企業(yè)公司選購(gòu)防火墻須注意五大要點(diǎn).doc

該內(nèi)容由 豐胸產(chǎn)品排行榜 站長(zhǎng)提供企業(yè)公司選購(gòu)防火墻須注意五大要點(diǎn)！前言對(duì)于這些功能，我們要冷眼看待： 一方面，要看看這些額外的功能企業(yè)是否需要。如有些防火墻產(chǎn)品中會(huì)集成VPN等功能。但是，企業(yè)是否需要這項(xiàng)功能呢？網(wǎng)絡(luò)管理員要事先考慮清楚。因?yàn)閂PN服務(wù)不僅在防火墻上可以實(shí)現(xiàn)，而且在路由器上也可以實(shí)現(xiàn)。如果企業(yè)對(duì)于VPN有比較高的性能要求的話，甚至可以部署一個(gè)專用的VPN服務(wù)器等等。若在防火墻上實(shí)現(xiàn)VPN功能，筆者個(gè)人認(rèn)為，有著畫(huà)蛇添足的味道。在管理上，沒(méi)有其他實(shí)現(xiàn)方式那邊簡(jiǎn)便與人性化。 另一方面，一些額外的功能會(huì)耗費(fèi)防火墻的資源。上面筆者說(shuō)過(guò)，在實(shí)驗(yàn)室中測(cè)試產(chǎn)品的時(shí)候，往往只是測(cè)試單一的功能。如測(cè)試吞吐量的話，會(huì)把其他功能關(guān)閉掉。若把防火墻的功能都啟用起來(lái)的話，則某個(gè)指標(biāo)的數(shù)字可能需要打個(gè)兩折了。所以，花哨功能多了，就會(huì)大大影響防火墻的性能。這就好像一個(gè)巨無(wú)霸，網(wǎng)絡(luò)管理員必須為他提供更好的硬件配置，才能夠讓其正常的運(yùn)行。從硬件資源爭(zhēng)奪的角度上講，筆者也不贊成在防火墻上實(shí)現(xiàn)太多的服務(wù)。只有專才會(huì)精。 所以，在防火墻產(chǎn)品的選購(gòu)時(shí)，功能并不是越多越好，而是要看其是否實(shí)用。當(dāng)在一個(gè)防火墻服務(wù)器上實(shí)現(xiàn)太多的服務(wù)，結(jié)果就是這些服務(wù)對(duì)硬件資源的吞噬，最后導(dǎo)致防火墻性能的下降。筆者在防火墻上，往往不會(huì)部署過(guò)多的應(yīng)用服務(wù)。這就好像不要把雞蛋都放在一個(gè)籃子中的原理一樣。萬(wàn)一防火墻服務(wù)器出現(xiàn)故障，那么VPN、訪問(wèn)控制列表等功能都將實(shí)效。當(dāng)企業(yè)對(duì)網(wǎng)絡(luò)的穩(wěn)定性要求比較高的話，越加不能夠把多個(gè)服務(wù)集成在防火墻服務(wù)器上。稍有不測(cè)，網(wǎng)絡(luò)管理員就會(huì)搬起石頭，砸自己的腳。 在防火墻選購(gòu)時(shí)，過(guò)度關(guān)注防火墻的輔助功能，這是網(wǎng)絡(luò)管理員工作上的一個(gè)誤區(qū)之一。有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員，都要走出這個(gè)誤區(qū)。以免給自己以及企業(yè)造成不可估量的損失。 誤區(qū)1：功能花哨卻不實(shí)用。 信息化技術(shù)現(xiàn)在越來(lái)越復(fù)雜，而且防火墻的競(jìng)爭(zhēng)也越來(lái)越激烈。所以，防火墻廠商為了提供自己產(chǎn)品的市場(chǎng)競(jìng)爭(zhēng)力，就往往在自己的防火墻產(chǎn)品中集成比較多的功能，以增加市場(chǎng)的賣(mài)點(diǎn)。 誤區(qū)2：太過(guò)于相信實(shí)驗(yàn)數(shù)據(jù)。 在防火墻的產(chǎn)品說(shuō)明中，往往會(huì)有一些性能、功能方面的參考數(shù)字。如吞吐量有6G， 抗病毒能力有多強(qiáng)等等。對(duì)于這些數(shù)字我們?cè)诜阑饓x購(gòu)的時(shí)候不能夠太過(guò)于迷信。而應(yīng)該以辯證的眼光去看待這些數(shù)字。 一方面，這些數(shù)字都是實(shí)驗(yàn)數(shù)據(jù)。也就是說(shuō)，是在一個(gè)相對(duì)合理的、干擾因素比較少的情況下得出的數(shù)據(jù)。但是，說(shuō)實(shí)話，現(xiàn)在任何一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境可以達(dá)到他們測(cè)試產(chǎn)品的那種水準(zhǔn)。當(dāng)企業(yè)主機(jī)數(shù)量比較多，若分段不合理，就會(huì)造成比較多的網(wǎng)絡(luò)廣播，那時(shí)也會(huì)影響到這個(gè)最終的有效吞吐量。所以，對(duì)于實(shí)驗(yàn)室出來(lái)的數(shù)據(jù)，我們往往要打個(gè)對(duì)折。 另一方面，不能夠光看某個(gè)指標(biāo)。在選購(gòu)防火墻的時(shí)候，有多大幾十項(xiàng)的指標(biāo)，若其中一個(gè)指標(biāo)，如吞吐量，即使高達(dá)10G，但是，若其他指標(biāo)跟不上去的話，那么一切都是白搭。有時(shí)候，廠商在測(cè)試產(chǎn)品的時(shí)候，往往會(huì)把某些功能關(guān)掉后再進(jìn)行測(cè)試。在這種情況下，測(cè)試出來(lái)的數(shù)據(jù)，實(shí)用價(jià)值不會(huì)很大。因?yàn)槿舭哑渌δ荜P(guān)掉，就啟用一項(xiàng)功能，則CPU等硬件資源就不會(huì)發(fā)生爭(zhēng)奪。如此，某個(gè)指標(biāo)的數(shù)字看起來(lái)就會(huì)好看許多。而在企業(yè)中部署防火墻的時(shí)候，不可能只用一項(xiàng)功能。把其他功能開(kāi)起來(lái)的話，則這個(gè)數(shù)字就會(huì)打折扣了。 總之，在防火墻選購(gòu)的時(shí)候，不要太過(guò)于相信實(shí)驗(yàn)數(shù)據(jù)。對(duì)于他們從實(shí)驗(yàn)室得出來(lái)的數(shù)字，筆者往往會(huì)給他們打個(gè)對(duì)折。打折后的數(shù)據(jù)，可能水分會(huì)少一點(diǎn)。所以，實(shí)驗(yàn)數(shù)據(jù)只能拿來(lái)參考。在有條件的情況下，網(wǎng)絡(luò)管理員要結(jié)合自己的公司網(wǎng)絡(luò)環(huán)境，對(duì)防火墻產(chǎn)品進(jìn)行測(cè)試。這測(cè)試出來(lái)的結(jié)果，對(duì)于我們防火墻選購(gòu)才會(huì)有參考價(jià)值。 網(wǎng)絡(luò)管理員不要走入這個(gè)誤區(qū)。否則的話，網(wǎng)絡(luò)管理員只有自己消化由此帶來(lái)的苦果了。 誤區(qū)3：“托”太多，網(wǎng)絡(luò)評(píng)價(jià)失去真實(shí)性。 前段時(shí)間，大家都在批判醫(yī)托、房托、股托等等。其實(shí)，這種托兒在各行各業(yè)都存在。在防火墻行業(yè)也在所難免。如在一些專門(mén)評(píng)測(cè)防火墻產(chǎn)品的網(wǎng)站上，很多網(wǎng)友意見(jiàn)都是托兒發(fā)表的。這就讓網(wǎng)絡(luò)評(píng)價(jià)失去了真實(shí)性。 所以，對(duì)于網(wǎng)友的評(píng)價(jià)也不能夠全信。筆者在防火墻選購(gòu)的時(shí)候，只是把他們當(dāng)作參考，有時(shí)候甚至不會(huì)去看。筆者自己身邊有一些朋友圈子。當(dāng)筆者需要選購(gòu)某個(gè)網(wǎng)絡(luò)設(shè)備，包括防火墻在內(nèi)，就直接打電話、或者發(fā)郵件向他們征求意見(jiàn)。毛主席說(shuō)過(guò)，只有實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。只有用戶才能夠?qū)Ξa(chǎn)品得出一個(gè)客觀的評(píng)價(jià)。 故，筆者認(rèn)為，對(duì)于一些防火墻評(píng)測(cè)網(wǎng)站或者論壇，我們不能對(duì)他們抱太大的希望。因?yàn)槲覀儾荒軌蚺懦@其中也有托的存在。所以，在防火墻選購(gòu)上，還是要多問(wèn)，多測(cè)試。最好能夠向自己的朋友圈子直接詢問(wèn)。太過(guò)于迷信網(wǎng)上的評(píng)測(cè)結(jié)果這是網(wǎng)絡(luò)管理員容易走入的第四個(gè)誤區(qū)。 誤區(qū)4：太過(guò)迷信與品牌。 Cisco無(wú)疑是網(wǎng)絡(luò)產(chǎn)品的老大。無(wú)論是防火墻還是路由器，在行業(yè)內(nèi)都是數(shù)一數(shù)二的。有人甚至把他當(dāng)作網(wǎng)絡(luò)設(shè)備市場(chǎng)的指南針，跟在他屁股后面發(fā)展。但是，其價(jià)格也是行業(yè)內(nèi)最高的。所以，若從性價(jià)比上考慮，其排名可能并不會(huì)靠前。 對(duì)于一些財(cái)大氣粗的企業(yè)來(lái)說(shuō)，可能就不差這么幾個(gè)錢(qián)。幾十萬(wàn)的網(wǎng)絡(luò)設(shè)備，眼都不眨一下，就買(mǎi)過(guò)來(lái)了。但是對(duì)于一些資金相對(duì)緊張的企業(yè)來(lái)說(shuō)，則在選購(gòu)防火墻的時(shí)候，價(jià)格上面可能會(huì)有比較大的約束。有時(shí)候，甚至成為網(wǎng)絡(luò)管理員選購(gòu)防火墻產(chǎn)品的主要參考依據(jù)。 筆者個(gè)人的意見(jiàn)，無(wú)論你企業(yè)錢(qián)多錢(qián)少，都不要太過(guò)于迷信品牌。而是要更多的在實(shí)用性的前提下，看看其性價(jià)比。若你企業(yè)網(wǎng)絡(luò)比較簡(jiǎn)單，防火墻只需要實(shí)現(xiàn)訪問(wèn)控制即可，網(wǎng)絡(luò)流量也不大。那么你若去買(mǎi)個(gè)思科的防火墻產(chǎn)品，就算你購(gòu)買(mǎi)其最低端的防火墻產(chǎn)品，也有點(diǎn)大材小用。網(wǎng)絡(luò)管理員若覺(jué)得錢(qián)多，還不如考慮看看如何對(duì)網(wǎng)絡(luò)進(jìn)行升級(jí)，以提供更高的網(wǎng)絡(luò)性能。 說(shuō)實(shí)話，筆者企業(yè)只有在一些關(guān)鍵應(yīng)用上，對(duì)穩(wěn)定性、流量、安全性要求都比較高的情況下，才考慮選用思科的網(wǎng)絡(luò)產(chǎn)品。對(duì)于一些普通的應(yīng)用，則選用國(guó)內(nèi)的產(chǎn)品，如方正等，就已經(jīng)夠用了。雖然集團(tuán)對(duì)于信息化比較重視，不過(guò)筆者還是要當(dāng)個(gè)鐵公雞。把資金用在刀刃上。誤區(qū)5：脫離企業(yè)自身的需求。 不少網(wǎng)絡(luò)管理員在選購(gòu)網(wǎng)絡(luò)設(shè)備時(shí)，有一個(gè)壞習(xí)慣。他不先考慮企業(yè)到底需要實(shí)現(xiàn)什么需求，而是先去考察網(wǎng)絡(luò)設(shè)備。如企業(yè)需要選購(gòu)防火墻的時(shí)候，他們不是先考慮企業(yè)要用防火墻去實(shí)現(xiàn)什么目的；而是先去考察防火墻市場(chǎng)，看看各個(gè)防火墻產(chǎn)品的差異、能夠?qū)崿F(xiàn)什么功能等等。 如此做法的話，筆者認(rèn)為有點(diǎn)無(wú)的放矢了。在需求不明確的情況下，如何能夠選擇合適的防火墻產(chǎn)品呢？這就好像去買(mǎi)衣服，如果尺寸不知道的話，買(mǎi)來(lái)的衣服怎么會(huì)合身呢？除非你運(yùn)氣特別的好。 所以，在防火墻選購(gòu)的時(shí)候，網(wǎng)絡(luò)管理員脫離企業(yè)自身的需求，而只從防火墻產(chǎn)品出發(fā)，進(jìn)行防火墻選型。這是企業(yè)在選購(gòu)防火墻的一個(gè)誤區(qū)。