高效的性能和高可靠性
防火墙是通过对进入的数据进行过滤来识别是否符合安全策略的,所以在流量比较高时,要求防火墙能以最快的速度及时对所有数据包进行检测,否则就可能造成比较的延时,甚至死机。这个指标非常重要,它体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的代价(延时),用户无法接受过高的代价。如果防火墙对网络造成较大的延时,还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触,有时我们在打开防火墙时上网反应非常慢,而一旦去掉速度就上来了,原因就为因为防火墙过滤速度不够快。
如果防火墙对原有网络带宽影响过大,无疑就是对原有投资的巨大浪费。
目前来说防火墙在类型上基本上都实现了从软件到硬件的转换,算法上也有了很大的优化,一部分防火墙的性能完全可以做到对原有网络的性能影响很小了。具体到用户来说,辨别一款防火墙的性能的优劣,主要可以看看权威评测机构或媒体的性能测试结果,这些结果都是以国际标准RFC2544标准来衡量的,主要包括:网络吞吐量、丢包率、延迟、连接数等,其中吞吐量又是重中之重。Nokia IP1260防火墙可以提供高达4.2Gbps的性能,充分满足大型企业或者电信级运营商的需要。同时,Nokia防火墙还支持集群技术,多台Nokia防火墙可以实现动态的负载均衡,这样不仅能够满足大规模网络的应用,同时还能够充分保护用户的投资。
当然在性能方面,对于不同规模的企业有不同的要求,不一定速度越高越好,像有的小型的局域网出口速率不到1M/s,选用100M/s的防火墙就是多余的。
对于大、中型企业说就应当高度重视防火墙功能的多样性。否则很可能选购回来的防火墙产品根本不能满足当前或者短时间内的未来需求。
质量好的防火墙能够有效地控制通信,能够为不同级别、不同需求的用户提供不同的控制策略。控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出防火墙控制策略的质量。现在大多数的防火墙产品都支持NAT功能,它可以让受防火墙保护一方的IP地址不被暴露。但注意启用NAT后势必会对防火墙系统的性能有所影响。
目前防火墙技术进步很快,功能上也做的五花八门,用户选择上也比较困难。在包过滤方式上,目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他的一些附加的功能可以视实际的需要而定,例如,对于没有固定主机的单位,可能需要身份认证的功能;对网络资源比较紧张的单位,可能需要带宽管理的功能以合理控制资源分配;对于有总部和分支机构的企业,就可能需要选择能支持VPN通讯功能的防火墙产品等等。
