選擇硬體防火牆應注意的幾點事宜

摘要：防火牆可以對關鍵網路任務進行管理。在選擇基於硬體的防火牆解決方案時，要考慮到公司的需求和預算情況，確定是否應該由防火牆管理內容過濾功能。選擇硬體防火牆應注意幾點事宜。下面本文就來為大家闡述

防火牆對於公司網路安全來說，起的是關鍵性的作用，只有它，才可以防止來自網際網路上永不停止的各種威脅。防火牆的選擇對遠端終端連線到中心繫統獲取必要資源或完成重要任務的影響也非常大。當選擇基於硬體的防火牆時，應當考慮以下十個方面的因素，以確保企業實現投資、安全性和生產力的最大化。

在市面上，UTM的種類非常多。根據商業模式的不同，一些網路安全裝置可以提供大量的功能和全面的服務，但是需要公司承擔高昂的價格，而另一些則只包含了基本的服務，但採購的成本也很低。

因此，選擇的時間一定要確保平臺是公認和值得信賴的。Barracuda、思科、SonicWALL公司和WatchGuard都屬於擁有市場份額的著名品牌，它們獲得的市場份額就是可以提供值得信賴安全的很好的理由。無論你選擇什麼品牌的防火牆，都應該確保其通過國際電腦保安協會(ICSA)的認證，符合資料包檢測的行業標準。

在安全方面，全球跨國企業需要多級控制管理，但即使是這些需要大量保護的企業也不應該將裝置配置方式限定在命令列模式下。很多防火牆都可以在提供高度安全性的同時，提供友好的圖形介面以方便管理。

在選擇基於硬體的防火牆時，考慮到易用性也會帶來很大的好處。一個平臺越容易進行管理，就越容易找到可以進行安裝、維護和故障處理等工作的專業人士。

防火牆存在的目的並不限於防止網路黑客的攻擊和非法資料輸出。一個好的防火牆還應該可以在為遠端連線建立安全通道，並對其進行監測。在選擇基於硬體的防火牆時，應該確保其支援同類裝置的基於SSL-和IPSec-保護的VPN連線(以保護點至點或站點到站點VPN)，讓員工可以實現安全連線。

在網路策略中，防火牆通常承擔公司網路的網際網路閘道器的角色。對於規模較小的辦公室，可以讓防火牆承擔雙重責任，即既作為安全裝置又作為網路交換機。同時，對於規模較大的辦公環境來說，防火牆屬於更大結構的組成部分，這時，它承擔的唯一責任就是對流量進行過濾。

確保防火牆可以對負載進行分配管理。這就意味著它需要配備必要的乙太網埠並擁有適當的速度(如果有必要的話，應該選擇10Mbps/100Mbps和/或1000Mbps)。但還有更多要注意的因素，確保你選擇的防火牆擁有進行資料包檢查的功能，並且可以提供安全服務閘道器和路由功能。

特別要注意的是製造商關於支援最大節點數目的建議。如果超過了路由器的能力，就可能會出現錯誤，資料傳輸就會由於缺乏許可或者超過支援範圍而中斷。

硬體出現問題是有可能的。更壞的情況可能是，僅僅因為是新裝置並不意味著它一定可以正常工作。全天候的技術支援以及部署過程中的全面技術支援應當包含在和防火牆製造商簽定的技術支援合同中。

在購買前，應該撥打製造商技術支援團隊的電話，瞭解部署和配置方面的問題。根據答覆的速度和內容等情況，可以確定在實地部署出現問題時你將獲得服務的情況。

即使在選擇基於硬體的防火牆時，公司並不認為這是必須的情況下，也應該將無線網路功能包含進來。IT團隊可以在部署的時間關閉無線網路功能。增加無線區域網功能會導致購買成本增加，但對於客戶連線或方便地訪問網路來說，這是必須的。安全的無線連線是很容易獲得的(並不需要購買一臺全新的路由器)。對於一家處於變化中的公司企業來說，無線區域網功能可能被證明是必要的。

通過設定防火牆，很多公司成功地降低了病毒、間諜軟體和垃圾郵件帶來的大量威脅。在比較防火牆功能，確定執行費用的時間，為了減低成本，你可以選擇在防火牆而不是傳統的域控制器或其他伺服器上部署這些服務。

現在很多IT部門都選擇使用OpenDNS進行內容過濾，一些防火牆製造商也在裝置中提供了網頁過濾的選擇。對於所有和業務有關的網路服務來說，都需要利用閘道器安全服務進行內容過濾。這樣做的優點是可以實現功能整合在一臺裝置中。但缺點是，你需要支付相關的費用。

因此，在選擇基於硬體的防火牆解決方案時，要考慮到公司的需求和預算情況，確定是否應該由防火牆管理內容過濾功能。如果答案是肯定的話，選擇一個包含了可靠成熟內容過濾功能的防火牆。

防火牆可以對關鍵網路任務進行管理。僅僅一個工作日，一臺路由器就可以阻止成千上萬的入侵企圖、防範各種攻擊，並記錄失敗的網路連線。但這些資訊只有包含在易於獲取的格式中時，才能為網路管理員提供有效的幫助。對於防火牆來說，不僅需要對重要事件進行監控，而且應該將資料以相容的格式儲存起來。對於一個優秀的防火牆來說，應該至少可以利用電子郵件為重要事件提供警告。