對于公司網(wǎng)絡(luò)安全來說���,防火墻起的是關(guān)鍵性的作用�,只有它�����,才可以防止來自互聯(lián)網(wǎng)上永不停止的各種威脅�����。防火墻的選擇對遠程終端連接到中心系統(tǒng)獲取必要資源或完成重要任務(wù)的影響也非常大���。當選擇基于硬件的防火墻時����,應(yīng)當考慮以下十個方面的因素��,以確保企業(yè)實現(xiàn)投資����、安全性和生產(chǎn)力的最大化。
1�、必須可以提供值得信賴的安全
在市面上,UTM的種類非常多�。根據(jù)商業(yè)模式的不同,一些網(wǎng)絡(luò)安全設(shè)備可以提供大量的功能和全面的服務(wù)��,但是需要公司承擔高昂的價格����,而另一些則只包含了基本的服務(wù)�,但采購的成本也很低���。
因此��,選擇的時間一定要確保平臺是公認和值得信賴的�。Barracuda��、思科����、SonicWALL公司和WatchGuard都屬于擁有市場份額的著名品牌,它們獲得的市場份額就是可以提供值得信賴安全的很好的理由���。無論你選擇什么品牌的防火墻���,都應(yīng)該確保其通過國際計算機安全協(xié)會 (ICSA)的認證,符合數(shù)據(jù)包檢測的行業(yè)標準���。
2���、具有良好的易用性
在安全方面,全球跨國企業(yè)需要多級控制管理,但即使是這些需要大量保護的企業(yè)也不應(yīng)該將設(shè)備配置方式限定在命令行模式下�。很多防火墻都可以在提供高度安全性的同時�����,提供友好的圖形界面以方便管理�。
這樣做的優(yōu)點有幾個方面。圖形用戶界面有助于防止安裝時間出現(xiàn)錯誤����。在圖形用戶界面下,更容易地診斷和糾正故障���。圖形用戶界面也更易于培訓工作人員�����,并進行調(diào)整�、升級和更新���。
在選擇基于硬件的防火墻時���,考慮到易用性也會帶來很大的好處。一個平臺越容易進行管理,就越容易找到可以進行安裝��、維護和故障處理等工作的專業(yè)人士�。
3、必須包含VPN支持
防火墻存在的目的并不限于防止網(wǎng)絡(luò)黑客的攻擊和非法數(shù)據(jù)輸出���。一個好的防火墻還應(yīng)該可以在為遠程連接建立安全通道��,并對其進行監(jiān)測�。在選擇基于硬件的防火墻時�,應(yīng)該確保其支持同類設(shè)備的基于SSL-和IPSec-保護的VPN連接(以保護點至點或站點到站點VPN),讓員工可以實現(xiàn)安全連接���。
4����、功能選擇要符合實際需求
在網(wǎng)絡(luò)策略中�����,防火墻通常承擔公司網(wǎng)絡(luò)的互聯(lián)網(wǎng)網(wǎng)關(guān)的角色�。對于規(guī)模較小的辦公室,可以讓防火墻承擔雙重責任�,即既作為安全設(shè)備又作為網(wǎng)絡(luò)交換機。同時,對于規(guī)模較大的辦公環(huán)境來說�,防火墻屬于更大結(jié)構(gòu)的組成部分,這時�����,它承擔的唯一責任就是對流量進行過濾���。
確保防火墻可以對負載進行分配管理��。這就意味著它需要配備必要的以太網(wǎng)端口并擁有適當?shù)乃俣?如果有必要的話��,應(yīng)該選擇 10Mbps/100Mbps和/或1000Mbps)��。但還有更多要注意的因素�,確保你選擇的防火墻擁有進行數(shù)據(jù)包檢查的功能��,并且可以提供安全服務(wù)網(wǎng)關(guān)和路由功能�����。
特別要注意的是制造商關(guān)于支持最大節(jié)點數(shù)目的建議。如果超過了路由器的能力����,就可能會出現(xiàn)錯誤,數(shù)據(jù)傳輸就會由于缺乏許可或者超過支持范圍而中斷�����。
5����、應(yīng)該擁有可靠的技術(shù)支持
硬件出現(xiàn)問題是有可能的。更壞的情況可能是��,僅僅因為是新設(shè)備并不意味著它一定可以正常工作����。全天候的技術(shù)支持以及部署過程中的全面技術(shù)支持應(yīng)當包含在和防火墻制造商簽定的技術(shù)支持合同中。
在購買前�,應(yīng)該撥打制造商技術(shù)支持團隊的電話,了解部署和配置方面的問題��。根據(jù)答復的速度和內(nèi)容等情況����,可以確定在實地部署出現(xiàn)問題時你將獲得服務(wù)的情況�。
6�����、關(guān)注無線網(wǎng)絡(luò)安全
即使在選擇基于硬件的防火墻時����,公司并不認為這是必須的情況下,也應(yīng)該將無線網(wǎng)絡(luò)功能包含進來���。IT團隊可以在部署的時間關(guān)閉無線網(wǎng)絡(luò)功能。增加無線局域網(wǎng)功能會導致購買成本增加����,但對于客戶連接或方便地訪問網(wǎng)絡(luò)來說,這是必須的�����。安全的無線連接是很容易獲得的(并不需要購買一臺全新的路由器)���。對于一家處于變化中的公司企業(yè)來說,無線局域網(wǎng)功能可能被證明是必要的����。
7�、可以提供網(wǎng)關(guān)安全服務(wù)
通過設(shè)置防火墻��,很多公司成功地降低了病毒���、間諜軟件和垃圾郵件帶來的大量威脅��。在比較防火墻功能�����,確定運行費用的時間��,為了減低成本����,你可以選擇在防火墻而不是傳統(tǒng)的域控制器或其他服務(wù)器上部署這些服務(wù)�����。
8����、能夠進行內(nèi)容過濾
現(xiàn)在很多IT部門都選擇使用OpenDNS進行內(nèi)容過濾���,一些防火墻制造商也在設(shè)備中提供了網(wǎng)頁過濾的選擇。對于所有和業(yè)務(wù)有關(guān)的網(wǎng)絡(luò)服務(wù)來說�����,都需要利用網(wǎng)關(guān)安全服務(wù)進行內(nèi)容過濾���。這樣做的優(yōu)點是可以實現(xiàn)功能集成在一臺設(shè)備中�。但缺點是����,你需要支付相關(guān)的費用�。
因此,在選擇基于硬件的防火墻解決方案時����,要考慮到公司的需求和預算情況,確定是否應(yīng)該由防火墻管理內(nèi)容過濾功能���。如果答案是肯定的話����,選擇一個包含了可靠成熟內(nèi)容過濾功能的防火墻。
9��、可以提供專業(yè)的監(jiān)測和報告
防火墻可以對關(guān)鍵網(wǎng)絡(luò)任務(wù)進行管理��。僅僅一個工作日���,一臺路由器就可以阻止成千上萬的入侵企圖��、防范各種攻擊�����,并記錄失敗的網(wǎng)絡(luò)連接��。但這些信息只有包含在易于獲取的格式中時,才能為網(wǎng)絡(luò)管理員提供有效的幫助����。
對于防火墻來說,不僅需要對重要事件進行監(jiān)控�����,而且應(yīng)該將數(shù)據(jù)以兼容的格式保存起來���。對于一個優(yōu)秀的防火墻來說��,應(yīng)該至少可以利用電子郵件為重要事件提供警告�����。
10��、了解是否具備故障轉(zhuǎn)移功能
一些公司可能需要廣域網(wǎng)故障轉(zhuǎn)移功能�,或者冗余的互聯(lián)網(wǎng)連接進行自動故障檢測和糾正。很多防火墻都不具備自動故障轉(zhuǎn)移支持模式����。如果該功能對貴公司來說是至關(guān)重要的話,請確認你選擇的防火墻包含了無縫切換模式;即使是高端防火墻�,在默認情況下,也不一定包括這樣的功能����。
此外�����,請確保選擇的模式符合公司的使用情況�����。舉例來說,如果一個單位擁有兩個RJ - 45廣域以太網(wǎng)端口的話����,在第2個端口運行無線網(wǎng)卡將沒有什么好處。在這種情況下���,USB接口的GSM卡或適配器才是比較適當?shù)倪x擇���。
相關(guān)推薦:
小技巧:機房管理常見三大難題的解決方法 支招:防火墻加Web交換機實施完美組網(wǎng)方案 軟考網(wǎng)管:識別三層交換機設(shè)備優(yōu)劣精華寶典
