企业网络防火墙选购指南

企业网络防火墙选购指南

业务部门不仅仅应该有安全设备，更需要有企业网络防火墙。由于路由器通常用于重要的网络节点，很难想象购买错误的防火墙所需的能量。选择防火墙是业务运营和管理人员的必备技能。

防火墙也是最基本的安全设备，通过访问控制，黑客可以限制访问范围、攻击区域和减少破坏区域。

防火墙上的ipsec和sslvpn模块也是远程网络和办公的重要工具。

防火墙大大减少了公共网络地址的使用，并通过NAT最大限度地提高了资源利用率。

新一代防火墙集成了市场上所有可集成的安全功能（如IP、防病毒、应用程序检测、WAF、防篡改等），与UTM相比，无需多次开箱。它在优化性能的同时增强了网络安全性。

购买企业网络防火墙的主要参数

1、默认参数：

1）硬件规格：主要因素是网络端口的数量和机柜大小。支持两个电源是必要的，但其他因素是次要的。性能取决于吞吐量，而CPU类型并不重要。如果您重视应用层的功能，那么从X86体系结构购买硬件非常好。

2）交换容量或背板带宽：IDC通常更喜欢这些带宽。防火墙也可以用作交换机，但这些参数很少被考虑，也没有什么意义。将它们用作开关有点夸张。

3）第三层吞吐量：网络层的吞吐量通常记录为G，所有网络端口的接收流量不能超过第三层的吞吐量，否则数据包将丢失，可能会出现网络拥塞或网络故障。通常，测试吞吐量需要一个外包的硬件设备，可以根据需要提前准备。此参数显示在主交换机上，以确定主交换机的接收流量以及未来的扩展和高峰时段。您需要腾出空间，通常选择两倍的空间更安全。

4）7层吞吐量：应用程序检测、互联网行为管理、SSL VPN、病毒检测在使用IPS等应用程序分层功能时需要考虑的参数通常以数百万字节为单位。根据制造商的优化，这些参数远低于第3层的吞吐量。请确保某些服务提供商混淆了参数，并将第3层的吞吐量标记为第7层。事实上，这个参数很难计算，需要估计。

5）并行连接和最大会话：百度和智好的访问是两个不同的会话。您可以根据网络上预期的会话数量来选择防火墙。通常，防火墙会自动断开长时间无响应的会话。

6）访问控制策略和NAT支持的最大数量：当超过这个数量时，许多防火墙将无法运行，因此它们通常基于数万个项目。

7）最大ADSL拨号支持：一般来说，一线制造商不支持无问题的低端防火墙。一些第三层制造商还区分广域网和局域网端口，这是非常不人道的。

8）路由协议支持：RIP、OSPF、BGP等。EIGRP仅在Cisco中可用，其他用户无法访问。

2、高级参数

1）SSL VPN用户：SSL VPN许可证通常根据用户数量计算。

2）如果您需要管理互联网行为并记录IPS防病毒日志，则需要硬盘空间。否则，它将需要在CF卡上保存几个月。

3）AV防病毒参数：支持的病毒库、支持的病毒类型、支持的扫描协议、压缩包的解压层，是否为沙盒

4）IPv6支持被认为是未来可用的保留功能，例如NAT4-6、6-4和6-6相互转换。

5）流量控制通道支持什么级别？一般来说，它在四层以下，最好支持四层以上

6）网络测试工具：ping、telnet、tracert等

7）配置管理：配置导入和导出加密、回滚配置等。

8）负载平衡：链路负载、服务器负载

3、防火墙计算机测试

部署模式：建议使用路由模式和热备盘部署，因为这两种系统是最成熟的解决方案。