網際網路為什麼要設立防火牆

  防火牆可以是一臺專屬的硬體也可以是架設在一般硬體上的一套軟體。那麼,?

  在網際網路中,人們採用類似防火牆的裝置,保護內部或私人的網路資源不受侵害,具備這種功能的裝置被稱為“防火牆”。防火牆實際是一種插在內部網與網際網路之間的隔離系統,作為兩者之間的關卡,起到加強系統安全與資訊審查的功能。建立防火牆的目的是保護內部網路不受外來攻擊,為此需要確定“防火牆安全策略” 。目前主要有兩種截然不同的安全策略:一是拒絕一切未被特許的資訊進入內部網;一是允許一切未被拒絕的資訊進入。從網路的安全性來考慮,前都除了被確認是可信任的資訊外,其他的資訊都不允許通過,對網路的互聯性有一定的影響,但安全性好;後者的意思是,除了被確認是來自不可信任的資訊源以外的資訊都可以進入內部網路,這樣有利於資訊交換,但存在一定的安全隱患。


防火牆

  防火牆選購誤區

  防火牆是好,但是,若選擇不當的話,可能會起到相反的作用。在這裡,筆者想跟大家交流一下防火牆選購的經驗。筆者結合自己與朋友防火牆管理方面的心得,總結出了防火牆選購中的五大誤區。權當拋磚引玉。

  誤區一:太過於相信實驗資料。

  在防火牆的產品說明中,往往會有一些效能、功能方面的參考數字。如吞吐量有6G, 抗病毒能力有多強等等。對於這些數字我們在防火牆選購的時候不能夠太過於迷信。而應該以辯證的眼光去看待這些數字。

  一方面,這些數字都是實驗資料。也就是說,是在一個相對合理的、干擾因素比較少的情況下得出的資料。但是,說實話,任何一個企業的網路環境都不可能達到他們測試產品的那種水準。當企業主機數量比較多,若分段不合理,就會造成比較多的網路廣播,那時也會影響到這個最終的有效吞吐量。所以,對於實驗室出來的資料,我們往往要打個對摺。

  另一方面,不能夠光看某個指標。在選購防火牆的時候,有多大幾十項的指標,若其中一個指標,如吞吐量,即使高達10G,但是,若其他指標跟不上去的話,那麼一切都是白搭。有時候,廠商在測試產品的時候,往往會把某些功能關掉後再進行測試。在這種情況下,測試出來的資料,實用價值不會很大。因為若把其他功能關掉,就啟用一項功能,則CPU等硬體資源就不會發生爭奪。如此,某個指標的數字看起來就會好看許多。而在企業中部署防火牆的時候,不可能只用一項功能。把其他功能開起來的話,則這個數字就會打折扣了。

  總之,在防火牆選購的時候,不要太過於相信實驗資料。對於他們從實驗室得出來的數字,筆者往往會給他們打個對摺。打折後的資料,可能水分會少一點。所以,實驗資料只能拿來參考。在有條件的情況下,網路管理員要結合自己的公司網路環境,對防火牆產品進行測試。這測試出來的結果,對於我們防火牆選購才會有參考價值。

  網路管理員不要走入這個誤區。否則的話,網路管理員只有自己消化由此帶來的苦果了。

  誤區二:功能花哨卻不實用。

  資訊化技術越來越複雜,而且防火牆的競爭也越來越激烈。所以,防火牆廠商為了提供自己產品的市場競爭力,就往往在自己的防火牆產品中整合比較多的功能,以增加市場的賣點。

  對於這些功能,我們要冷眼看待。

  一方面,要看看這些額外的功能企業是否需要。如有些防火牆產品中會整合等功能。但是,企業是否需要這項功能呢?網路管理員要事先考慮清楚。因為服務不僅在防火牆上可以實現,而且在路由器上也可以實現。如果企業對於有比較高的效能要求的話,甚至可以部署一個專用的伺服器等等。若在防火牆上實現功能,筆者個人認為,有著畫蛇添足的味道。在管理上,沒有其他實現方式那邊簡便與人性化。

  另一方面,一些額外的功能會耗費防火牆的資源。上面筆者說過,在實驗室中測試產品的時候,往往只是測試單一的功能。如測試吞吐量的話,會把其他功能關閉掉。若把防火牆的功能都啟用起來的話,則某個指標的數字可能需要打個兩折了。所以,花哨功能多了,就會大大影響防火牆的效能。這就好像一個巨無霸,網路管理員必須為他提供更好的硬體配置,才能夠讓其正常的執行 [7]。