如何选择硬件防火墙

1、如何选择硬件防火墙 防火墙是目前使用最为广泛的网络安全产品之一，用户在选购时应该注意 以下几点： 1、防火墙架构的选择 目前主流防火墙在硬件架构存在着三大架要构，1传统的X86架构，2专用 集成电路（ASIC技术架构，3专用多核网络处理架构。 国内多数安全厂商的产品基于传统的 X86架构防火墙，该架构开发简单， 功能丰富，但是其PCI总线速率的限制以及中断的传输机制导致其吞吐只能达到 百兆级别且在网络流量小包居多时性能下降非常严重。 基于ASIC架构的防火墙从架构上改进了中断机制，数据从网卡收到以后， 不经过主CPU处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片 来完成传统防火墙的功

2、能，如： 路由、NAT、防火墙规则匹配等。这也是防火墙的吞吐一举从百兆级别上升 到千兆级别。但随之而来的问题是，ASIC架构的防火墙是芯片一级的，所有的 防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期 比较长。无法在芯片一级完成垃圾邮件过滤、网络监控、病毒防护等比较复杂 的功能。 采用多核处理器架构的防火墙，是在同一个硅晶片上集成了多个独立物理 核心，每个核心都具有独立的逻辑结构，包括缓存、执行单元、指令级单元和 总线接口等逻辑单元，通过高速总线、内存共享进行通信。在实际工作中，每 个核心都可以达到1Ghz的主频，而且可以在非常节能的方式下运行。有的多核 产品支持500万

3、并发会话64Byte吞吐量达到3G, 256Byte以上吞吐达到8G, VPN吞吐达到8G,支持3万VPN通道，支持5万Policy。每秒新建TCP会话超 过20万，每秒处理UDP会话超过50万。在每秒创建5000TCP会话作为背景流 量，可以检测并防御80万包/每秒以上的SYN-FLOO攻击，更是达到了万兆线 速。一系列的性能测试结果足以傲视众多安全平台。 2、防火墙自身的 xx 防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性 关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的 安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的 安全实现

4、也直接影响整体系统的安全性。另外产品是否有过安全漏洞历史、是 否有被拒绝服务攻击击溃的历史等方面也是值得参考的。 3、系统的稳定性 目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就 被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断： 从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察 某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间 接了解其稳定性。 实际调查，这是最有效的办法： 考察这种防火墙是否已经有了使用单位、其用户量如何，特别是用户们对 于该防火墙的评价。自己试用。在自己的网络上进行一段时间的试用（一个 月左右）。 产品

5、是厂商自己研发还是 OEM别的厂家的产品，如果是 OEM的，后续 产品的更新，bug的解决都会受到很大限制；如果是自己研发，那么技术团队的 背景很重要，是否有多年的研发经验、是否有过成功的产品。 4、高效性 高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由 于使用防火墙而带来了网络性能较大幅度的下降，如网络延时增大，出现掉包 等现象，就意味着安全代价过高。 5、是否可靠 可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用 性。 从系统设计上，提高可靠性的措施一般是提高本身部件的强健性（例如 MTBF值）和增加冗余部件（是否支持双机热备或者当设备的CPU其中某个核出

6、 现问题时其他核是否能接替其工作），这要求有较高的生产标准和设计冗余 度。 6、是否功能灵活 对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用 户的各类安全控制需求的控制注意。例如对普通用户，只要对IP地址进行过滤 即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级 别子网进行单向访问。 7、是否管理简便 网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调 整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整 外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑 安全需要的前提下，必须提供方便灵活的管理方式和方法，这

7、通常体现为管理 途径、管理工具和管理权限。 8、是否可以抵抗拒绝服务攻击 在当前的网络攻击中 ,拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务 攻击应该是防火墙的主要功能之一。目前有很多防火墙号称可以抵御拒绝服务 攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻 击。 在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。 9、数据处理性能 防火墙控制的对象是网络数据，因此数据处理能力是用户在购买产品前要 着重考察的一项。主要的衡量指标包括吞吐量、转发率、丢包率、缓冲能力和 延迟等，通过这些参数的对比可以了解一款硬件防火墙产品的硬件性能。这个 时候不能迷信厂家所给出

8、的数据表，多参考第三方评测数据或者别的产品的参 数才是上选。 另外，吞吐量的大小主要由防火墙内网卡，及程序算法的效率决定，尤其 是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此在参考数 据时也不要迷信绝对数据，算法的不同也会导致吞吐量有很大的差别。如果没 有专业的性能测试设备，可以通过设备在不同流量下的资源利用率（如CPU利 用率）来判断该防火墙的性能，还有在增加各种策略时防火墙资源利用率的变 化也是我们需要考虑的一个方面，比如开启了流控，或者一条规则与上百上千 条规则时防火墙资源利用率的变化。另外对于防火墙性能的选择我们还需要考 虑到今后几年网络与带宽的变化。 10、xx 记录能

9、力 所有的安全系统都在遭受着被攻击的危险，一款日志功能强大的防火墙， 记录的项目比较全面，可以有效的防范日志被窜改，并能利用多种途径将日志 数据定期备份到指定机器等，这些都给企业日后追究攻击者的法律责任提供了 有效的依据。 11、功能的选择 一个防火墙不是功能越多越好，而是看你需要什么功能，而你需要的这些 功能，该防火墙是否支持，实现效果是否理想。 12、是否可扩展、可升级 用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进 行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御 新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防 的，同时用户也要为

10、此花费更多的钱。 二、新邦物流目前需求 1、网络攻击防护；数据中心为整个信息化处理中央中枢，一量遭受攻击将 直接影响整个业务系统的正常运行，损失不可以估量。 2、病毒防护： 做为整个业务的核心位置，后台运行着数据库服务器，其一旦感染来自互 联网的病毒，将造成数据丢失，篡改，异常；不但会影响业务运行，同时会涉 及到法律问题。 3 ISP路由需求： 新邦公司的业务已遍布全国大江南北，超过 500多个营业网点， 7000 余 人，业务量为海量级；而由于中国电信、中国联通等运营商在互访时相互做了 大量访问流量限制，间接影响到新邦物流订单，业务处理的速度和质量。 4、多链路冗余： 为保障业务可靠性，通畅性，高效性。新邦引用了多条链路，但使