| |
3.高效的性能
因为防火墙是通过对进入的数据进行过滤来识别是否符合安全策略的,所以在流量比较高时,要求防火墙能以最快的速度及时对所有数据包进行检测,否则就可能造成比较的延时,甚至死机。这个指标非常重要,它体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的代价(延时),用户无法接受过高的代价。如果防火墙对网络造成较大的延时,还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触,有时我们在打开防火墙时上网反应非常慢,而一旦去掉速度就上来了,原因就为因为防火墙过滤速度不够快。
如果防火墙对原有网络带宽影响过大,无疑就是对原有投资的巨大浪费。
目前来说防火墙在类型上基本上都实现了从软件到硬件的转换,算法上也有了很大的优化,一部分防火墙的性能完全可以做到对原有网络的性能影响很小了。具体到用户来说,辨别一款防火墙的性能的优劣,主要可以看看权威评测机构或媒体的性能测试结果,这些结果都是以国际标准RFC2544标准来衡量的,主要包括:网络吞吐量、丢包率、延迟、连接数等,其中吞吐量又是重中之重。
当然在性能方面,对于不同规模的企业有不同的要求,不一定速度越高越好,像有的小型的局域网出口速率不到1M/s,选用100M/s的防火墙就是多余的。
4.高可靠性
因为防火墙就象单位用户出入互联网的一道门,如果门坏了,显然进出互联网也就成问题了。这样很可能会用户造成巨大的损失,这就要求防火墙产品自身具有高的可靠性。提高防火墙的可靠性通常是在设计中采取措施,具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。
5.强大的抗拒绝服务攻击能力
在网络攻击中,拒绝服务攻击是使用频率最高的手段。拒绝服务攻击可以分为两类 :一类是由于操作系统或应用软件在设计或编程上存在缺陷而造成的,这种类型只能通过打补丁的办法来解决,如我们常见的各种Windows系统安全补丁 。另一类是由于协议本身存在缺陷而造成的,这种类型的攻击虽然较少,但是造成的危害却非常大。对于第一类问题,防火墙显得有些力不从心,因为系统缺陷与病毒感染不同,没有病毒码作为依据,防火墙常常会作出错误的判断。防火墙有能力对付第二类攻击。
6. 功能的多样性
这一点对于小型企业来说不是很重要,但对于大、中型企业说就应当高度重视。否则很可能选购回来的防火墙产品根本不能满足当前或者短时间内的未来需求。
质量好的防火墙能够有效地控制通信,能够为不同级别、不同需求的用户提供不同的控制策略。控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出防火墙控制策略的质量。现在大多数的防火墙产品都支持NAT功能,它可以让受防火墙保护的一方的IP地址不被暴露。但注意启用NAT后势必会对防火墙系统的性能有所影响。目前防火墙技术进步很快,功能上也做的五花八门,用户选择上也比较困难。在包过滤方式上,目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他的一些附加的功能可以视实际的需要而定,例如,对于没有固定主机的单位,可能需要身份认证的功能;对网络资源比较紧张的单位,可能需要带宽管理的功能以合理控制资源分配;对于有总部和分支机构的企业,就可能需要选择能支持VPN通讯功能的防火墙产品等等。
对于经常有公司内部用户移动办公的企业,最好能提供支持VPN通信或者身份验证功能,这样做有两个好处:一是可以大节省通信费用(因为VPN只需要用户与本地ISP连接即可);另一方面用户出差时可以登录回公司内部自己的服务器,在没有其它加密手段或者加密成本比较高时,这样身份验证方式是比较实用的。
|
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
