硬件防火墻六大關(guān)鍵指標(biāo)

硬件防火墻關(guān)鍵指標(biāo)1、 吞吐量2、 時(shí)延3、 擴(kuò)展性4、 并發(fā)連接數(shù)5、 丟包率6、 最大安全策略數(shù)一、網(wǎng)絡(luò)吞吐量當(dāng)CIO在企業(yè)中部署了企業(yè)級(jí)別的防火墻之后，企業(yè)進(jìn)出互聯(lián)網(wǎng)的所有通信流量都要通過防火墻，故對于防火墻的吞吐量就有比較高的要求。以前有些企業(yè)是通過ADSL撥號(hào)上網(wǎng)的，這時(shí)由于帶寬的限制，可能防火墻還可以應(yīng)付?？墒乾F(xiàn)在大部分企業(yè)可能已經(jīng)都采用了光纖接入，帶寬本來就很大。此時(shí)就給防火墻帶來了一定的壓力。因?yàn)榉阑饓κ峭ㄟ^對進(jìn)入與出去的數(shù)據(jù)進(jìn)行過濾來識(shí)別是否符合安全策略的，所以在流量比較高時(shí)，要求防火墻能以最快的速度及時(shí)對所有數(shù)據(jù)包進(jìn)行檢測。否則就可能造成比較長的延時(shí)，甚至發(fā)生死機(jī)。所以網(wǎng)絡(luò)吞吐量指標(biāo)非常重要，它體現(xiàn)了防火墻的可用性能，也體現(xiàn)了企業(yè)級(jí)別的防火墻的重要性。如果資金充裕，那么吞吐量當(dāng)然是越大越好。吞吐量一個(gè)基本的原則就是至少要跟企業(yè)現(xiàn)有的互聯(lián)網(wǎng)接入帶寬相當(dāng)。二、協(xié)議的優(yōu)先級(jí)（時(shí)延）第二個(gè)指標(biāo)就是這個(gè)協(xié)議的優(yōu)先性。現(xiàn)在視頻在實(shí)際應(yīng)用中越來越廣泛。如視頻會(huì)議系統(tǒng)、語音電話等等都很普及，而這些應(yīng)用都會(huì)占用比較大的帶寬。但增加帶寬需要花費(fèi)比較大的投資。最理想的解決方案是對企業(yè)的通信流量進(jìn)行管理，通過防火墻把一些關(guān)鍵應(yīng)用的流量設(shè)置為比較高的優(yōu)先級(jí)。在網(wǎng)絡(luò)傳輸中，要首先保障這些通信流量能夠優(yōu)先通過。這就可以明顯改善語音通話等視頻應(yīng)用的效果。另外這還可以用來約束員工的網(wǎng)絡(luò)行為。如有些員工喜歡利用emule等工具下載電影。但是這些工具的話會(huì)占用很大的帶寬，因?yàn)樗麄冊趶木W(wǎng)絡(luò)上下載的同時(shí)，也提供別人進(jìn)行下載。故耗用的帶寬比較多。三、具有一定的擴(kuò)展性網(wǎng)絡(luò)不可能永遠(yuǎn)的一成不變。隨著政府服務(wù)型網(wǎng)站的規(guī)模擴(kuò)大，網(wǎng)絡(luò)會(huì)不斷的升級(jí)，各地各部門之間要開通業(yè)務(wù)網(wǎng)絡(luò)互聯(lián)互聯(lián)，成為網(wǎng)絡(luò)平臺(tái)的一個(gè)節(jié)點(diǎn)，此時(shí)就遇到一個(gè)問題，如何把各單位的網(wǎng)絡(luò)與政府的網(wǎng)絡(luò)連接起來。為此通過VPN來連接無疑是一個(gè)不錯(cuò)的方案。但是現(xiàn)有的防火墻能否支持VPN技術(shù)呢?企業(yè)很有可能以前在選購防火墻的時(shí)候沒有注意到這個(gè)問題。一是為了后續(xù)擴(kuò)展的需要，最好能夠購買那些模塊化設(shè)計(jì)的防火墻。后續(xù)增添其他功能的話，只需要購買模塊即可,而不需要更換整個(gè)硬件防火墻。二是考慮網(wǎng)絡(luò)接口的問題。通常情況下防火墻最基本的配置有兩個(gè)網(wǎng)絡(luò)接口：內(nèi)部的和外部的網(wǎng)絡(luò)接口。這些接口對應(yīng)著訪問網(wǎng)絡(luò)的信任程度。其中外部網(wǎng)絡(luò)接口連接的是不可信賴的網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)接口連接的是得到信任的網(wǎng)絡(luò)。在內(nèi)部網(wǎng)部署時(shí)，連接到外部的接口可能需要和公司的主要部分連接，這時(shí)可能比外部網(wǎng)絡(luò)的信任度高，但又稍微低于內(nèi)部網(wǎng)絡(luò)的信任度。但是隨著公司因特網(wǎng)商業(yè)需求的復(fù)雜化，只有兩個(gè)接口的防火墻明顯具有局限性，可能無法滿足企業(yè)業(yè)務(wù)方面的需求。如可能出于安全的需要，以后很有可能要用到第三個(gè)接口DMZ接口。傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。符合工業(yè)標(biāo)準(zhǔn)的狀態(tài)檢測防火墻策略配置：簡單、方便。工作模式：網(wǎng)絡(luò)地址轉(zhuǎn)換，透明模式，路由模式用戶認(rèn)證：內(nèi)建用戶認(rèn)證數(shù)據(jù)庫，支持RADIUS認(rèn)證數(shù)據(jù)庫，支持LDAP認(rèn)證數(shù)據(jù)庫。服務(wù)：支持標(biāo)準(zhǔn)服務(wù)（例如：FTP、NetMeeting、GRE），用戶自定義服務(wù)、服務(wù)組。時(shí)間表：根據(jù)小時(shí)、日、周和月建立一次性或循環(huán)時(shí)間表，防火墻根據(jù)不同的時(shí)間表定義安全策略。防御功能：全面的攻擊防御功能，包括DoS、端口掃描、緩沖區(qū)溢出、暴力攻擊、特洛伊木馬等攻擊。病毒防護(hù)：基于防火墻訪問控制策