防火牆就如同企業網路的保護神,對於企業網路的安全有著不可低估的作用。年末,不少企業也會乘著企業業務比較空閒這個時機,來調整網路配置。如筆者身邊不少的朋友,打算在年底買個防火牆,來鞏固自己的網路安全。防火牆是好,但是,若選擇不當的話,可能會起到相反的作用。
防火牆選購誤區在這裡,筆者想跟大家交流一下防火牆選購的經驗。筆者結合自己與朋友防火牆管理方面的心得,總結出了防火牆選購中的五大誤區。權當拋磚引玉。
防火牆選購注意5大誤區
誤區一:太過於相信實驗數據。
在防火牆的產品說明中,往往會有一些性能、功能方面的參考數字。如吞吐量有6G,抗病毒能力有多強等等。對於這些數字我們在防火牆選購的時候不能夠太過於迷信。而應該以辯證的眼光去看待這些數字。一方面,這些數字都是實驗數據。也就是說,是在一個相對合理的、干擾因素比較少的情況下得出的數據。但是,說實話,現在任何一個企業的網路環境可以達到他們測試產品的那種水準。當企業主機數量比較多,若分段不合理,就會造成比較多的網路廣播,那時也會影響到這個最終的有效吞吐量。所以,對於實驗室出來的數據,我們往往要打個對摺。
防火牆選購誤區另一方面,不能夠光看某個指標。在選購防火牆的時候,有多大幾十項的指標,若其中一個指標,如吞吐量,即使高達10G,但是,若其他指標跟不上去的話,那么一切都是白搭。有時候,廠商在測試產品的時候,往往會把某些功能關掉後再進行測試。在這種情況下,測試出來的數據,實用價值不會很大。因為若把其他功能關掉,就啟用一項功能,則CPU等硬體資源就不會發生爭奪。如此,某個指標的數字看起來就會好看許多。而在企業中部署防火牆的時候,不可能只用一項功能。把其他功能開起來的話,則這個數字就會打折扣了。總之,在防火牆選購的時候,不要太過於相信實驗數據。對於他們從實驗室得出來的數字,筆者往往會給他們打個對摺。打折後的數據,可能水分會少一點。所以,實驗數據只能拿來參考。在有條件的情況下,網路管理員要結合自己的公司網路環境,對防火牆產品進行測試。這測試出來的結果,對於我們防火牆選購才會有參考價值.網路管理員不要走入這個誤區。否則的話,網路管理員只有自己消化由此帶來的苦果了。
誤區二:功能花哨卻不實用。
信息化技術現在越來越複雜,而且防火牆的競爭也越來越激烈。所以,防火牆廠商為了提供自己產品的市場競爭力,就往往在自己的防火牆產品中集成比較多的功能,以增加市場的賣點。對於這些功能,我們要冷眼看待。一方面,要看看這些額外的功能企業是否需要。如有些防火牆產品中會集成VPN等功能。但是,企業是否需要這項功能呢?網路管理員要事先考慮清楚。因為VPN服務不僅在防火牆上可以實現,而且在路由器上也可以實現。如果企業對於VPN有比較高的性能要求的話,甚至可以部署一個專用的VPN伺服器等等。若在防火牆上實現VPN功能,筆者個人認為,有著畫蛇添足的味道。在管理上,沒有其他實現方式那邊簡便與人性化。 另一方面,一些額外的功能會耗費防火牆的資源。上面筆者說過,在實驗室中測試產品的時候,往往只是測試單一的功能。如測試吞吐量的話,會把其他功能關閉掉。若把防火牆的功能都啟用起來的話,則某個指標的數字可能需要打個兩折了。所以,花哨功能多了,就會大大影響防火牆的性能。這就好像一個巨無霸,網路管理員必須為他提供更好的硬體配置,才能夠讓其正常的運行。從硬體資源爭奪的角度上講,筆者也不贊成在防火牆上實現太多的服務。只有專才會精。所以,在防火牆產品的選購時,功能並不是越多越好,而是要看其是否實用。當在一個防火牆伺服器上實現太多的服務,結果就是這些服務對硬體資源的吞噬,最後導致防火牆性能的下降。筆者在防火牆上,往往不會部署過多的套用服務。這就好像不要把雞蛋都放在一個籃子中的原理一樣。萬一防火牆伺服器出現故障,那么VPN、訪問控制列表等功能都將實效。當企業對網路的穩定性要求比較高的話,越加不能夠把多個服務集成在防火牆伺服器上。稍有不測,網路管理員就會搬起石頭,砸自己的腳。在防火牆選購時,過度關注防火牆的輔助功能,這是網路管理員工作上的一個誤區之一。有經驗的網路管理員,都要走出這個誤區。以免給自己以及企業造成不可估量的損失。
誤區三:脫離企業自身的需求。
不少網路管理員在選購網路設備時,有一個壞習慣。他不先考慮企業到底需要實現什麼需求,而是先去考察網路設備。如企業需要選購防火牆的時候,他們不是先考慮企業要用防火牆去實現什麼目的;而是先去考察防火牆市場,看看各個防火牆產品的差異、能夠實現什麼功能等等。如此做法的話,筆者認為有點無的放矢了。在需求不明確的情況下,如何能夠選擇合適的防火牆產品呢?這就好像去買衣服,如果尺寸不知道的話,買來的衣服怎么會合身呢?除非你運氣特別的好.所以,在防火牆選購的時候,網路管理員脫離企業自身的需求,而只從防火牆產品出發,進行防火牆選型。這是企業在選購防火牆的一個誤區。筆者在選擇防火牆的時候,總會花個幾天時間去考慮、去調研,看看企業到底需要利用防火牆實現什麼目的。如是否需要通過防火牆實現網路訪問控制。因為網路訪問控制即可以在路由器上實現,又可以在防火牆上實現。筆者必須對他們進行評估,看看在哪裡實現比較合適。在需求確定之後,再去選購防火牆,則會輕鬆許多。
誤區四:“托”太多,網路評價失去真實性。
前段時間,大家都在批判醫托、房托、股托等等。其實,這種託兒在各行各業都存在。在防火牆行業也在所難免。如在一些專門評測防火牆產品的網站上,很多網友意見都是託兒發表的。這就讓網路評價失去了真實性。所以,對於網友的評價也不能夠全信。筆者在防火牆選購的時候,只是把他們當作參考,有時候甚至不會去看。筆者自己身邊有一些朋友圈子。當筆者需要選購某個網路設備,包括防火牆在內,就直接打電話、或者發郵件向他們徵求意見。毛主席說過,只有實踐是檢驗真理的唯一標準。只有用戶才能夠對產品得出一個客觀的評價。故,筆者認為,對於一些防火牆評測網站或者論壇,我們不能對他們抱太大的希望。因為我們不能夠排除這其中也有托的存在。所以,在防火牆選購上,還是要多問,多測試。最好能夠向自己的朋友圈子直接詢問。太過於迷信網上的評測結果這是網路管理員容易走入的第四個誤區。
誤區五:太過迷信與品牌。
Cisco無疑是網路產品的老大。無論是防火牆還是路由器,在行業內都是數一數二的。有人甚至把他當作網路設備市場的指南針,跟在他屁股後面發展。但是,其價格也是行業內最高的。所以,若從性價比上考慮,其排名可能並不會靠前.對於一些財大氣粗的企業來說,可能就不差這么幾個錢。幾十萬的網路設備,眼都不眨一下,就買過來了。但是對於一些資金相對緊張的企業來說,則在選購防火牆的時候,價格上面可能會有比較大的約束。有時候,甚至成為網路管理員選購防火牆產品的主要參考依據。筆者個人的意見,無論你企業錢多錢少,都不要太過於迷信品牌。而是要更多的在實用性的前提下,看看其性價比。若你企業網路比較簡單,防火牆只需要實現訪問控制即可,網路流量也不大。那么你若去買個思科的防火牆產品,就算你購買其最低端的防火牆產品,也有點大材小用。網路管理員若覺得錢多,還不如考慮看看如何對網路進行升級,以提供更高的網路性能.說實話,筆者企業只有在一些關鍵套用上,對穩定性、流量、安全性要求都比較高的情況下,才考慮選用思科的網路產品。對於一些普通的套用,則選用國內的產品,如方正等,就已經夠用了。雖然集團對於信息化比較重視,不過筆者還是要當個鐵公雞。把資金用在刀刃上。
