安全永遠(yuǎn)是CIO的一個(gè)心病，而選擇一款合適的防火墻則無疑是治療這個(gè)心病的一大良藥。筆者在防火墻選型這方面也花過不少的功夫，今天就跟大家討論一下硬件防火墻的六個(gè)指標(biāo)。下面將由學(xué)習(xí)啦小編帶大家來解答這個(gè)疑問吧，希望對(duì)大家有所收獲!

　　硬件防火墻的六大指標(biāo)

　　一、網(wǎng)絡(luò)吞吐量。

　　當(dāng)CIO在企業(yè)中部署了企業(yè)級(jí)別的防火墻之后，企業(yè)進(jìn)出互聯(lián)網(wǎng)的所有通信流量都要通過防火墻，故對(duì)于防火墻的吞吐量就有比較高的要求。以前有些企業(yè)是通過ADSL撥號(hào)上網(wǎng)的，這時(shí)由于帶寬的限制，可能防火墻還可以應(yīng)付?？墒乾F(xiàn)在大部分企業(yè)可能已經(jīng)都采用了光纖接入，帶寬本來就很大。此時(shí)就給防火墻帶來了一定的壓力。

　　因?yàn)榉阑饓κ峭ㄟ^對(duì)進(jìn)入與出去的數(shù)據(jù)進(jìn)行過濾來識(shí)別是否符合安全策略的，所以在流量比較高時(shí)，要求防火墻能以最快的速度及時(shí)對(duì)所有數(shù)據(jù)包進(jìn)行檢測。否則就可能造成比較長的延時(shí)，甚至發(fā)生死機(jī)。所以網(wǎng)絡(luò)吞吐量指標(biāo)非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的延時(shí)代價(jià)。如果防火墻對(duì)網(wǎng)絡(luò)造成較大的延時(shí)，給用戶造成較大的損失。這一點(diǎn)上筆者是深有感觸。筆者企業(yè)很早以前就部署了企業(yè)級(jí)別的防火墻。后來公司網(wǎng)絡(luò)進(jìn)行升級(jí)改造，實(shí)現(xiàn)了光纖接入?？墒巧?jí)改造后，筆者發(fā)現(xiàn)可用帶寬不到預(yù)計(jì)帶寬的一半。一開始筆者懷疑是光纖問題。叫對(duì)方技術(shù)人員過來，他們測試光纖的傳輸沒有問題，帶寬達(dá)到預(yù)計(jì)的標(biāo)準(zhǔn)。那筆者就感到困惑了?是什么原因吞噬了企業(yè)寶貴的帶寬呢?經(jīng)過一番查找，最終發(fā)現(xiàn)原來是哪個(gè)防火墻在作怪。原來這個(gè)防火墻采購比較早，其網(wǎng)絡(luò)吞吐量只有10M。難怪采用光纖接入后達(dá)不到預(yù)計(jì)的要求。為此筆者不得不重新選擇了一款高性能的防火墻，其網(wǎng)絡(luò)吞吐量達(dá)到100M。就的防火墻筆者就用來進(jìn)行內(nèi)部的隔離。故如果企業(yè)采用了防火墻之后，對(duì)可用帶寬造成了很大的影響，那無疑是一種大大的浪費(fèi)。

　　所以筆者認(rèn)為，CIO在選購防火墻的時(shí)候第一個(gè)要看的指標(biāo)就是防火墻的吞吐量。當(dāng)然，這個(gè)吞吐量也不是越大越好。因?yàn)橥掏铝吭酱蟮脑?，防火墻的價(jià)格也就越高。CIO要根據(jù)企業(yè)的實(shí)際情況，如現(xiàn)在接入互聯(lián)網(wǎng)的帶寬等因素，來選擇的合適的帶寬。當(dāng)然如果企業(yè)資金充裕，CIO有錢沒處花的話，那么吞吐量當(dāng)然是越大越好。吞吐量一個(gè)基本的原則就是至少要跟企業(yè)現(xiàn)有的互聯(lián)網(wǎng)接入帶寬相當(dāng)。

　　二、協(xié)議的優(yōu)先級(jí)。

　　筆者企業(yè)現(xiàn)在已經(jīng)實(shí)現(xiàn)了網(wǎng)絡(luò)會(huì)議視頻。各個(gè)分公司與總公司之間可以通過網(wǎng)絡(luò)開視頻會(huì)議，而不用再像以前那樣趕來趕去開會(huì)。不過這個(gè)視頻會(huì)議需要占用不少的帶寬。以前每次啟用這個(gè)視頻會(huì)議，其他用戶都會(huì)感受到網(wǎng)絡(luò)速度明顯的變慢。而且有時(shí)候網(wǎng)絡(luò)視頻也會(huì)有一卡一卡的現(xiàn)象。有時(shí)候筆者得把其他用戶的外網(wǎng)斷掉，這一卡一卡的現(xiàn)象就得到了改善。但是每次這么處理很是麻煩。為了改善這個(gè)情況，筆者在選擇防火墻的時(shí)候特別關(guān)注防火墻是否有協(xié)議優(yōu)先級(jí)的管理。也就是說，當(dāng)視頻會(huì)議系統(tǒng)啟動(dòng)時(shí)，企業(yè)網(wǎng)絡(luò)帶寬的使用率可能會(huì)比較高。這就好像現(xiàn)在的下班高峰一樣，路上車堵了，那么車速難免就會(huì)慢下來。但是如果這是一輛救護(hù)車，那么其就有優(yōu)先通過的權(quán)力。其他車輛都必須為其讓道。筆者也希望能夠?qū)崿F(xiàn)類似的控制。還好，現(xiàn)在這款防火墻沒有讓筆者失望。在這款防火墻中，有協(xié)議優(yōu)先級(jí)的功能，可以把語音流等關(guān)鍵業(yè)務(wù)的數(shù)據(jù)流量設(shè)置為比較高的優(yōu)先級(jí)別。當(dāng)企業(yè)的網(wǎng)絡(luò)中出現(xiàn)擁塞時(shí)，將優(yōu)先保證這些優(yōu)先級(jí)別高的流量的通過。經(jīng)過這個(gè)設(shè)置之后，以后開起視頻會(huì)議的時(shí)候，就不用在手工的去關(guān)閉其他用戶的網(wǎng)絡(luò)。防火墻會(huì)自動(dòng)根據(jù)企業(yè)網(wǎng)絡(luò)狀況來調(diào)整通信流量的優(yōu)先級(jí)別，保證視頻等通信流量具有優(yōu)先通過的權(quán)力。

　　故筆者建議的第二個(gè)指標(biāo)就是這個(gè)協(xié)議的優(yōu)先性。現(xiàn)在視頻應(yīng)用在企業(yè)中使用是越來越廣泛。如視頻會(huì)議系統(tǒng)、語音電話等等在企業(yè)中都很普及。而這些應(yīng)用都會(huì)占用企業(yè)比較大的帶寬。如果企業(yè)帶寬跟不上的話，這些應(yīng)用的質(zhì)量將會(huì)受到很大的影響，如通話的質(zhì)量可能會(huì)時(shí)斷時(shí)續(xù)。就好像手機(jī)信號(hào)差一樣。雖然可以通過提高互聯(lián)網(wǎng)的接入速度來改善這種情況，但是這不是首選方案。因?yàn)樵黾訋捫枰髽I(yè)花費(fèi)比較大的投資。故筆者認(rèn)為最理想的解決方案是對(duì)企業(yè)的通信流量進(jìn)行管理。通過防火墻把一些關(guān)鍵應(yīng)用的流量設(shè)置為比較高的優(yōu)先級(jí)。在網(wǎng)絡(luò)傳輸中，要首先保障這些通信流量能夠優(yōu)先通過。這就可以明顯改善語音通話等視頻應(yīng)用的效果。

　　另外這還可以用來約束員工的網(wǎng)絡(luò)行為。如有些員工喜歡利用emule等工具下載電影。但是這些工具的話會(huì)占用很大的帶寬，因?yàn)樗麄冊趶木W(wǎng)絡(luò)上下載的同時(shí)，也提供別人進(jìn)行下載。故耗用的帶寬比較多。如果一味的限制他們，也不怎么人情化。如果把這些通信流量設(shè)置為比較低的級(jí)別，當(dāng)網(wǎng)絡(luò)比較繁忙的時(shí)候，這些通信流量占用的帶寬將不斷降低，只到為零。如此的話，這些通信流量對(duì)企業(yè)其他正常網(wǎng)絡(luò)應(yīng)用的影響將會(huì)降至到最低。

　　故筆者建議CIO在防火墻選型時(shí)第二個(gè)需要考慮的就是協(xié)議的優(yōu)先級(jí)管理。特別是企業(yè)有語音電話、視頻會(huì)議系統(tǒng)這些高級(jí)網(wǎng)絡(luò)應(yīng)用的話，則這個(gè)協(xié)議的優(yōu)先級(jí)管理功能就更加的重要。

　　三、具有一定的擴(kuò)展性。

　　企業(yè)的網(wǎng)絡(luò)不可能永遠(yuǎn)的一成不變。隨著企業(yè)規(guī)模的擴(kuò)大，公司內(nèi)部的網(wǎng)絡(luò)會(huì)不斷的升級(jí)，以符合企業(yè)日益發(fā)展的需要。如企業(yè)現(xiàn)在可能只是一個(gè)公司，但是隨著規(guī)模的壯大可能會(huì)在各地開立分公司或者辦事處。此時(shí)就遇到一個(gè)問題，如何把各地的分公司的網(wǎng)絡(luò)與總公司的網(wǎng)絡(luò)連接起來。為此通過來連接無疑是一個(gè)不錯(cuò)的方案。但是此時(shí)CIO就遇到了一個(gè)問題，現(xiàn)有的防火墻能否支持技術(shù)呢?企業(yè)很有可能以前在選購防火墻的時(shí)候沒有注意到這個(gè)問題。那么后來網(wǎng)絡(luò)升級(jí)后，CIO就會(huì)變得跟被動(dòng)了。

　　所以CIO在選型購防火墻時(shí)第三個(gè)要考慮的指標(biāo)就是防火墻的擴(kuò)展性。現(xiàn)在企業(yè)可能不需要某個(gè)功能，如功能。在購買防火墻時(shí)購買不需要用到的模塊也是一種浪費(fèi)。但是防火墻要能夠保證在以后企業(yè)用的著的時(shí)候，能夠順利進(jìn)行擴(kuò)展，而不需要重新購買。在這個(gè)擴(kuò)展性問題上，筆者認(rèn)為CIO可以從幾個(gè)方面來考慮。

　　一是為了后續(xù)擴(kuò)展的需要，最好能夠購買那些模塊化設(shè)計(jì)的防火墻。如此的話，后續(xù)增添其他功能的話，只需要購買模塊即可。而不需要更換整個(gè)硬件防火墻。也就是說CIO選擇的硬件防火墻系統(tǒng)最好是一個(gè)可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的型包過濾器，最終到一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)的等等。只有如此，才能讓CIO輕松面對(duì)企業(yè)信息化應(yīng)用的升級(jí)。

　　二是考慮網(wǎng)絡(luò)接口的問題。通常情況下防火墻最基本的配置有兩個(gè)網(wǎng)絡(luò)接口：內(nèi)部的和外部的網(wǎng)絡(luò)接口。這些接口對(duì)應(yīng)著訪問網(wǎng)絡(luò)的信任程度。其中外部網(wǎng)絡(luò)接口連接的是不可信賴的網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)接口連接的是得到信任的網(wǎng)絡(luò)。在內(nèi)部網(wǎng)部署時(shí)，連接到外部的接口可能需要和公司的主要部分連接，這時(shí)可能比外部網(wǎng)絡(luò)的信任度高，但又稍微低于內(nèi)部網(wǎng)絡(luò)的信任度。但是隨著公司因特網(wǎng)商業(yè)需求的復(fù)雜化，只有兩個(gè)接口的防火墻明顯具有局限性，可能無法滿足企業(yè)業(yè)務(wù)方面的需求。如企業(yè)可能出于安全的需要，以后很有可能要用到第三個(gè)接口DMZ接口。為此為了以后信息化應(yīng)用升級(jí)的考慮，CIO在防火墻選購時(shí)，還需要關(guān)注是否有足夠豐富的接口;或者考慮以后是否可以通過模塊的形式來增加可用的接口。