硬體防火牆選購指南(轉載)
網際網路應用在企業中所佔的比例越來越高,同時更多的企業開始關注自己的網路安全。硬體防火牆選購可以說是最簡單和直接的保護企業網路安全方式,也被越來越多的企業提上日程。那麼本篇文章就透過一些資料指標來詳細談一談如何進行硬體防火牆選購。
一,什麼是硬體防火牆:
平時我們都接觸過防火牆,不過很多使用者使用的都是偏軟體的防火牆,透過一些軟體程式實現對系統和網路的保護。然而相比硬體防火牆而言軟體防火牆在效能和處理能力等方面存在著很大的不同。所謂硬體防火牆就是指把防火牆程式做到晶片裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。
硬體防火牆作為企業安全的屏障所起的作用是巨大的,正是因為防火牆程式和過濾規則的硬體化晶片化,所以硬體防火牆在處理併發數和連線數比較多的情況下優勢更加明顯,平時出現問題的機率也比較低。
二,資料說話——硬體防火牆選購經驗談:
很多企業都面臨硬體防火牆選購,今天筆者就從實際選購出發從資料說話為各位介紹硬體防火牆選購上的一些經驗。
(1)按需選擇原則
首先需要確定的就是選擇防火牆時按照需求去確定各個引數,一般來說企業內網網路結點數以及會話連線情況決定了硬體防火牆的級別。選擇時依照滿足效能為首的原則,然後適當為日後升級做準備。
在執行按需選擇原則時我們需要就以下幾個方面進行劃定,首先確定企業內網網路裝置數量以及員工計算機數量,透過計算機下連網路數量來選擇硬體防火牆的級別;其次根據企業網路流量來決定防火牆介面網路速度,流量大的需要選擇G級介面,而小型網路100M的即可滿足實際需求;再次考慮企業網路的穩定性,說白了就是是否需要提供線路上的冗餘,對於多線多路網路接入來說這點需要額外考慮;最後就是從功能需求上去決定選購型號,一般來說防火牆都應該具備VPN接入的功能,這樣才能夠更好的提供不同許可權不同使用者級別的網路服務,同時諸如IPV6,VOIP等功能的支援要需要根據企業實際需求去選擇。
(2)防火牆硬字當先:
在確定需求後我們就要檢視防火牆的自身配置了,首先需要確保的是防火牆必須採用多核處理器的純硬體架構(非X86),這個條件是必須滿足的。為什麼這麼說呢?因為硬體防火牆區別於低效能低價格的軟體防火牆而言關鍵點就是把防火牆程式做到晶片裡面,從而節約了日常處理對CPU的佔用。而很多廠商在推薦防火牆時可能選擇的裝置是一種“偽硬體”,使用新瓶裝舊酒的策略,將經過最佳化的軟體防火牆裝到普通桌上型電腦上,再透過封裝改造成所謂的硬體防火牆。這是明顯的掛羊頭賣狗肉。因此在確定防火牆時一定注意他是純粹的硬體防火牆,另外由於在X86下搭建的系統多以Windows為主,而且Windows系統存在先天安全問題。所以在考慮硬體防火牆自身架構時也要儘量不採取X86架構。
採用多核心處理器可以更好的處理併發通訊和高數量的連線,因此防火牆必須採用多核處理器的純硬體架構(非X86)成為選購硬體防火牆的首要原則。
(3)冗餘執行穩定當先:
除了硬體防火牆自身“硬”指標外我們還需要關注的是裝置執行的冗餘性,對於企業來說網路接入冗餘性,電源支援冗餘性以及資料的冗餘性都非常關鍵。畢竟企業很多業務都執行在網路上,硬體防火牆一旦出現問題各種安全防範以及網路接入服務都要受到致命的影響。
因此在選購硬體防火牆時其自身的冗餘執行以及穩定性方面的表現也同樣重要,其中網路接入方面的多接性以及電源支援的冗餘性顯得更加重要。
(4)連線會話做足文章:
硬體防火牆選購
除了上面兩個因素需要考慮外防火牆自身的網路效能也需要考慮在內,具體包括防火牆的吞吐量以及併發連線數連各個引數。對於具備10000個下連網路節點的企業內網來說應該保證硬體防火牆滿足下面幾個要求——
吞吐量 ≥7.9G bps
吞吐量(小包) ≥2900 M bps
最大併發連線數 ≥4,900,000
每秒新建連線數 ≥190,000
小提示:
什麼是吞吐量——吞吐量是在一個給定的時間段內裝置能夠傳輸的資料量,使用Mb/s進行度量。吞吐量的大小主要由防火牆內網路卡及程式演算法的效率決定,尤其是程式演算法,會使防火牆系統進行大量運算,通訊量大打折扣。因此大多數防火牆雖號稱100M防火牆,由於其演算法依靠軟體實現,通訊量遠遠沒有達到100M,實際只有10M-20M。純硬體防火牆,由於採用硬體進行運算,因此吞吐量可以達到線性90-95M,這樣才算是真正的100M防火牆。
網路中的資料是由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內透過防火牆的資料包數量。這是測量防火牆效能的重要指標。如果企業實際下連節點不是萬個級別的話,我們可以適當的將上面提到的幾個引數進行縮減。吞吐量決定硬體防火牆處理資料的能力,而連線數的多少決定了防火牆自身的效能。
三,硬體防火牆選購總結:
由於篇幅關係筆者在本文中針對硬體防火牆選購方面介紹了幾點經驗,透過確定硬體防火牆核心是否真的“硬”,連線會話吞吐量實際情況以及效能硬體環節的冗餘功能等方面下手,讓我們選購的硬體防火牆可以真正的為我們企業高效服務。
一,什麼是硬體防火牆:
平時我們都接觸過防火牆,不過很多使用者使用的都是偏軟體的防火牆,透過一些軟體程式實現對系統和網路的保護。然而相比硬體防火牆而言軟體防火牆在效能和處理能力等方面存在著很大的不同。所謂硬體防火牆就是指把防火牆程式做到晶片裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。
硬體防火牆作為企業安全的屏障所起的作用是巨大的,正是因為防火牆程式和過濾規則的硬體化晶片化,所以硬體防火牆在處理併發數和連線數比較多的情況下優勢更加明顯,平時出現問題的機率也比較低。
二,資料說話——硬體防火牆選購經驗談:
很多企業都面臨硬體防火牆選購,今天筆者就從實際選購出發從資料說話為各位介紹硬體防火牆選購上的一些經驗。
(1)按需選擇原則
首先需要確定的就是選擇防火牆時按照需求去確定各個引數,一般來說企業內網網路結點數以及會話連線情況決定了硬體防火牆的級別。選擇時依照滿足效能為首的原則,然後適當為日後升級做準備。
在執行按需選擇原則時我們需要就以下幾個方面進行劃定,首先確定企業內網網路裝置數量以及員工計算機數量,透過計算機下連網路數量來選擇硬體防火牆的級別;其次根據企業網路流量來決定防火牆介面網路速度,流量大的需要選擇G級介面,而小型網路100M的即可滿足實際需求;再次考慮企業網路的穩定性,說白了就是是否需要提供線路上的冗餘,對於多線多路網路接入來說這點需要額外考慮;最後就是從功能需求上去決定選購型號,一般來說防火牆都應該具備VPN接入的功能,這樣才能夠更好的提供不同許可權不同使用者級別的網路服務,同時諸如IPV6,VOIP等功能的支援要需要根據企業實際需求去選擇。
(2)防火牆硬字當先:
在確定需求後我們就要檢視防火牆的自身配置了,首先需要確保的是防火牆必須採用多核處理器的純硬體架構(非X86),這個條件是必須滿足的。為什麼這麼說呢?因為硬體防火牆區別於低效能低價格的軟體防火牆而言關鍵點就是把防火牆程式做到晶片裡面,從而節約了日常處理對CPU的佔用。而很多廠商在推薦防火牆時可能選擇的裝置是一種“偽硬體”,使用新瓶裝舊酒的策略,將經過最佳化的軟體防火牆裝到普通桌上型電腦上,再透過封裝改造成所謂的硬體防火牆。這是明顯的掛羊頭賣狗肉。因此在確定防火牆時一定注意他是純粹的硬體防火牆,另外由於在X86下搭建的系統多以Windows為主,而且Windows系統存在先天安全問題。所以在考慮硬體防火牆自身架構時也要儘量不採取X86架構。
採用多核心處理器可以更好的處理併發通訊和高數量的連線,因此防火牆必須採用多核處理器的純硬體架構(非X86)成為選購硬體防火牆的首要原則。
(3)冗餘執行穩定當先:
除了硬體防火牆自身“硬”指標外我們還需要關注的是裝置執行的冗餘性,對於企業來說網路接入冗餘性,電源支援冗餘性以及資料的冗餘性都非常關鍵。畢竟企業很多業務都執行在網路上,硬體防火牆一旦出現問題各種安全防範以及網路接入服務都要受到致命的影響。
因此在選購硬體防火牆時其自身的冗餘執行以及穩定性方面的表現也同樣重要,其中網路接入方面的多接性以及電源支援的冗餘性顯得更加重要。
(4)連線會話做足文章:
硬體防火牆選購
除了上面兩個因素需要考慮外防火牆自身的網路效能也需要考慮在內,具體包括防火牆的吞吐量以及併發連線數連各個引數。對於具備10000個下連網路節點的企業內網來說應該保證硬體防火牆滿足下面幾個要求——
吞吐量 ≥7.9G bps
吞吐量(小包) ≥2900 M bps
最大併發連線數 ≥4,900,000
每秒新建連線數 ≥190,000
小提示:
什麼是吞吐量——吞吐量是在一個給定的時間段內裝置能夠傳輸的資料量,使用Mb/s進行度量。吞吐量的大小主要由防火牆內網路卡及程式演算法的效率決定,尤其是程式演算法,會使防火牆系統進行大量運算,通訊量大打折扣。因此大多數防火牆雖號稱100M防火牆,由於其演算法依靠軟體實現,通訊量遠遠沒有達到100M,實際只有10M-20M。純硬體防火牆,由於採用硬體進行運算,因此吞吐量可以達到線性90-95M,這樣才算是真正的100M防火牆。
網路中的資料是由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內透過防火牆的資料包數量。這是測量防火牆效能的重要指標。如果企業實際下連節點不是萬個級別的話,我們可以適當的將上面提到的幾個引數進行縮減。吞吐量決定硬體防火牆處理資料的能力,而連線數的多少決定了防火牆自身的效能。
三,硬體防火牆選購總結:
由於篇幅關係筆者在本文中針對硬體防火牆選購方面介紹了幾點經驗,透過確定硬體防火牆核心是否真的“硬”,連線會話吞吐量實際情況以及效能硬體環節的冗餘功能等方面下手,讓我們選購的硬體防火牆可以真正的為我們企業高效服務。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/22558114/viewspace-1422290/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 企業選擇硬體防火牆的一點建議(轉載)防火牆
- 軟體防火牆與硬體防火牆詳解防火牆
- 看不懂的硬體防火牆(轉)防火牆
- 選擇硬體防火牆應注意的幾點事宜防火牆
- 鑑別硬體防火牆效能優劣的幾個標準(轉載)防火牆
- 選購防火牆時需要關注的5個效能(轉)防火牆
- 選購防火牆時應避免的4個誤區(轉)防火牆
- 防火牆埠(下)(轉載)防火牆
- 防火牆埠(中)(轉載)防火牆
- 防火牆埠(上)(轉載)防火牆
- 選用單防火牆DMZ還是雙防火牆DMZ(轉)防火牆
- FreeBSD ipfw 防火牆基礎指南(轉)防火牆
- 防火牆、UTM產品硬體平臺架構詳細解析(轉)防火牆架構
- CiscoPIX防火牆配置指南防火牆
- 個人防火牆的原理及選擇(轉)防火牆
- CRM軟體選購指南
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 最多 200 美元,黑客就能用微型晶片破解硬體防火牆黑客晶片防火牆
- 硬體防火牆的技術演變及發展趨勢防火牆
- WindowsXP作業系統防火牆經典使用指南(轉)Windows作業系統防火牆
- Juniper防火牆簡介(轉)防火牆
- 防火牆介紹(1)(轉)防火牆
- 防火牆介紹(2)(轉)防火牆
- 動態 iptables 防火牆(轉)防火牆
- NAT iptables防火牆(script)(轉)防火牆
- 防火牆軟體:Snail for mac防火牆AIMac
- 轉載: 總結:oracle穿過防火牆的問題Oracle防火牆
- 八種防火牆產品評測(企業級防火牆)(轉)防火牆
- 防火牆三大體系架構前景分析(轉)防火牆架構
- 硬體3D加速指南(轉)3D
- 伺服器防火牆的選擇伺服器防火牆
- WAb防火牆與傳統防火牆防火牆
- 防火牆軟體Netfilter之NAT技術(轉)防火牆Filter
- FreeBSD防火牆技術(轉)防火牆
- 深入淺出談防火牆(轉)防火牆
- 動態iptables防火牆dynfw(轉)防火牆
- 輕輕鬆鬆穿透防火牆(轉)穿透防火牆
- 建立防火牆的主動性網路安全體系(轉)防火牆