防火墻的選購(gòu)誤區(qū)

　　防火墻就如同企業(yè)網(wǎng)絡(luò)的保護(hù)神，對(duì)于企業(yè)網(wǎng)絡(luò)的安全有著不可低估的作用。年末，不少企業(yè)也會(huì)乘著企業(yè)業(yè)務(wù)比較空閑這個(gè)時(shí)機(jī)，來(lái)調(diào)整網(wǎng)絡(luò)配置。如筆者身邊不少的朋友，打算在年底買(mǎi)個(gè)防火墻，來(lái)鞏固自己的網(wǎng)絡(luò)安全。

　　防火墻是好，但是，若選擇不當(dāng)?shù)脑�，可能�?huì)起到相反的作用。在這里，筆者想跟大家交流一下防火墻選購(gòu)的經(jīng)驗(yàn)。筆者結(jié)合自己與朋友防火墻管理方面的心得，總結(jié)出了防火墻選購(gòu)中的五大誤區(qū)。權(quán)當(dāng)拋磚引玉。

　　誤區(qū)一：太過(guò)于相信實(shí)驗(yàn)數(shù)據(jù)。

　　在防火墻的產(chǎn)品說(shuō)明中，往往會(huì)有一些性能、功能方面的參考數(shù)字。如吞吐量有6G， 抗病毒能力有多強(qiáng)等等。對(duì)于這些數(shù)字我們?cè)诜阑饓�選購(gòu)的時(shí)候不能夠太過(guò)于迷信。而應(yīng)該以辯證的眼光去看待這些數(shù)字。

　　一方面，這些數(shù)字都是實(shí)驗(yàn)數(shù)據(jù)。也就是說(shuō)，是在一個(gè)相對(duì)合理的、干擾因素比較少的情況下得出的數(shù)據(jù)。但是，說(shuō)實(shí)話，現(xiàn)在任何一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境可以達(dá)到他們測(cè)試產(chǎn)品的那種水準(zhǔn)。當(dāng)企業(yè)主機(jī)數(shù)量比較多，若分段不合理，就會(huì)造成比較多的網(wǎng)絡(luò)廣播，那時(shí)也會(huì)影響到這個(gè)最終的有效吞吐量。所以，對(duì)于實(shí)驗(yàn)室出來(lái)的數(shù)據(jù)，我們往往要打個(gè)對(duì)折。

　　另一方面，不能夠光看某個(gè)指標(biāo)。在選購(gòu)防火墻的時(shí)候，有多大幾十項(xiàng)的指標(biāo)，若其中一個(gè)指標(biāo)，如吞吐量，即使高達(dá)10G，但是，若其他指標(biāo)跟不上去的話，那么一切都是白搭。有時(shí)候，廠商在測(cè)試產(chǎn)品的時(shí)候，往往會(huì)把某些功能關(guān)掉后再進(jìn)行測(cè)試。在這種情況下，測(cè)試出來(lái)的數(shù)據(jù)，實(shí)用價(jià)值不會(huì)很大。因?yàn)槿舭哑渌�功能關(guān)掉，就啟用一項(xiàng)功能，則CPU等硬件資源就不會(huì)發(fā)生爭(zhēng)奪。如此，某個(gè)指標(biāo)的數(shù)字看起來(lái)就會(huì)好看許多。而在企業(yè)中部署防火墻的時(shí)候，不可能只用一項(xiàng)功能。把其他功能開(kāi)起來(lái)的話，則這個(gè)數(shù)字就會(huì)打折扣了。

　　總之，在防火墻選購(gòu)的時(shí)候，不要太過(guò)于相信實(shí)驗(yàn)數(shù)據(jù)。對(duì)于他們從實(shí)驗(yàn)室得出來(lái)的數(shù)字，筆者往往會(huì)給他們打個(gè)對(duì)折。打折后的數(shù)據(jù)，可能水分會(huì)少一點(diǎn)。所以，實(shí)驗(yàn)數(shù)據(jù)只能拿來(lái)參考。在有條件的情況下，網(wǎng)絡(luò)管理員要結(jié)合自己的公司網(wǎng)絡(luò)環(huán)境，對(duì)防火墻產(chǎn)品進(jìn)行測(cè)試。這測(cè)試出來(lái)的結(jié)果，對(duì)于我們防火墻選購(gòu)才會(huì)有參考價(jià)值。

　　網(wǎng)絡(luò)管理員不要走入這個(gè)誤區(qū)。否則的話，網(wǎng)絡(luò)管理員只有自己消化由此帶來(lái)的苦果了。

　　誤區(qū)二：功能花哨卻不實(shí)用。

　　信息化技術(shù)現(xiàn)在越來(lái)越復(fù)雜，而且防火墻的競(jìng)爭(zhēng)也越來(lái)越激烈。所以，防火墻廠商為了提供自己產(chǎn)品的市場(chǎng)競(jìng)爭(zhēng)力，就往往在自己的防火墻產(chǎn)品中集成比較多的功能，以增加市場(chǎng)的賣(mài)點(diǎn)。

　　對(duì)于這些功能，我們要冷眼看待。

　　一方面，要看看這些額外的功能企業(yè)是否需要。如有些防火墻產(chǎn)品中會(huì)集成VPN等功能。但是，企業(yè)是否需要這項(xiàng)功能呢?網(wǎng)絡(luò)管理員要事先考慮清楚。因?yàn)閂PN服務(wù)不僅在防火墻上可以實(shí)現(xiàn)，而且在路由器上也可以實(shí)現(xiàn)。如果企業(yè)對(duì)于VPN有比較高的性能要求的話，甚至可以部署一個(gè)專(zhuān)用的VPN服務(wù)器等等。若在防火墻上實(shí)現(xiàn)VPN功能，筆者個(gè)人認(rèn)為，有著畫(huà)蛇添足的味道。在管理上，沒(méi)有其他實(shí)現(xiàn)方式那邊簡(jiǎn)便與人性化。

　　另一方面，一些額外的功能會(huì)耗費(fèi)防火墻的資源。上面筆者說(shuō)過(guò)，在實(shí)驗(yàn)室中測(cè)試產(chǎn)品的時(shí)候，往往只是測(cè)試單一的功能。如測(cè)試吞吐量的話，會(huì)把其他功能關(guān)閉掉。若把防火墻的功能都啟用起來(lái)的話，則某個(gè)指標(biāo)的數(shù)字可能需要打個(gè)兩折了。所以，花哨功能多了，就會(huì)大大影響防火墻的性能。這就好像一個(gè)巨無(wú)霸，網(wǎng)絡(luò)管理員必須為他提供更好的硬件配置，才能夠讓其正常的運(yùn)行。從硬件資源爭(zhēng)奪的角度上講，筆者也不贊成在防火墻上實(shí)現(xiàn)太多的服務(wù)。只有專(zhuān)才會(huì)精。

　　所以，在防火墻產(chǎn)品的選購(gòu)時(shí)，功能并不是越多越好，而是要看其是否實(shí)用。當(dāng)在一個(gè)防火墻服務(wù)器上實(shí)現(xiàn)太多的服務(wù)，結(jié)果就是這些服務(wù)對(duì)硬件資源的吞噬，最后導(dǎo)致防火墻性能的下降。筆者在防火墻上，往往不會(huì)部署過(guò)多的應(yīng)用服務(wù)。這就好像不要把雞蛋都放在一個(gè)籃子中的原理一樣。萬(wàn)一防火墻服務(wù)器出現(xiàn)故障，那么VPN、訪問(wèn)控制列表等功能都將實(shí)效。當(dāng)企業(yè)對(duì)網(wǎng)絡(luò)的穩(wěn)定性要求比較高的話，越加不能夠把多個(gè)服務(wù)集成在防火墻服務(wù)器上。稍有不測(cè)，網(wǎng)絡(luò)管理員就會(huì)搬起石頭，砸自己的腳。

　　在防火墻選購(gòu)時(shí)，過(guò)度關(guān)注防火墻的輔助功能，這是網(wǎng)絡(luò)管理員工作上的一個(gè)誤區(qū)之一。有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員，都要走出這個(gè)誤區(qū)。以免給自己以及企業(yè)造成不可估量的損失。

　　誤區(qū)三：脫離企業(yè)自身的需求。

　　不少網(wǎng)絡(luò)管理員在選購(gòu)網(wǎng)絡(luò)設(shè)備時(shí)，有一個(gè)壞習(xí)慣。他不先考慮企業(yè)到底需要實(shí)現(xiàn)什么需求，而是先去考察網(wǎng)絡(luò)設(shè)備。如企業(yè)需要選購(gòu)防火墻的時(shí)候，他們不是先考慮企業(yè)要用防火墻去實(shí)現(xiàn)什么目的;而是先去考察防火墻市場(chǎng)，看看各個(gè)防火墻產(chǎn)品的差異、能夠?qū)崿F(xiàn)什么功能等等。

　　如此做法的話，筆者認(rèn)為有點(diǎn)無(wú)的放矢了。在需求不明確的情況下，如何能夠選擇合適的防火墻產(chǎn)品呢?這就好像去買(mǎi)衣服，如果尺寸不知道的話，買(mǎi)來(lái)的衣服怎么會(huì)合身呢?除非你運(yùn)氣特別的好。

　　所以，在防火墻選購(gòu)的時(shí)候，網(wǎng)絡(luò)管理員脫離企業(yè)自身的需求，而只從防火墻產(chǎn)品出發(fā)，進(jìn)行防火墻選型。這是企業(yè)在選購(gòu)防火墻的一個(gè)誤區(qū)。

　　筆者在選擇防火墻的時(shí)候，總會(huì)花個(gè)幾天時(shí)間去考慮、去調(diào)研，看看企業(yè)到底需要利用防火墻實(shí)現(xiàn)什么目的。如是否需要通過(guò)防火墻實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制。因?yàn)榫W(wǎng)絡(luò)訪問(wèn)控制即可以在路由器上實(shí)現(xiàn)，又可以在防火墻上實(shí)現(xiàn)。筆者必須對(duì)他們進(jìn)行評(píng)估，看看在哪里實(shí)現(xiàn)比較合適。在需求確定之后，再去選購(gòu)防火墻，則會(huì)輕松許多。

　　誤區(qū)四：“托”太多，網(wǎng)絡(luò)評(píng)價(jià)失去真實(shí)性。

　　前段時(shí)間，大家都在批判醫(yī)托、房托、股托等等。其實(shí)，這種托兒在各行各業(yè)都存在。在防火墻行業(yè)也在所難免。如在一些專(zhuān)門(mén)評(píng)測(cè)防火墻產(chǎn)品的網(wǎng)站上，很多網(wǎng)友意見(jiàn)都是托兒發(fā)表的。這就讓網(wǎng)絡(luò)評(píng)價(jià)失去了真實(shí)性。

　　所以，對(duì)于網(wǎng)友的評(píng)價(jià)也不能夠全信。筆者在防火墻選購(gòu)的時(shí)候，只是把他們當(dāng)作參考，有時(shí)候甚至不會(huì)去看。筆者自己身邊有一些朋友圈子。當(dāng)筆者需要選購(gòu)某個(gè)網(wǎng)絡(luò)設(shè)備，包括防火墻在內(nèi)，就直接打電話、或者發(fā)郵件向他們征求意見(jiàn)。毛主席說(shuō)過(guò)，只有實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。只有用戶才能夠?qū)Ξa(chǎn)品得出一個(gè)客觀的評(píng)價(jià)。

　　故，筆者認(rèn)為，對(duì)于一些防火墻評(píng)測(cè)網(wǎng)站或者論壇，我們不能對(duì)他們抱太大的希望。因?yàn)槲覀儾荒軌蚺懦�這其中也有托的存在。所以，在防火墻選購(gòu)上，還是要多問(wèn)，多測(cè)試。最好能夠向自己的朋友圈子直接詢問(wèn)。太過(guò)于迷信網(wǎng)上的評(píng)測(cè)結(jié)果這是網(wǎng)絡(luò)管理員容易走入的第四個(gè)誤區(qū)。

　　誤區(qū)五：太過(guò)迷信與品牌。

　　Cisco無(wú)疑是網(wǎng)絡(luò)產(chǎn)品的老大。無(wú)論是防火墻還是路由器，在行業(yè)內(nèi)都是數(shù)一數(shù)二的。有人甚至把他當(dāng)作網(wǎng)絡(luò)設(shè)備市場(chǎng)的指南針，跟在他屁股后面發(fā)展。但是，其價(jià)格也是行業(yè)內(nèi)最高的。所以，若從性價(jià)比上考慮，其排名可能并不會(huì)靠前。

　　對(duì)于一些財(cái)大氣粗的企業(yè)來(lái)說(shuō)，可能就不差這么幾個(gè)錢(qián)。幾十萬(wàn)的網(wǎng)絡(luò)設(shè)備，眼都不眨一下，就買(mǎi)過(guò)來(lái)了。但是對(duì)于一些資金相對(duì)緊張的企業(yè)來(lái)說(shuō)，則在選購(gòu)防火墻的時(shí)候，價(jià)格上面可能會(huì)有比較大的約束。有時(shí)候，甚至成為網(wǎng)絡(luò)管理員選購(gòu)防火墻產(chǎn)品的主要參考依據(jù)。

　　筆者個(gè)人的意見(jiàn)，無(wú)論你企業(yè)錢(qián)多錢(qián)少，都不要太過(guò)于迷信品牌。而是要更多的在實(shí)用性的前提下，看看其性價(jià)比。若你企業(yè)網(wǎng)絡(luò)比較簡(jiǎn)單，防火墻只需要實(shí)現(xiàn)訪問(wèn)控制即可，網(wǎng)絡(luò)流量也不大。那么你若去買(mǎi)個(gè)思科的防火墻產(chǎn)品，就算你購(gòu)買(mǎi)其最低端的防火墻產(chǎn)品，也有點(diǎn)大材小用。網(wǎng)絡(luò)管理員若覺(jué)得錢(qián)多，還不如考慮看看如何對(duì)網(wǎng)絡(luò)進(jìn)行升級(jí)，以提供更高的網(wǎng)絡(luò)性能。

　　說(shuō)實(shí)話，筆者企業(yè)只有在一些關(guān)鍵應(yīng)用上，對(duì)穩(wěn)定性、流量、安全性要求都比較高的情況下，才考慮選用思科的網(wǎng)絡(luò)產(chǎn)品。對(duì)于一些普通的應(yīng)用，則選用國(guó)內(nèi)的產(chǎn)品，如方正等，就已經(jīng)夠用了。雖然集團(tuán)對(duì)于信息化比較重視，不過(guò)筆者還是要當(dāng)個(gè)鐵公雞。把資金用在刀刃上。

【防火墻的選購(gòu)誤區(qū)】相關(guān)文章：

果汁選購(gòu)的幾個(gè)誤區(qū)09-16

選購(gòu)數(shù)碼相機(jī)的誤區(qū)06-02

選購(gòu)家具的5大誤區(qū)07-10

機(jī)箱選購(gòu)的6大誤區(qū)10-18

電源選購(gòu)的誤區(qū)有哪些09-17

避開(kāi)瓷磚選購(gòu)鋪貼誤區(qū)05-18

選購(gòu)保健品的幾個(gè)誤區(qū)07-04

夏季選購(gòu)牛奶要避開(kāi)這些誤區(qū)10-22

控制衛(wèi)浴間選購(gòu)安裝防誤區(qū)09-27