當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>導(dǎo)購(gòu)>正文

網(wǎng)絡(luò)防火墻選購(gòu)十要素

http://www.yibo1263.com　2008-6-12 8:33:40 　來源:本站　編輯:葉子

　　3．高效的性能

　　因?yàn)榉阑饓κ峭ㄟ^對(duì)進(jìn)入的數(shù)據(jù)進(jìn)行過濾來識(shí)別是否符合安全策略的，所以在流量比較高時(shí)，要求防火墻能以最快的速度及時(shí)對(duì)所有數(shù)據(jù)包進(jìn)行檢測(cè)，否則就可能造成比較的延時(shí)，甚至死機(jī)。這個(gè)指標(biāo)非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的代價(jià)（延時(shí)），用戶無法接受過高的代價(jià)。如果防火墻對(duì)網(wǎng)絡(luò)造成較大的延時(shí)，還會(huì)給用戶造成較大的損失。這一點(diǎn)我們?cè)谑褂脗€(gè)人防火墻時(shí)可能深有感觸，有時(shí)我們?cè)诖蜷_防火墻時(shí)上網(wǎng)反應(yīng)非常慢，而一旦去掉速度就上來了，原因就為因?yàn)榉阑饓︖^濾速度不夠快。

　　如果防火墻對(duì)原有網(wǎng)絡(luò)帶寬影響過大，無疑就是對(duì)原有投資的巨大浪費(fèi)。

　　目前來說防火墻在類型上基本上都實(shí)現(xiàn)了從軟件到硬件的轉(zhuǎn)換，算法上也有了很大的優(yōu)化，一部分防火墻的性能完全可以做到對(duì)原有網(wǎng)絡(luò)的性能影響很小了。具體到用戶來說，辨別一款防火墻的性能的優(yōu)劣，主要可以看看權(quán)威評(píng)測(cè)機(jī)構(gòu)或媒體的性能測(cè)試結(jié)果，這些結(jié)果都是以國(guó)際標(biāo)準(zhǔn)RFC2544標(biāo)準(zhǔn)來衡量的，主要包括：網(wǎng)絡(luò)吞吐量、丟包率、延遲、連接數(shù)等，其中吞吐量又是重中之重。

　　當(dāng)然在性能方面，對(duì)于不同規(guī)模的企業(yè)有不同的要求，不一定速度越高越好，像有的小型的局域網(wǎng)出口速率不到1M/s，選用100M/s的防火墻就是多余的。

　　4．高可靠性

　　因?yàn)榉阑饓拖髥挝挥脩舫鋈牖ヂ?lián)網(wǎng)的一道門，如果門壞了，顯然進(jìn)出互聯(lián)網(wǎng)也就成問題了。這樣很可能會(huì)用戶造成巨大的損失，這就要求防火墻產(chǎn)品自身具有高的可靠性。提高防火墻的可靠性通常是在設(shè)計(jì)中采取措施，具體措施是提高部件的強(qiáng)健性、增大設(shè)計(jì)閥值和增加冗余部件。

　　5．強(qiáng)大的抗拒絕服務(wù)攻擊能力

　　在網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率最高的手段。拒絕服務(wù)攻擊可以分為兩類：一類是由于操作系統(tǒng)或應(yīng)用軟件在設(shè)計(jì)或編程上存在缺陷而造成的，這種類型只能通過打補(bǔ)丁的辦法來解決，如我們常見的各種Windows系統(tǒng)安全補(bǔ)丁。另一類是由于協(xié)議本身存在缺陷而造成的，這種類型的攻擊雖然較少，但是造成的危害卻非常大。對(duì)于第一類問題，防火墻顯得有些力不從心，因?yàn)橄到y(tǒng)缺陷與病毒感染不同，沒有病毒碼作為依據(jù)，防火墻常常會(huì)作出錯(cuò)誤的判斷。防火墻有能力對(duì)付第二類攻擊。

　　6．功能的多樣性

　　這一點(diǎn)對(duì)于小型企業(yè)來說不是很重要，但對(duì)于大、中型企業(yè)說就應(yīng)當(dāng)高度重視。否則很可能選購(gòu)回來的防火墻產(chǎn)品根本不能滿足當(dāng)前或者短時(shí)間內(nèi)的未來需求。

　　質(zhì)量好的防火墻能夠有效地控制通信，能夠?yàn)椴煌?jí)別、不同需求的用戶提供不同的控制策略。控制策略的有效性、多樣性、級(jí)別目標(biāo)清晰性以及制定難易程度都直反映出防火墻控制策略的質(zhì)量�，F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓受防火墻保護(hù)的一方的IP地址不被暴露。但注意啟用NAT后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。目前防火墻技術(shù)進(jìn)步很快，功能上也做的五花八門，用戶選擇上也比較困難。在包過濾方式上，目前各個(gè)廠商采用的基本上都是基于狀態(tài)檢測(cè)包過濾功能。其他的一些附加的功能可以視實(shí)際的需要而定，例如，對(duì)于沒有固定主機(jī)的單位，可能需要身份認(rèn)證的功能；對(duì)網(wǎng)絡(luò)資源比較緊張的單位，可能需要帶寬管理的功能以合理控制資源分配；對(duì)于有總部和分支機(jī)構(gòu)的企業(yè)，就可能需要選擇能支持VPN通訊功能的防火墻產(chǎn)品等等。

　　對(duì)于經(jīng)常有公司內(nèi)部用戶移動(dòng)辦公的企業(yè)，最好能提供支持VPN通信或者身份驗(yàn)證功能，這樣做有兩個(gè)好處：一是可以大節(jié)省通信費(fèi)用（因?yàn)閂PN只需要用戶與本地ISP連接即可）；另一方面用戶出差時(shí)可以登錄回公司內(nèi)部自己的服務(wù)器，在沒有其它加密手段或者加密成本比較高時(shí)，這樣身份驗(yàn)證方式是比較實(shí)用的。

本新聞共4頁(yè),當(dāng)前在第2頁(yè) 1 2 3 4

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费