企业该如何选购硬件防火墙

对于公司网络安全来说，防火墙起的是关键性的作用，只有它，才可以防止来自互联网上永不停止的各种威胁。防火墙的选择对远程终端连接到中心系统获取必要资源或完成重要任务的影响也非常大。当选择基于硬件的防火墙时，应当考虑以下十个方面的因素，以确保企业实现投资、安全性和生产力的最大化1、必须可以提供值得信赖的安全在市面上，UTM的种类非常多。根据商业模式的不同，一些网络安全设备可以提供大量的功能和全面的服务，但是需要公司承担高昂的价格，而另一些则只包含了基本的服务，但采购的成本也很低。2、具有良好的易用性在安全方面，全球跨国企业需要多级控制管理，但即使是这些需要大量保护的企业也不应该将设备配置方式限定在命令行模式下。很多防火墙都可以在提供高度安全性的同时，提供友好的图形界面以方便管理。这样做的优点有几个方面。图形用户界面有助于防止安装时间出现错误。在图形用户界面下，更容易地诊断和纠正故障。图形用户界面也更易于培训工作人员，并进行调整、升级和更新。在选择基于硬件的防火墙时，考虑到易用性也会带来很大的好处。一个平台越容易进行管理，就越容易找到可以进行安装、维护和故障处理等工作的专业人士。3、必须包含支持防火墙存在的目的并不限于防止网络黑客的攻击和非法数据输出。一个好的防火墙还应该可以在为远程连接建立安全通道，并对其进行监测。在选择基于硬件的防火墙时，应该确保其支持同类设备的基于SSL-和IPSec-保护的连接(以保护点至点或站点到站点)，让员工可以实现安全连接。4、功能选择要符合实际需求在网络策略中，防火墙通常承担公司网络的互联网网关的角色。对于规模较小的办公室，可以让防火墙承担双重责任，即既作为安全设备又作为网络交换机。同时，对于规模较大的办公环境来说，防火墙属于更大结构的组成部分，这时，它承担的唯一责任就是对流量进行过滤。确保防火墙可以对负载进行分配管理。这就意味着它需要配备必要的以太网端口并拥有适当的速度(如果有必要的话，应该选择10Mbps/100Mbps和/或1000Mbps)。但还有更多要注意的因素，确保你选择的防火墙拥有进行数据包检查的功能，并且可以提供安全服务网关和路由功能。特别要注意的是制造商关于支持最大节点数目的建议。如果超过了路由器的能力，就可能会出现错误，数据传输就会由于缺乏许可或者超过支持范围而中断。5、应该拥有可靠的技术支持硬件出现问题是有可能的。更坏的情况可能是，仅仅因为是新设备并不意味着它一定可以正常工作。全天候的技术支持以及部署过程中的全面技术支持应当包含在和防火墙制造商签定的技术支持合同中。在购买前，应该拨打制造商技术支持团队的电话，了解部署和配置方面的问题。根据答复的速度和内容等情况，可以确定在实地部署出现问题时你将获得服务的情况。6、关注无线网络安全即使在选择基于硬件的防火墙时，公司并不认为这是必须的情况下，也应该将无线网络功能包含进来。IT团队可以在部署的时间关闭无线网络功能。增加无线局域网功能会导致购买成本增加，但对于客户连接或方便地访问网络来说，这是必须的。安全的无线连接是很容易获得的(并不需要购买一台全新的路由器)。对于一家处于变化中的公司企业来说，无线局域网功能可能被证明是必要的。7、可以提供网关安全服务通过设置防火墙，很多公司成功地降低了病毒、间谍软件和垃圾邮件带来的大量威胁。在比较防火墙功能，确定运行费用的时间，为了减低成本，你可以选择在防火墙而不是传统的域控制器或其他服务器上部署这些服务。8、能够进行内容过滤现在很多IT部门都选择使用OpenDNS进行内容过滤，一些防火墙制造商也在设备中提供了网页过滤的选择。对于所有和业务有关的网络服务来说，都需要利用网关安全服务进行内容过滤。这样做的优点是可以实现功能集成在一台设备中。但缺点是，你需要支付相关的费用。因此，在选择基于硬件的防火墙解决方案时，要考虑到公司的需求和预算情况，确定是否应该由防火墙管理内容过滤功能。如果答案是肯定的话，选择一个包含了可靠成熟内容过滤功能的防火墙。9、可以提供专业的监测和报告防火墙可以对关键网络任务进行管理。仅仅一个工作日，一台路由器就可以阻止成千上万的入侵企图、防范各种攻击，并记录失败的网络连接。但这些信息只有包含在易于获取的格式中时，才能为网络管理员提供有效的帮助。对于防火墙来说，不仅需要对重要事件进行监控，而且应该将数据以兼容的格式保存起来。对于一个优秀的防火墙来说，应该至少可以利用电子邮件为重要事件提供警告。10、了解是否具备故障转移功能一些公司可能需要广域网故障转移功能，或者冗余的互联网连接进行自动故障检测和纠正。很多防火墙都不具备自动故障转移支持模式。

首先要确定设备数量，并分类统计。

标准设备的电源口旁边一般都有最大功率说明，或者是额定电流说明，如果只说明了电流，则220V即可。

如果还未购买设备，则可到预购设备厂家官网查询对应型号的技术参数，一般都会给出最大功率说明。除非满负荷工作，否则一般服务器、交换机等设备都不会达到最大功率。

除此之外再加上空调、通风等辅助设备的功耗即可。照明一般属于楼宇统一供电，不计算在内。

防火墙有十大局限性：
一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

一、两种设备产生和存在的背景不同 ①两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个（一系列）数据包是否应该通过、通过后是否会对网络造成危害。
②根本目的不同
路由器的根本目的是：保持网络和数据的“通”。
防火墙根本的的目的是：保证任何非允许的数据包“不通”。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，NetEye防火墙是基于状态包过滤的应用级信息流过滤。
简单应用介绍：企业内网的一台主机，通过路由器对内网提供服务（假设提供服务的端口为tcp 1455）。为了保证安全性，在路由器上需要配置成：外－>内只允许client访问 server的tcp 1455端口，其他拒绝。
针对现在的配置，存在的安全脆弱性如下： 1、IP地址欺骗（使连接非正常复位） 2、TCP欺骗（会话重放和劫持）
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。
NetEye防火墙的默认配置既可以防止各种攻击，达到既用既安全，安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置简单、出错率低。 四、对性能的影响不同
路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器的CPU和内存的需要都非常大，而路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。
虽然，路由器的“Lock-and-Key”功能能够通过动态访问控制列表的方式，实现对用户的认证，但该特性需要路由器提供Telnet服务，用户在使用使也需要先Telnet到路由器上，使用起来不很方便，同时也不够安全（开放的端口为黑客创造了机会）。 三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。
NetEye防火墙的默认配置既可以防止各种攻击，达到既用既安全，安全策略的制定是基于全中文的GUI的管理工具，其安全策略的制定人性化，配置简单、出错率低。 四、对性能的影响不同
路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器的CPU和内存的需要都非常大，而路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高（采用通用的INTEL芯片，性能高且成本低），其软件也为数据包的过滤进行了专门的优化，其主要模块运行在 *** 作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而NetEye防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器（如syslog，trap）等来完成对日志、事件的存储；路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言；路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等 *** 作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。 NetEye防火墙的日志存储介质有两种，包括本身的硬盘存储，和单独的日志服务器；针对这两种存储，NetEye防火墙都提供了强大的审计分析工具，使管理员可以非常容易分析出各种安全隐患；NetEye防火墙对安全事件的响应的及时性，还体现在他的多种报警方式上，包括蜂鸣、trap、邮件、日志；NetEye防火墙还具有实时监控功能，可以在线监控通过防火墙的连接，同时还可以捕捉数据包进行分析，非分析网络运行情况，排除网络故障提供了方便。 六、防范攻击的能力不同
对于像Cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级IOS为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本，而且很多厂家的路由器不具有这样的高级安全功能。可以得出：
☆具有防火墙特性的路由器成本——防火墙 + 路由器 ☆具有防火墙特性的路由器功能 ☆具有防火墙特性的路由器可扩展性
综上所述，可以得出结论：用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准，决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求！
即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必需的和必要的；如果用户的环境、应用比较复杂，那么防火墙将能够带来更多的好处，防火墙将是网络建设中不可或缺的一部分，对于通常的网络来说，路由器将是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。

---