随着企业数据中心形成以及虚拟化技术应用，数据快速增长与应用多样化成为现在企业面临的两大问题，正在扩张的网络与企业架构呼吁新网络安全设备。安全可靠已经成为企业正常运维的基本要求，防火墙作为网络安全“老三样”中的一员大将在企业安全防护方面起着非常重要的作用，而糖葫芦式的架构在节能方面将面临新挑战，即，正在扩张的企业架构呼吁高效能的网络安全设备。

　　那么，当一个企业决定用防火墙来实施组织的安全策略后，下一步要做的就是选择一个安全、实惠、合适的防火墙。选择防火墙时，要考虑以下几方面问题。

　　一、选择防火墙的要求

　　1、防火墙应具备的基本功能

　　支持“除非明确允许，否则就禁止”的设计策略，即使这种策略不是最初使用的策略;本身支持安全策略，而不是添加上去的;如果组织机构的安全策略发生改变，可以加入新的服务;有先进的认证手段或有挂钩程序，可以安装先进的认证方法;如果需要，可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理，以便先进的认证手段就可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;

　　如果用户需要NNTP(网络消息传输协议)，X window，HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问。防火墙应把信息服务器和其他内部服务器分开。

　　2、其他功能

　　防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。如果防火墙使用UNIX操作系统，则应提供一个完全的UNIX操作系统和其他一些保证数据完整的工具，应该安装所有的操作系统的补丁程序。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。

　　防火墙的强度和正确性应该可被验证。防火墙的设计应该简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

　　正像前面提到的那样，因特网每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的适应性是很重要的。

　　二、购买还是自己构筑

　　一些企业具有自己组装防火墙的能力，他们使用可用的软件组件和设备或自己编写一个防火墙程序。另外一些企业利用经销商提供的防火墙技术服务，例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。

　　企业自己构筑防火墙的优势是内部人员了解防火墙设计的细节从而能够方便应用。但自制防火墙需要长时间的修建、记录文档和维护，费用较高。相比之下，从销售商那里购买防火墙是较为经济的。

　　Hillstone山石网科的SG-6000-X6150是Hillstone山石网科公司专门为数据中心提供的电信级高性能、高容量防火墙解决方案。产品采用业界领先的多核Plus G2硬件架构，其全并行设计为设备提供了高效的处理能力，可扩展设计为设备提供了丰富的业务扩展能力。SG-6000-X6150的处理能力高达100Gbps，配合5000万最大并发连接数、100万新建连接速率的大容量，使其特别适用于运营商、金融、大型企业的数据中心等应用场景，在满足用户对高性能、高可靠、高容量要求的同时，以有竞争力的TCO(总体拥有成本)为用户提供高性能、高容量的防火墙、丰富的业务扩展能力等解决方案。

　　产品特点

　　电信级可靠性设计

　　SG-6000-X6150采用电信级高可靠、全冗余设计，设备的电源、风扇盘、主控板卡、业务板卡等采用冗余、热插拔设计，配合自主研发的64位全并行安全操作系统StoneOS可以做到设备、链路、会话、数据的负载均衡，设备之间支持丰富的HA功能，包括主/主，主/备模式，保障用户业务网络的7×24小时不间断运转。

　　高性能、高容量、低延迟

　　业界最领先的多核Plus G2硬件架构与自主研发的64位全并行安全操作系统StoneOS的完美结合，可以为用户提供高达100Gbps的业务处理能力、100万的新建连接速率、5000万的最大并发连接数，而且性能可以随着业务处理卡的增加而呈现线性增长，充分保护用户的投资，使设备特别适合于运营商、金融、大型企业的数据中心等大流量、高并发、低延迟的应用场景。

　　智能的业务自适应能力

　　虚拟化可以使数据中心快速、灵活地扩展业务系统的处理能力，而且在发生业务故障的时候可以进行平滑过渡，但是在虚拟环境下，数据在各个服务器群组间的分配都是动态的，流量的突发性、难以预测性可能会造成访问数据的不均匀分配，造成部分服务器资源耗尽，性能下降，响应时间变慢;SG-6000-X6150的智能业务自适应功能可以自动识别数据和应用的变化情况以及发展趋势，配合全并行高速处理能力，将突发流量和访问数据在系统内部合理、均匀地分配，最大限度地提高数据中心业务系统的可用性、高效性。

　　深度应用检测及网络可视化

　　SG-6000-X6150创新的应用识别引擎，能够对网络中的流量和报文内容进行实时检测分析，不仅支持常规的端口服务监测，而且能够基于应用特征进行识别和监测。SG-6000-X6150通过对链路的业务精细化识别、业务流量流向分析、各种应用占用比例展现，使网管监控人员更好地掌握网络运行状况。通过SG-6000-X6150的QoS功能，网管监控人员可以方便地优化网络的服务质量，及时发现和控制网络中异常流量，保障网络可靠稳定地运行。

　　丰富的业务扩展能力

　　SG-6000-X6150支持高密度的接口扩展，IOM-16SFP或IOM-4XFP接口板的组合可以为用户提供144个千兆接口或36个万兆接口，最大限度地满足用户对高端口密度的业务需求;

　　SG-6000-X6150支持业务处理板的扩展，业务处理性能可以随着业务处理板的的增加而线性增加，支持高达100Gbps的处理能力;

　　SG-6000-X6150支持QoS处理板的扩展，对于需要高质量QoS的用户可以选择此业务板来提高QoS的处理质量和性能;

　　SG-6000-X6150还支持主控板的冗余扩展，最大限度地保障设备管理的实时性和可靠性。

　　与安全管理系统HSM完美融合

　　Hillstone山石网科的SG-6000-X6150能与Hillstone山石网科安全管理系统HSM完美融合，通过HSM管理平台可以做到集中监控设备运行状态、安全事件，洞悉全网的安全状态;同时HSM能够收集安全产品发出的日志信息，并能够进行统计分析，输出可视化报表，借助可视化的实时报表功能，用户可以轻松进行全网威胁分析。

　　编辑绿色点评

　　从绿色节能的角度来看，Hillstone山石网科的SG-6000-X6150从设计开始就考虑了产品绿色、节能、环保，所有零部件全面禁止使用RoHS指令中禁用的6类有毒有害物质;节能电源、智能散热方案以及采用先进的工艺和节能芯片，极大地降低了产品的能耗、噪音，并通过提升产品质量来延长产品的使用寿命，能耗比同类产品低50%以上，另外高端口密度和前后板卡扩展的设计理念，使设备可以在有效的空间中提供更高的性能和更多的网络接口，极大地降低了数据中心运营的成本。