硬體防火牆選購指南(轉載)
網際網路應用在企業中所佔的比例越來越高,同時更多的企業開始關注自己的網路安全。硬體防火牆選購可以說是最簡單和直接的保護企業網路安全方式,也被越來越多的企業提上日程。那麼本篇文章就透過一些資料指標來詳細談一談如何進行硬體防火牆選購。
一,什麼是硬體防火牆:
平時我們都接觸過防火牆,不過很多使用者使用的都是偏軟體的防火牆,透過一些軟體程式實現對系統和網路的保護。然而相比硬體防火牆而言軟體防火牆在效能和處理能力等方面存在著很大的不同。所謂硬體防火牆就是指把防火牆程式做到晶片裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。
硬體防火牆作為企業安全的屏障所起的作用是巨大的,正是因為防火牆程式和過濾規則的硬體化晶片化,所以硬體防火牆在處理併發數和連線數比較多的情況下優勢更加明顯,平時出現問題的機率也比較低。
二,資料說話——硬體防火牆選購經驗談:
很多企業都面臨硬體防火牆選購,今天筆者就從實際選購出發從資料說話為各位介紹硬體防火牆選購上的一些經驗。
(1)按需選擇原則
首先需要確定的就是選擇防火牆時按照需求去確定各個引數,一般來說企業內網網路結點數以及會話連線情況決定了硬體防火牆的級別。選擇時依照滿足效能為首的原則,然後適當為日後升級做準備。
在執行按需選擇原則時我們需要就以下幾個方面進行劃定,首先確定企業內網網路裝置數量以及員工計算機數量,透過計算機下連網路數量來選擇硬體防火牆的級別;其次根據企業網路流量來決定防火牆介面網路速度,流量大的需要選擇G級介面,而小型網路100M的即可滿足實際需求;再次考慮企業網路的穩定性,說白了就是是否需要提供線路上的冗餘,對於多線多路網路接入來說這點需要額外考慮;最後就是從功能需求上去決定選購型號,一般來說防火牆都應該具備VPN接入的功能,這樣才能夠更好的提供不同許可權不同使用者級別的網路服務,同時諸如IPV6,VOIP等功能的支援要需要根據企業實際需求去選擇。
(2)防火牆硬字當先:
在確定需求後我們就要檢視防火牆的自身配置了,首先需要確保的是防火牆必須採用多核處理器的純硬體架構(非X86),這個條件是必須滿足的。為什麼這麼說呢?因為硬體防火牆區別於低效能低價格的軟體防火牆而言關鍵點就是把防火牆程式做到晶片裡面,從而節約了日常處理對CPU的佔用。而很多廠商在推薦防火牆時可能選擇的裝置是一種“偽硬體”,使用新瓶裝舊酒的策略,將經過最佳化的軟體防火牆裝到普通桌上型電腦上,再透過封裝改造成所謂的硬體防火牆。這是明顯的掛羊頭賣狗肉。因此在確定防火牆時一定注意他是純粹的硬體防火牆,另外由於在X86下搭建的系統多以Windows為主,而且Windows系統存在先天安全問題。所以在考慮硬體防火牆自身架構時也要儘量不採取X86架構。
採用多核心處理器可以更好的處理併發通訊和高數量的連線,因此防火牆必須採用多核處理器的純硬體架構(非X86)成為選購硬體防火牆的首要原則。
(3)冗餘執行穩定當先:
除了硬體防火牆自身“硬”指標外我們還需要關注的是裝置執行的冗餘性,對於企業來說網路接入冗餘性,電源支援冗餘性以及資料的冗餘性都非常關鍵。畢竟企業很多業務都執行在網路上,硬體防火牆一旦出現問題各種安全防範以及網路接入服務都要受到致命的影響。
因此在選購硬體防火牆時其自身的冗餘執行以及穩定性方面的表現也同樣重要,其中網路接入方面的多接性以及電源支援的冗餘性顯得更加重要。
(4)連線會話做足文章:
硬體防火牆選購
除了上面兩個因素需要考慮外防火牆自身的網路效能也需要考慮在內,具體包括防火牆的吞吐量以及併發連線數連各個引數。對於具備10000個下連網路節點的企業內網來說應該保證硬體防火牆滿足下面幾個要求——
吞吐量 ≥7.9G bps
吞吐量(小包) ≥2900 M bps
最大併發連線數 ≥4,900,000
每秒新建連線數 ≥190,000
小提示:
什麼是吞吐量——吞吐量是在一個給定的時間段內裝置能夠傳輸的資料量,使用Mb/s進行度量。吞吐量的大小主要由防火牆內網路卡及程式演算法的效率決定,尤其是程式演算法,會使防火牆系統進行大量運算,通訊量大打折扣。因此大多數防火牆雖號稱100M防火牆,由於其演算法依靠軟體實現,通訊量遠遠沒有達到100M,實際只有10M-20M。純硬體防火牆,由於採用硬體進行運算,因此吞吐量可以達到線性90-95M,這樣才算是真正的100M防火牆。
網路中的資料是由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內透過防火牆的資料包數量。這是測量防火牆效能的重要指標。如果企業實際下連節點不是萬個級別的話,我們可以適當的將上面提到的幾個引數進行縮減。吞吐量決定硬體防火牆處理資料的能力,而連線數的多少決定了防火牆自身的效能。
三,硬體防火牆選購總結:
由於篇幅關係筆者在本文中針對硬體防火牆選購方面介紹了幾點經驗,透過確定硬體防火牆核心是否真的“硬”,連線會話吞吐量實際情況以及效能硬體環節的冗餘功能等方面下手,讓我們選購的硬體防火牆可以真正的為我們企業高效服務。
一,什麼是硬體防火牆:
平時我們都接觸過防火牆,不過很多使用者使用的都是偏軟體的防火牆,透過一些軟體程式實現對系統和網路的保護。然而相比硬體防火牆而言軟體防火牆在效能和處理能力等方面存在著很大的不同。所謂硬體防火牆就是指把防火牆程式做到晶片裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。
硬體防火牆作為企業安全的屏障所起的作用是巨大的,正是因為防火牆程式和過濾規則的硬體化晶片化,所以硬體防火牆在處理併發數和連線數比較多的情況下優勢更加明顯,平時出現問題的機率也比較低。
二,資料說話——硬體防火牆選購經驗談:
很多企業都面臨硬體防火牆選購,今天筆者就從實際選購出發從資料說話為各位介紹硬體防火牆選購上的一些經驗。
(1)按需選擇原則
首先需要確定的就是選擇防火牆時按照需求去確定各個引數,一般來說企業內網網路結點數以及會話連線情況決定了硬體防火牆的級別。選擇時依照滿足效能為首的原則,然後適當為日後升級做準備。
在執行按需選擇原則時我們需要就以下幾個方面進行劃定,首先確定企業內網網路裝置數量以及員工計算機數量,透過計算機下連網路數量來選擇硬體防火牆的級別;其次根據企業網路流量來決定防火牆介面網路速度,流量大的需要選擇G級介面,而小型網路100M的即可滿足實際需求;再次考慮企業網路的穩定性,說白了就是是否需要提供線路上的冗餘,對於多線多路網路接入來說這點需要額外考慮;最後就是從功能需求上去決定選購型號,一般來說防火牆都應該具備VPN接入的功能,這樣才能夠更好的提供不同許可權不同使用者級別的網路服務,同時諸如IPV6,VOIP等功能的支援要需要根據企業實際需求去選擇。
(2)防火牆硬字當先:
在確定需求後我們就要檢視防火牆的自身配置了,首先需要確保的是防火牆必須採用多核處理器的純硬體架構(非X86),這個條件是必須滿足的。為什麼這麼說呢?因為硬體防火牆區別於低效能低價格的軟體防火牆而言關鍵點就是把防火牆程式做到晶片裡面,從而節約了日常處理對CPU的佔用。而很多廠商在推薦防火牆時可能選擇的裝置是一種“偽硬體”,使用新瓶裝舊酒的策略,將經過最佳化的軟體防火牆裝到普通桌上型電腦上,再透過封裝改造成所謂的硬體防火牆。這是明顯的掛羊頭賣狗肉。因此在確定防火牆時一定注意他是純粹的硬體防火牆,另外由於在X86下搭建的系統多以Windows為主,而且Windows系統存在先天安全問題。所以在考慮硬體防火牆自身架構時也要儘量不採取X86架構。
採用多核心處理器可以更好的處理併發通訊和高數量的連線,因此防火牆必須採用多核處理器的純硬體架構(非X86)成為選購硬體防火牆的首要原則。
(3)冗餘執行穩定當先:
除了硬體防火牆自身“硬”指標外我們還需要關注的是裝置執行的冗餘性,對於企業來說網路接入冗餘性,電源支援冗餘性以及資料的冗餘性都非常關鍵。畢竟企業很多業務都執行在網路上,硬體防火牆一旦出現問題各種安全防範以及網路接入服務都要受到致命的影響。
因此在選購硬體防火牆時其自身的冗餘執行以及穩定性方面的表現也同樣重要,其中網路接入方面的多接性以及電源支援的冗餘性顯得更加重要。
(4)連線會話做足文章:
硬體防火牆選購
除了上面兩個因素需要考慮外防火牆自身的網路效能也需要考慮在內,具體包括防火牆的吞吐量以及併發連線數連各個引數。對於具備10000個下連網路節點的企業內網來說應該保證硬體防火牆滿足下面幾個要求——
吞吐量 ≥7.9G bps
吞吐量(小包) ≥2900 M bps
最大併發連線數 ≥4,900,000
每秒新建連線數 ≥190,000
小提示:
什麼是吞吐量——吞吐量是在一個給定的時間段內裝置能夠傳輸的資料量,使用Mb/s進行度量。吞吐量的大小主要由防火牆內網路卡及程式演算法的效率決定,尤其是程式演算法,會使防火牆系統進行大量運算,通訊量大打折扣。因此大多數防火牆雖號稱100M防火牆,由於其演算法依靠軟體實現,通訊量遠遠沒有達到100M,實際只有10M-20M。純硬體防火牆,由於採用硬體進行運算,因此吞吐量可以達到線性90-95M,這樣才算是真正的100M防火牆。
網路中的資料是由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內透過防火牆的資料包數量。這是測量防火牆效能的重要指標。如果企業實際下連節點不是萬個級別的話,我們可以適當的將上面提到的幾個引數進行縮減。吞吐量決定硬體防火牆處理資料的能力,而連線數的多少決定了防火牆自身的效能。
三,硬體防火牆選購總結:
由於篇幅關係筆者在本文中針對硬體防火牆選購方面介紹了幾點經驗,透過確定硬體防火牆核心是否真的“硬”,連線會話吞吐量實際情況以及效能硬體環節的冗餘功能等方面下手,讓我們選購的硬體防火牆可以真正的為我們企業高效服務。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/22558114/viewspace-1422290/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 最多 200 美元,黑客就能用微型晶片破解硬體防火牆黑客晶片防火牆
- CRM軟體選購指南
- 防火牆軟體:Snail for mac防火牆AIMac
- WAb防火牆與傳統防火牆防火牆
- 防火牆防火牆
- 雲防火牆如何玩轉公有云引流防火牆
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- iptables防火牆防火牆
- 防火牆配置防火牆
- 防火牆iptables防火牆
- 防火牆(firewall)防火牆
- 域名選購操作指南
- linux之openEuler /centos7防火牆基本使用指南LinuxCentOS防火牆
- 網站防黑客入侵IDS防火牆如何挑選網站黑客防火牆
- CentOS 7.0防火牆CentOS防火牆
- Linux防火牆命令Linux防火牆
- CentOS 防火牆操作CentOS防火牆
- Linux配置防火牆Linux防火牆
- 防火牆部署案例防火牆
- 防火牆介紹防火牆
- LINUX 防火牆 firewalldLinux防火牆
- ubuntu 關閉防火牆命令 ubuntu怎樣關閉防火牆Ubuntu防火牆
- Linux 硬體故障排除指南Linux
- SonicWall NSv 系列虛擬防火牆 SonicOSX 7.0 下載防火牆
- 小飛賊防火牆軟體:Little Snitch for Mac防火牆Mac
- 防火牆 搜尋 釋出 防火牆是什麼?怎麼理解?防火牆
- 利聯科技:高防伺服器的機房硬體防火牆型別和主要功能伺服器防火牆型別
- linux 7 防火牆操作Linux防火牆
- Firewalld防火牆基礎防火牆
- 資料庫防火牆資料庫防火牆
- Iptables防火牆應用防火牆
- CentOS防火牆設定CentOS防火牆
- Linux防火牆基礎Linux防火牆
- 防火牆的分類防火牆
- CentOS 7 防火牆操作CentOS防火牆
- iptables防火牆規則防火牆
- Linux 防火牆配置使用Linux防火牆
- 選購咖啡的入門指南
- linux關閉防火牆命令 linux防火牆關閉和開啟命令Linux防火牆