| |
一般情况下,中小企业接入Internet的目的就是为了方便内部用户浏览Web、收发E-mail以及发布公司主页,此时建议选用一般的代理型防火墙,只要具有HTTP、E-mail等代理功能即可。但对于大中型企业或者机构来说,由于其企业用户过多,且内部数据比较重要。因此在选购防火墙时首先要考虑的就是安全性和性能是否强大、可否升级等。同时,售后服务的好坏也是值得考虑的因素。
了解产品的性能
辨别一款防火墙性能的优劣,可以参考国际标准RFC2544,主要包括的方面是:网络吞吐量、丢包率、延迟、连接数等,其中吞吐量是重中之重。
注意看清厂商推荐的防火墙是否有国家相关权威部门的认证和销售许可也是相当重要的。这些认证包括公安部和信息产业部的销售许可、国家测评中心的认证等,只有具有国家行业准入资格的产品才是值得信赖的。
1.选择模式:目前防火墙的模式主要有3种:分别为Dual-homed、Screened-host和Screened-subnet。
Dual-homed(也叫做Bastionhost)模式最简单,也最不安全。由于结构简单,因此成本低,没有增加网络安全的自我防卫能力,往往是黑客攻击的首选目标,一旦被攻破,整个网络也就暴露,根本谈不上安全。
Screened-host模式主要依赖Screeningrouter和Bastionhost两种方式传输,只要有一个存在不足或者出现失败,整个网络就会暴露,也谈不上很安全。
Screened-subnet则包含两个Screeningrouter和两个Bastionhost,这种结构安全性好,只有当所有安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
用户在上面的3种模式中选择和自己需要相关的防火墙即可。
如果企业对安全要求比较高,Dual-homed肯定不是你的首选。
2.安装和配置:如果防火墙安装和配置比较麻烦,会给用户带来不便,增加工作的难度。目前在市场上,有些防火墙只能在透明方式下或者网关方式下工作,而另外一些防火墙则可以在混合方式下工作。一般能工作于混合方式的防火墙更具方便性。
3.扩展性:选购防火墙时还得考虑其可扩展性。好的防火墙的功能应该能够适应网络规模和安全策略的变化。如果选购的防火墙具有随意伸缩的模块化解决方案,包括从最基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,这样才能让用户真正被保护起来。目前的防火墙一般标配3个网络接口,分别用于连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。
4.等级:在实际选购防火墙时,不要把防火墙的等级看得过重。因为在等级评选中,防火墙的速度占有很大的比重,但是对于中小型企业而言,连接到Internet上的速度不会很快,大多数经过国家认证的防火墙都能完全满足需要。
5.兼容性:防火墙的加入应该以不影响企业已有的业务为前提,如果原来业务有一些特殊的服务,比如视频会议,IP电话等,则防火墙产品不应该与这些服务产生冲突。
在满足实用性、安全性、扩充性、兼容性的基础上,还要考虑经济性,这是选购一切设备都要优先考虑的实际问题。
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
