對于公司網(wǎng)絡(luò)安全來說，防火墻起的是關(guān)鍵性的作用，只有它，才可以防止來自互聯(lián)網(wǎng)上永不停止的各種威脅。防火墻的選擇對遠(yuǎn)程終端連接到中心系統(tǒng)獲取必要資源或完成重要任務(wù)的影響也非常大。當(dāng)選擇基于硬件的防火墻時(shí)，應(yīng)當(dāng)考慮以下十個(gè)方面的因素，以確保企業(yè)實(shí)現(xiàn)投資、安全性和生產(chǎn)力的最大化。

1、必須可以提供值得信賴的安全

在市面上，UTM的種類非常多。根據(jù)商業(yè)模式的不同，一些網(wǎng)絡(luò)安全設(shè)備可以提供大量的功能和全面的服務(wù)，但是需要公司承擔(dān)高昂的價(jià)格，而另一些則只包含了基本的服務(wù)，但采購的成本也很低。因此，選擇的時(shí)間一定要確保平臺是公認(rèn)和值得信賴的。華為、思科、H3C(華為和3com的合資公司)、SonicWALL和WatchGuard都屬于擁有市場份額的著名品牌，它們獲得的市場份額就是可以提供值得信賴安全的很好的理由。無論你選擇什么品牌的防火墻，都應(yīng)該確保其通過國際計(jì)算機(jī)安全協(xié)會(ICSA)的認(rèn)證，符合數(shù)據(jù)包檢測的行業(yè)標(biāo)準(zhǔn)。

2、具有良好的易用性

在安全方面，全球跨國企業(yè)需要多級控制管理，但即使是這些需要大量保護(hù)的企業(yè)也不應(yīng)該將設(shè)備配置方式限定在命令行模式下。很多防火墻都可以在提供高度安全性的同時(shí)，提供友好的圖形界面以方便管理。這樣做的優(yōu)點(diǎn)有幾個(gè)方面。圖形用戶界面有助于防止安裝時(shí)間出現(xiàn)錯(cuò)誤。在圖形用戶界面下，更容易地診斷和糾正故障。圖形用戶界面也更易于培訓(xùn)工作人員，并進(jìn)行調(diào)整、升級和更新。在選擇基于硬件的防火墻時(shí)，考慮到易用性也會帶來很大的好處。一個(gè)平臺越容易進(jìn)行管理，就越容易找到可以進(jìn)行安裝、維護(hù)和故障處理等工作的專業(yè)人士。

3、必須包含VPN支持

防火墻存在的目的并不限于防止網(wǎng)絡(luò)黑客的攻擊和非法數(shù)據(jù)輸出。一個(gè)好的防火墻還應(yīng)該可以在為遠(yuǎn)程連接建立安全通道，并對其進(jìn)行監(jiān)測。在選擇基于硬件的防火墻時(shí)，應(yīng)該確保其支持同類設(shè)備的基于SSL-和IPSec-保護(hù)的VPN連接(以保護(hù)點(diǎn)至點(diǎn)或站點(diǎn)到站點(diǎn)VPN)，讓員工可以實(shí)現(xiàn)安全連接。VPN也是巨靈鳥經(jīng)常采用的方式，巨靈鳥與90%的客戶都是通過VPN來訪問客戶主機(jī)的，從而幫助客戶及時(shí)解決問題,同時(shí)也降低了維護(hù)成本。

4、功能選擇要符合實(shí)際需求

在網(wǎng)絡(luò)策略中，防火墻通常承擔(dān)公司網(wǎng)絡(luò)的互聯(lián)網(wǎng)網(wǎng)關(guān)的角色。對于規(guī)模較小的辦公室，可以讓防火墻承擔(dān)雙重責(zé)任，即既作為安全設(shè)備又作為網(wǎng)絡(luò)交換機(jī)。同時(shí)，對于規(guī)模較大的辦公環(huán)境來說，防火墻屬于更大結(jié)構(gòu)的組成部分，這時(shí)，它承擔(dān)的唯一責(zé)任就是對流量進(jìn)行過濾。確保防火墻可以對負(fù)載進(jìn)行分配管理。這就意味著它需要配備必要的以太網(wǎng)端口并擁有適當(dāng)?shù)乃俣?如果有必要的話，應(yīng)該選擇10Mbps/100Mbps和/或1000Mbps)。但還有更多要注意的因素，確保你選擇的防火墻擁有進(jìn)行數(shù)據(jù)包檢查的功能，并且可以提供安全服務(wù)網(wǎng)關(guān)和路由功能。特別要注意的是制造商關(guān)于支持最大節(jié)點(diǎn)數(shù)目的建議。如果超過了路由器的能力，就可能會出現(xiàn)錯(cuò)誤，數(shù)據(jù)傳輸就會由于缺乏許可或者超過支持范圍而中斷。

5、應(yīng)該擁有可靠的技術(shù)支持

硬件出現(xiàn)問題是有可能的。更壞的情況可能是，僅僅因?yàn)槭切略O(shè)備并不意味著它一定可以正常工作。全天候的技術(shù)支持以及部署過程中的全面技術(shù)支持應(yīng)當(dāng)包含在和防火墻制造商簽定的技術(shù)支持合同中。在購買前，應(yīng)該撥打制造商技術(shù)支持團(tuán)隊(duì)的電話，了解部署和配置方面的問題。根據(jù)答復(fù)的速度和內(nèi)容等情況，可以確定在實(shí)地部署出現(xiàn)問題時(shí)你將獲得服務(wù)的情況。

6、關(guān)注無線網(wǎng)絡(luò)安全

即使在選擇基于硬件的防火墻時(shí)，公司并不認(rèn)為這是必須的情況下，也應(yīng)該將無線網(wǎng)絡(luò)功能包含進(jìn)來。IT團(tuán)隊(duì)可以在部署的時(shí)間關(guān)閉無線網(wǎng)絡(luò)功能。增加無線局域網(wǎng)功能會導(dǎo)致購買成本增加，但對于客戶連接或方便地訪問網(wǎng)絡(luò)來說，這是必須的。安全的無線連接是很容易獲得的(并不需要購買一臺全新的路由器)。對于一家處于變化中的公司企業(yè)來說，無線局域網(wǎng)功能可能被證明是必要的。

7、可以提供網(wǎng)關(guān)安全服務(wù)

通過設(shè)置防火墻，很多公司成功地降低了病毒、間諜軟件和垃圾郵件帶來的大量威脅。在比較防火墻功能，確定運(yùn)行費(fèi)用的時(shí)間，為了減低成本，你可以選擇在防火墻而不是傳統(tǒng)的域控制器或其他服務(wù)器上部署這些服務(wù)。

8、能夠進(jìn)行內(nèi)容過濾

現(xiàn)在很多IT部門都選擇使用OpenDNS進(jìn)行內(nèi)容過濾，一些防火墻制造商也在設(shè)備中提供了網(wǎng)頁過濾的選擇。對于所有和業(yè)務(wù)有關(guān)的網(wǎng)絡(luò)服務(wù)來說，都需要利用網(wǎng)關(guān)安全服務(wù)進(jìn)行內(nèi)容過濾。這樣做的優(yōu)點(diǎn)是可以實(shí)現(xiàn)功能集成在一臺設(shè)備中。但缺點(diǎn)是，你需要支付相關(guān)的費(fèi)用。

因此，在選擇基于硬件的防火墻解決方案時(shí)，要考慮到公司的需求和預(yù)算情況，確定是否應(yīng)該由防火墻管理內(nèi)容過濾功能。如果答案是肯定的話，選擇一個(gè)包含了可靠成熟內(nèi)容過濾功能的防火墻。

9、可以提供專業(yè)的監(jiān)測和報(bào)告

防火墻可以對關(guān)鍵網(wǎng)絡(luò)任務(wù)進(jìn)行管理。僅僅一個(gè)工作日，一臺路由器就可以阻止成千上萬的入侵企圖、防范各種攻擊，并記錄失敗的網(wǎng)絡(luò)連接。但這些信息只有包含在易于獲取的格式中時(shí)，才能為網(wǎng)絡(luò)管理員提供有效的幫助。

對于防火墻來說，不僅需要對重要事件進(jìn)行監(jiān)控，而且應(yīng)該將數(shù)據(jù)以兼容的格式保存起來。對于一個(gè)優(yōu)秀的防火墻來說，應(yīng)該至少可以利用電子郵件為重要事件提供警告。

10、了解是否具備故障轉(zhuǎn)移功能

一些公司可能需要廣域網(wǎng)故障轉(zhuǎn)移功能，或者冗余的互聯(lián)網(wǎng)連接進(jìn)行自動故障檢測和糾正。很多防火墻都不具備自動故障轉(zhuǎn)移支持模式。如果該功能對貴公司來說是至關(guān)重要的話，請確認(rèn)你選擇的防火墻包含了無縫切換模式;即使是高端防火墻，在默認(rèn)情況下，也不一定包括這樣的功能。此外，請確保選擇的模式符合公司的使用情況。舉例來說，如果一個(gè)單位擁有兩個(gè)RJ　-　45廣域以太網(wǎng)端口的話，在第2個(gè)端口運(yùn)行無線網(wǎng)卡將沒有什么好處。在這種情況下，USB接口的GSM卡或適配器才是比較適當(dāng)?shù)倪x擇。

來源：巨靈鳥 歡迎分享本文