，如：路由、NAT、防火墙规则匹配等。这也是防火墙的吞吐一举从百兆级别上升到千兆级别。但随之而来的问题是，ASIC架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。无法在芯片一级完成垃圾邮件过滤、网络监控、病毒防护等比较复杂的功能。采用多核处理器架构的防火墙，是在同一个硅晶片上集成了多个独立物理核心，每个核心都具有独立的逻辑结构，包括缓存、执行单元、指令级单元和总线接口等逻辑单元，通过高速总线、内存共享进行通信。在实际工作中，每个核心都可以达到1Ghz的主频，而且可以在非常节能的方式下运行。有的多核产品支持500万并发会话64Byte吞吐量达到3G，256Byte以上吞吐达到8G，VPN吞吐达到8G，支持3万VPN通道，支持5万Policy。每秒新建TCP会话超过20万，每秒处理UDP会话超过50万。在每秒创建5000TCP会话作为背景流量，可以检测并防御80万包/每秒以上的SYN-FLOOD攻击，更是达到了万兆线速。一系列的性能测试结果足以傲视众多安全平台。2、防火墙自身的安全性防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。另外产品是否有过安全漏洞历史、是否有被拒绝服务攻击击溃的历史等方面也是值得参考的。3、系统的稳定性目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断：从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。实际调查，这是最有效的办法：考察这种防火墙是否已经有了使用单位、其用户量如何，特别是用户们对于该防火墙的评价。自己试用。在自己的网络上进行一段时间的试用（一个月左右）。产品是厂商自己研发还是OEM别的厂家的产品，如果是OEM的，后续产品的更新，bug的解决都会受到很大限制；如果是自己研发，那么技术团队的背景很重要，是否有多年的研发经验、是否有过成功的产品。4、高效性高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，如网络延时增大，出现掉包等现象，就意味着安全代价过高。5、是否可靠可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性（例如MTBF值）和增加冗余部件（是否支持双机热备或者当设备的CPU其中某个核出现问题时其他核是否能接替其工作），这要求有较高的生产标准和设计冗余度。6、是否功能灵活对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。例如对普通用户，只要对IP地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。7、是否管理简便网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。8、是否可以抵抗拒绝服务攻击在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火墙的主要功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。9、数据处理性能防火墙控制的对象是网络数据，因此数据处理能力是用户在购买产品前要着重考察的一项。主要的衡量指标包括吞吐量、转发率、丢包率、缓冲能力和延迟等，通过这些参数的对比可以了解一款硬件防火墙产品的硬件性能。这个时候不能迷信厂家所给出的数据表，多参考第三方评测数据或者别的产品的参数才是上选。另外，吞吐量的大小主要由防火墙内网卡，及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此在参考数据时也不要迷信绝对数据，算法的不同也会导致吞吐量有很大的差别。如果没有专业的性能测试设备，可以通过设备在不同流量下的资源利用率（如CPU利用率）来判断该防火墙的性能，还有在增加各种策略时防火墙资源利用率的变化也是我们需要考虑的一个方面，比如开启了流控，或者一条规则与上百上千条规则时防火墙资源利用率的变化。另外对于防火墙性能的选择我们还需要考虑到今后几年网络与带宽的变化。10、日志记录能力所有的安全系统都在遭受着被攻击的危险，一款日志功能强大的防火墙，记录的项目比较全面，可以有效的防范日志被窜改，并能利用多种途径将日志数据定期备份到指定机器等，这些都给企业日后追究攻击者的法律责任提供了有效的依据。11、功能的选择一个防火墙不是功能越多越好，而是看你需要什么功能，而你需要的这些功能，该防火墙是否支持，实现效果是否理想。12、是否可扩展、可升级用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。二、新邦物流目前需求1、网络攻击防护；数据中心为整个信息化处理中央中枢，一量遭受攻击将直接影响整个业务系统的正常运行，损失不可以估量。2、病毒防护：做为整个业务的核心位置，后台运行着数据库服务器，其一旦感染来自互联网的病毒，将造成数据丢失，篡改，异常；不但会影响业务运行，同时会涉及到法律问题。3ISP路由需求：新邦公司的业务已遍布全国大江南北，超过500多个营业网点，7000余人，业务量为海量级；而由于中国电信、中国联通等运营商在互访时相互做了大量访问流量限制，间接影响到新邦物流订单，业务处理的速度和质量。4、多链路冗余：为保障业务可靠性，通畅性，高效性。新邦