【IT168 专稿】随着网络技术的普及越来越多的企业开始关注内外网以及相关应用的安全，就目前实际使用来说通过防火墙来过滤入侵以及病毒的传播是最简单和直接的办法。因此很多企业特别是中小企业都迫切希望通过购买硬件防火墙来实现提升安全的功能。但是在选择硬件防火墙时该本着什么样的原则进行呢?选购时需要针对哪些参数和性能进行考证呢?笔者担任网络安全与维护工作已经有七个年头了，亲身参与过多次硬件防火墙的采购以及招标，自身也积累了一些选购硬件防火墙的经验。今天就请各位IT168读者跟随笔者一起用数据说话来选购中小企业的硬件防火墙。

　　一，什么是硬件防火墙：

　　平时我们都接触过防火墙，不过很多用户使用的都是偏软件的防火墙，通过一些软件程序实现对系统和网络的保护。然而相比硬件防火墙而言软件防火墙在性能和处理能力等方面存在着很大的不同。所谓硬件防火墙就是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

　　硬件防火墙作为企业安全的屏障所起的作用是巨大的，正是因为防火墙程序和过滤规则的硬件化芯片化，所以硬件防火墙在处理并发数和连接数比较多的情况下优势更加明显，平时出现问题的机率也比较低。(如图1)

　　产品推荐：

　　二，数据说话——硬件防火墙选购经验谈：

　　很多企业都面临硬件防火墙的选购，今天笔者就从实际选购出发从数据说话为各位介绍硬件防火墙选购上的一些经验。

　　(1)按需选择原则

　　首先需要确定的就是选择防火墙时按照需求去确定各个参数，一般来说企业内网网络结点数以及会话连接情况决定了硬件防火墙的级别。选择时依照满足性能为首的原则，然后适当为日后升级做准备。

　　在执行按需选择原则时我们需要就以下几个方面进行划定，首先确定企业内网网络设备数量以及员工计算机数量，通过计算机下连网络数量来选择硬件防火墙的级别;其次根据企业网络流量来决定防火墙接口网络速度，流量大的需要选择G级接口，而小型网络100M的即可满足实际需求;再次考虑企业网络的稳定性，说白了就是是否需要提供线路上的冗余，对于多线多路网络接入来说这点需要额外考虑;最后就是从功能需求上去决定选购型号，一般来说防火墙都应该具备VPN接入的功能，这样才能够更好的提供不同权限不同用户级别的网络服务，同时诸如IPV6，VOIP等功能的支持要需要根据企业实际需求去选择。

　　产品推荐：

　　(2)防火墙硬字当先：

　　在确定需求后我们就要查看防火墙的自身配置了，首先需要确保的是防火墙必须采用多核处理器的纯硬件架构(非X86)，这个条件是必须满足的。为什么这么说呢?因为硬件防火墙区别于低性能低价格的软件防火墙而言关键点就是把防火墙程序做到芯片里面，从而节约了日常处理对CPU的占用。而很多厂商在推荐防火墙时可能选择的设备是一种“伪硬件”，使用新瓶装旧酒的策略，将经过优化的软件防火墙装到普通台式机上，再通过封装改造成所谓的硬件防火墙。这是明显的挂羊头卖狗肉。因此在确定防火墙时一定注意他是纯粹的硬件防火墙，另外由于在X86下搭建的系统多以Windows为主，而且Windows系统存在先天安全问题。所以在考虑硬件防火墙自身架构时也要尽量不采取X86架构。

　　采用多核心处理器可以更好的处理并发通讯和高数量的连接，因此防火墙必须采用多核处理器的纯硬件架构(非X86)成为选购硬件防火墙的首要原则。

　　重要指数： ★★★★★

　　产品推荐：

 　　H3C SecPath F1000-S
　　设备类型:企业级防火墙
　　VPN支持:支持
　　更多详细参数>>
　　简介： SecPath F1000-A、SecPath F1000-S是H3C公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。【详情】

 　　相关文章：

　　(3)冗余运行稳定当先：(如图2)

　　除了硬件防火墙自身“硬”指标外我们还需要关注的是设备运行的冗余性，对于企业来说网络接入冗余性，电源支持冗余性以及数据的冗余性都非常关键。毕竟企业很多业务都运行在网络上，硬件防火墙一旦出现问题各种安全防范以及网络接入服务都要受到致命的影响。

　　因此在选购硬件防火墙时其自身的冗余运行以及稳定性方面的表现也同样重要，其中网络接入方面的多接性以及电源支持的冗余性显得更加重要。

　　重要指数：★★★★

　　产品推荐：

 　　CISCO PIX-525-UR-BUN
 　　设备类型:企业级防火墙
 　　并发连接数:280000
 　　安全过滤带宽(Mbps):135
 　　用户数限制:无用户数限制
 　　VPN支持:支持
 　　更多详细参数>>
　　简介： Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分，能够为当今的网络客户提供非常好的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。【详情】

 　　相关文章：

 　　CiscoPIX防火墙配置  
　　以上讲述了我第一次亲手接触Cisco Firewall PIX 525的情况和对其最基本的了解，总结了最基本配置的十大点，作者对Cisco Firewall PIX防火墙的了解还是很肤浅，难免有错误和不到之处，请读者多多指教。【详情】

　　(4)连接会话做足文章：(如图3)

　　除了上面两个因素需要考虑外防火墙自身的网络性能也需要考虑在内，具体包括防火墙的吞吐量以及并发连接数连各个参数。对于具备10000个下连网络节点的企业内网来说应该保证硬件防火墙满足下面几个要求——

　　吞吐量 ≥7.9G bps

　　吞吐量(小包) ≥2900 M bps

　　最大并发连接数 ≥4,900,000

　　每秒新建连接数 ≥190,000

　　小提示：

　　什么是吞吐量——吞吐量是在一个给定的时间段内设备能够传输的数据量，使用Mb/s进行度量。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此大多数防火墙虽号称100M防火墙，由于其算法依靠软件实现，通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙，由于采用硬件进行运算，因此吞吐量可以达到线性90-95M，这样才算是真正的100M防火墙。

　　网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。如果企业实际下连节点不是万个级别的话，我们可以适当的将上面提到的几个参数进行缩减。吞吐量决定硬件防火墙处理数据的能力，而连接数的多少决定了防火墙自身的性能。

　　重要指数：★★★☆

　　产品推荐：

 　　Juniper NetScreen-SSG520M
 　　设备类型:企业级防火墙
 　　并发连接数:64000
 　　安全过滤带宽(Mbps):300
 　　用户数限制:无用户数限制
 　　VPN支持:支持
 　　更多详细参数>>
　　简介： Juniper 网络公司500 系列安全业务网关（SSG）代表了新一代的专用安全网关，为分支机构和分支办事处的网络部署提供了集高性能、高安全性和广泛的局域网/ 广域网接入手段于一体的完美组合。凭借状态防火墙、IPS、防病毒特性（包括防间谍软件、防广告软件、防网页仿冒）、防垃圾邮件以及Web 过滤等一套完整的统一威胁管理（UTM）安全特性，SSG 500 系列可作为单独的安全网关实施，用于阻断蠕虫间谍软件、特洛伊木马、恶意软件和其他新兴攻击。【详情】

　　三，总结：

　　由于篇幅关系笔者在本文中针对硬件防火墙选购方面介绍了几点经验，通过确定硬件防火墙核心是否真的“硬”，连接会话吞吐量实际情况以及性能硬件环节的冗余功能等方面下手，让我们选购的硬件防火墙可以真正的为我们企业高效服务。

　　在“数据说话——硬件防火墙选购经验谈(下)”一文中笔者将继续为各位IT168读者讲解其他几个选购原则。让我们最大限度的避免被厂商所忽悠。

　　产品推荐：