如何选择硬件防火墙

如何选择硬件防火墙

ID:32379609

大小:46.52 KB

页数:6页

时间:2019-02-04

如何选择硬件防火墙_第1页
如何选择硬件防火墙_第2页
如何选择硬件防火墙_第3页
如何选择硬件防火墙_第4页
如何选择硬件防火墙_第5页
资源描述:

《如何选择硬件防火墙》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、如何选择硬件防火墙防火墙是目前使用最为广泛的网络安全产品之一,用户在选购时应该注意以下几点:1、防火墙架构的选择目前主流防火墙在硬件架构存在着三大架要构,1传统的X86架构,2专用集成电路(ASIC)技术架构,3专用多核网络处理架构。国内多数安全厂商的产品基于传统的X86架构防火墙,该架构开发简单,功能丰富,但是其PCI总线速率的限制以及中断的传输机制导致其吞吐只能达到百兆级别且在网络流量小包居多时性能下降非常严重。基于ASIC架构的防火墙从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的一些芯片直接处理

2、,由这些芯片来完成传统防火墙的功能,如:路由、NAT、防火墙规则匹配等。这也是防火墙的吞吐一举从百兆级别上升到千兆级别。但随之而来的问题是,ASIC架构的防火墙是芯片一级的,所有的防火墙动作由芯片来处理。这些芯片的功能比较单一,要升级维护的开发周期比较长。无法在芯片一级完成垃圾邮件过滤、网络监控、病毒防护等比较复杂的功能。采用多核处理器架构的防火墙,是在同一个硅晶片上集成了多个独立物理核心,每个核心都具有独立的逻辑结构,包括缓存、执行单元、指令级单元和总线接口等逻辑单元,通过高速总线、内存共享进行通信。在实际工作中,每个核心都可以达到1Gh

3、z的主频,而且可以在非常节能的方式下运行。有的多核产品支持500万并发会话64Byte吞吐量达到3G,256Byte以上吞吐达到8G,VPN吞吐达到8G,支持3万VPN通道,支持5万Policy。每秒新建TCP会话超过20万,每秒处理UDP会话超过50万。在每秒创建5000TCP会话作为背景流量,可以检测并防御80万包/每秒以上的SYN-FLOOD攻击,更是达到了万兆线速。一系列的性能测试结果足以傲视众多安全平台。2、防火墙自身的安全性防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,只有自身具有完整信任关系

4、的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。另外产品是否有过安全漏洞历史、是否有被拒绝服务攻击击溃的历史等方面也是值得参考的。3、系统的稳定性目前,由于种种原因,有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场,其稳定性可想而知。防火墙的稳定性可以通过几种方法判断:⑴从权威的测评认证机构获得。例如,你可以通过与其它产品相比,考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明(书),来间接了解其稳定性。⑵实际调查,这是最有效的办法:考察这种

5、防火墙是否已经有了使用单位、其用户量如何,特别是用户们对于该防火墙的评价。⑶自己试用。在自己的网络上进行一段时间的试用(一个月左右)。⑷产品是厂商自己研发还是OEM别的厂家的产品,如果是OEM的,后续产品的更新,bug的解决都会受到很大限制;如果是自己研发,那么技术团队的背景很重要,是否有多年的研发经验、是否有过成功的产品。4、高效性高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降,如网络延时增大,出现掉包等现象,就意味着安全代价过高。5、是否可靠可靠性对防火墙类访问控制设备来说尤为

6、重要,直接影响受控网络的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性(例如MTBF值)和增加冗余部件(是否支持双机热备或者当设备的CPU其中某个核出现问题时其他核是否能接替其工作),这要求有较高的生产标准和设计冗余度。6、是否功能灵活对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。例如对普通用户,只要对IP地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问。7、是否管理简便网络技术发展很快,各种安全事件不断出现,这就要求安全管

7、理员经常调整网络安全注意。对于防火墙类访问控制设备,除安全控制注意的不断调整外,业务系统访问控制的调整也很频繁,这些都要求防火墙的管理在充分考虑安全需要的前提下,必须提供方便灵活的管理方式和方法,这通常体现为管理途径、管理工具和管理权限。8、是否可以抵抗拒绝服务攻击在当前的网络攻击中, 拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火墙的主要功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击,但严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时,网管人员应该详细考察这一功能的真实性和有效性。9、数据处

8、理性能防火墙控制的对象是网络数据,因此数据处理能力是用户在购买产品前要着重考察的一项。主要的衡量指标包括吞吐量、转发率、丢包率、缓冲能力和延迟等,通过这些参数的对比可以了解一款硬

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。