安全永遠是CIO的一個心病，而選擇一款合適的防火墻則無疑是治療這個心病的一大良藥。筆者在防火墻選型這方面也花過不少的功夫，今天就跟大家討論一下硬件防火墻的六個指標(biāo)。下面將由學(xué)習(xí)啦小編帶大家來解答這個疑問吧，希望對大家有所收獲!

　　硬件防火墻的六大指標(biāo)

　　一、網(wǎng)絡(luò)吞吐量。

　　當(dāng)CIO在企業(yè)中部署了企業(yè)級別的防火墻之后，企業(yè)進出互聯(lián)網(wǎng)的所有通信流量都要通過防火墻，故對于防火墻的吞吐量就有比較高的要求。以前有些企業(yè)是通過ADSL撥號上網(wǎng)的，這時由于帶寬的限制，可能防火墻還可以應(yīng)付?？墒乾F(xiàn)在大部分企業(yè)可能已經(jīng)都采用了光纖接入，帶寬本來就很大。此時就給防火墻帶來了一定的壓力。

　　因為防火墻是通過對進入與出去的數(shù)據(jù)進行過濾來識別是否符合安全策略的，所以在流量比較高時，要求防火墻能以最快的速度及時對所有數(shù)據(jù)包進行檢測。否則就可能造成比較長的延時，甚至發(fā)生死機。所以網(wǎng)絡(luò)吞吐量指標(biāo)非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的延時代價。如果防火墻對網(wǎng)絡(luò)造成較大的延時，給用戶造成較大的損失。這一點上筆者是深有感觸。筆者企業(yè)很早以前就部署了企業(yè)級別的防火墻。后來公司網(wǎng)絡(luò)進行升級改造，實現(xiàn)了光纖接入。可是升級改造后，筆者發(fā)現(xiàn)可用帶寬不到預(yù)計帶寬的一半。一開始筆者懷疑是光纖問題。叫對方技術(shù)人員過來，他們測試光纖的傳輸沒有問題，帶寬達到預(yù)計的標(biāo)準(zhǔn)。那筆者就感到困惑了?是什么原因吞噬了企業(yè)寶貴的帶寬呢?經(jīng)過一番查找，最終發(fā)現(xiàn)原來是哪個防火墻在作怪。原來這個防火墻采購比較早，其網(wǎng)絡(luò)吞吐量只有10M。難怪采用光纖接入后達不到預(yù)計的要求。為此筆者不得不重新選擇了一款高性能的防火墻，其網(wǎng)絡(luò)吞吐量達到100M。就的防火墻筆者就用來進行內(nèi)部的隔離。故如果企業(yè)采用了防火墻之后，對可用帶寬造成了很大的影響，那無疑是一種大大的浪費。

　　所以筆者認(rèn)為，CIO在選購防火墻的時候第一個要看的指標(biāo)就是防火墻的吞吐量。當(dāng)然，這個吞吐量也不是越大越好。因為吞吐量越大的話，防火墻的價格也就越高。CIO要根據(jù)企業(yè)的實際情況，如現(xiàn)在接入互聯(lián)網(wǎng)的帶寬等因素，來選擇的合適的帶寬。當(dāng)然如果企業(yè)資金充裕，CIO有錢沒處花的話，那么吞吐量當(dāng)然是越大越好。吞吐量一個基本的原則就是至少要跟企業(yè)現(xiàn)有的互聯(lián)網(wǎng)接入帶寬相當(dāng)。

　　二、協(xié)議的優(yōu)先級。

　　筆者企業(yè)現(xiàn)在已經(jīng)實現(xiàn)了網(wǎng)絡(luò)會議視頻。各個分公司與總公司之間可以通過網(wǎng)絡(luò)開視頻會議，而不用再像以前那樣趕來趕去開會。不過這個視頻會議需要占用不少的帶寬。以前每次啟用這個視頻會議，其他用戶都會感受到網(wǎng)絡(luò)速度明顯的變慢。而且有時候網(wǎng)絡(luò)視頻也會有一卡一卡的現(xiàn)象。有時候筆者得把其他用戶的外網(wǎng)斷掉，這一卡一卡的現(xiàn)象就得到了改善。但是每次這么處理很是麻煩。為了改善這個情況，筆者在選擇防火墻的時候特別關(guān)注防火墻是否有協(xié)議優(yōu)先級的管理。也就是說，當(dāng)視頻會議系統(tǒng)啟動時，企業(yè)網(wǎng)絡(luò)帶寬的使用率可能會比較高。這就好像現(xiàn)在的下班高峰一樣，路上車堵了，那么車速難免就會慢下來。但是如果這是一輛救護車，那么其就有優(yōu)先通過的權(quán)力。其他車輛都必須為其讓道。筆者也希望能夠?qū)崿F(xiàn)類似的控制。還好，現(xiàn)在這款防火墻沒有讓筆者失望。在這款防火墻中，有協(xié)議優(yōu)先級的功能，可以把語音流等關(guān)鍵業(yè)務(wù)的數(shù)據(jù)流量設(shè)置為比較高的優(yōu)先級別。當(dāng)企業(yè)的網(wǎng)絡(luò)中出現(xiàn)擁塞時，將優(yōu)先保證這些優(yōu)先級別高的流量的通過。經(jīng)過這個設(shè)置之后，以后開起視頻會議的時候，就不用在手工的去關(guān)閉其他用戶的網(wǎng)絡(luò)。防火墻會自動根據(jù)企業(yè)網(wǎng)絡(luò)狀況來調(diào)整通信流量的優(yōu)先級別，保證視頻等通信流量具有優(yōu)先通過的權(quán)力。

　　故筆者建議的第二個指標(biāo)就是這個協(xié)議的優(yōu)先性?，F(xiàn)在視頻應(yīng)用在企業(yè)中使用是越來越廣泛。如視頻會議系統(tǒng)、語音電話等等在企業(yè)中都很普及。而這些應(yīng)用都會占用企業(yè)比較大的帶寬。如果企業(yè)帶寬跟不上的話，這些應(yīng)用的質(zhì)量將會受到很大的影響，如通話的質(zhì)量可能會時斷時續(xù)。就好像手機信號差一樣。雖然可以通過提高互聯(lián)網(wǎng)的接入速度來改善這種情況，但是這不是首選方案。因為增加帶寬需要企業(yè)花費比較大的投資。故筆者認(rèn)為最理想的解決方案是對企業(yè)的通信流量進行管理。通過防火墻把一些關(guān)鍵應(yīng)用的流量設(shè)置為比較高的優(yōu)先級。在網(wǎng)絡(luò)傳輸中，要首先保障這些通信流量能夠優(yōu)先通過。這就可以明顯改善語音通話等視頻應(yīng)用的效果。

　　另外這還可以用來約束員工的網(wǎng)絡(luò)行為。如有些員工喜歡利用emule等工具下載電影。但是這些工具的話會占用很大的帶寬，因為他們在從網(wǎng)絡(luò)上下載的同時，也提供別人進行下載。故耗用的帶寬比較多。如果一味的限制他們，也不怎么人情化。如果把這些通信流量設(shè)置為比較低的級別，當(dāng)網(wǎng)絡(luò)比較繁忙的時候，這些通信流量占用的帶寬將不斷降低，只到為零。如此的話，這些通信流量對企業(yè)其他正常網(wǎng)絡(luò)應(yīng)用的影響將會降至到最低。

　　故筆者建議CIO在防火墻選型時第二個需要考慮的就是協(xié)議的優(yōu)先級管理。特別是企業(yè)有語音電話、視頻會議系統(tǒng)這些高級網(wǎng)絡(luò)應(yīng)用的話，則這個協(xié)議的優(yōu)先級管理功能就更加的重要。

　　三、具有一定的擴展性。

　　企業(yè)的網(wǎng)絡(luò)不可能永遠的一成不變。隨著企業(yè)規(guī)模的擴大，公司內(nèi)部的網(wǎng)絡(luò)會不斷的升級，以符合企業(yè)日益發(fā)展的需要。如企業(yè)現(xiàn)在可能只是一個公司，但是隨著規(guī)模的壯大可能會在各地開立分公司或者辦事處。此時就遇到一個問題，如何把各地的分公司的網(wǎng)絡(luò)與總公司的網(wǎng)絡(luò)連接起來。為此通過來連接無疑是一個不錯的方案。但是此時CIO就遇到了一個問題，現(xiàn)有的防火墻能否支持技術(shù)呢?企業(yè)很有可能以前在選購防火墻的時候沒有注意到這個問題。那么后來網(wǎng)絡(luò)升級后，CIO就會變得跟被動了。

　　所以CIO在選型購防火墻時第三個要考慮的指標(biāo)就是防火墻的擴展性?，F(xiàn)在企業(yè)可能不需要某個功能，如功能。在購買防火墻時購買不需要用到的模塊也是一種浪費。但是防火墻要能夠保證在以后企業(yè)用的著的時候，能夠順利進行擴展，而不需要重新購買。在這個擴展性問題上，筆者認(rèn)為CIO可以從幾個方面來考慮。

　　一是為了后續(xù)擴展的需要，最好能夠購買那些模塊化設(shè)計的防火墻。如此的話，后續(xù)增添其他功能的話，只需要購買模塊即可。而不需要更換整個硬件防火墻。也就是說CIO選擇的硬件防火墻系統(tǒng)最好是一個可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的型包過濾器，最終到一個獨立的應(yīng)用網(wǎng)關(guān)的等等。只有如此，才能讓CIO輕松面對企業(yè)信息化應(yīng)用的升級。

　　二是考慮網(wǎng)絡(luò)接口的問題。通常情況下防火墻最基本的配置有兩個網(wǎng)絡(luò)接口：內(nèi)部的和外部的網(wǎng)絡(luò)接口。這些接口對應(yīng)著訪問網(wǎng)絡(luò)的信任程度。其中外部網(wǎng)絡(luò)接口連接的是不可信賴的網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)接口連接的是得到信任的網(wǎng)絡(luò)。在內(nèi)部網(wǎng)部署時，連接到外部的接口可能需要和公司的主要部分連接，這時可能比外部網(wǎng)絡(luò)的信任度高，但又稍微低于內(nèi)部網(wǎng)絡(luò)的信任度。但是隨著公司因特網(wǎng)商業(yè)需求的復(fù)雜化，只有兩個接口的防火墻明顯具有局限性，可能無法滿足企業(yè)業(yè)務(wù)方面的需求。如企業(yè)可能出于安全的需要，以后很有可能要用到第三個接口DMZ接口。為此為了以后信息化應(yīng)用升級的考慮，CIO在防火墻選購時，還需要關(guān)注是否有足夠豐富的接口;或者考慮以后是否可以通過模塊的形式來增加可用的接口。