防火墻的選購誤區(qū)

　　防火墻就如同企業(yè)網(wǎng)絡(luò)的保護神，對于企業(yè)網(wǎng)絡(luò)的安全有著不可低估的作用。年末，不少企業(yè)也會乘著企業(yè)業(yè)務(wù)比較空閑這個時機，來調(diào)整網(wǎng)絡(luò)配置。如筆者身邊不少的朋友，打算在年底買個防火墻，來鞏固自己的網(wǎng)絡(luò)安全。

　　防火墻是好，但是，若選擇不當?shù)脑挘�可能會起到相反的作用。在這里，筆者想跟大家交流一下防火墻選購的經(jīng)驗。筆者結(jié)合自己與朋友防火墻管理方面的心得，總結(jié)出了防火墻選購中的五大誤區(qū)。權(quán)當拋磚引玉。

　　誤區(qū)一：太過于相信實驗數(shù)據(jù)。

　　在防火墻的產(chǎn)品說明中，往往會有一些性能、功能方面的參考數(shù)字。如吞吐量有6G， 抗病毒能力有多強等等。對于這些數(shù)字我們在防火墻選購的時候不能夠太過于迷信。而應(yīng)該以辯證的眼光去看待這些數(shù)字。

　　一方面，這些數(shù)字都是實驗數(shù)據(jù)。也就是說，是在一個相對合理的、干擾因素比較少的情況下得出的數(shù)據(jù)。但是，說實話，現(xiàn)在任何一個企業(yè)的網(wǎng)絡(luò)環(huán)境可以達到他們測試產(chǎn)品的那種水準。當企業(yè)主機數(shù)量比較多，若分段不合理，就會造成比較多的網(wǎng)絡(luò)廣播，那時也會影響到這個最終的有效吞吐量。所以，對于實驗室出來的數(shù)據(jù)，我們往往要打個對折。

　　另一方面，不能夠光看某個指標。在選購防火墻的時候，有多大幾十項的指標，若其中一個指標，如吞吐量，即使高達10G，但是，若其他指標跟不上去的話，那么一切都是白搭。有時候，廠商在測試產(chǎn)品的時候，往往會把某些功能關(guān)掉后再進行測試。在這種情況下，測試出來的數(shù)據(jù)，實用價值不會很大。因為若把其他功能關(guān)掉，就啟用一項功能，則CPU等硬件資源就不會發(fā)生爭奪。如此，某個指標的數(shù)字看起來就會好看許多。而在企業(yè)中部署防火墻的時候，不可能只用一項功能。把其他功能開起來的話，則這個數(shù)字就會打折扣了。

　　總之，在防火墻選購的時候，不要太過于相信實驗數(shù)據(jù)。對于他們從實驗室得出來的數(shù)字，筆者往往會給他們打個對折。打折后的數(shù)據(jù)，可能水分會少一點。所以，實驗數(shù)據(jù)只能拿來參考。在有條件的情況下，網(wǎng)絡(luò)管理員要結(jié)合自己的公司網(wǎng)絡(luò)環(huán)境，對防火墻產(chǎn)品進行測試。這測試出來的結(jié)果，對于我們防火墻選購才會有參考價值。

　　網(wǎng)絡(luò)管理員不要走入這個誤區(qū)。否則的話，網(wǎng)絡(luò)管理員只有自己消化由此帶來的苦果了。

　　誤區(qū)二：功能花哨卻不實用。

　　信息化技術(shù)現(xiàn)在越來越復(fù)雜，而且防火墻的競爭也越來越激烈。所以，防火墻廠商為了提供自己產(chǎn)品的市場競爭力，就往往在自己的防火墻產(chǎn)品中集成比較多的功能，以增加市場的賣點。

　　對于這些功能，我們要冷眼看待。

　　一方面，要看看這些額外的功能企業(yè)是否需要。如有些防火墻產(chǎn)品中會集成VPN等功能。但是，企業(yè)是否需要這項功能呢?網(wǎng)絡(luò)管理員要事先考慮清楚。因為VPN服務(wù)不僅在防火墻上可以實現(xiàn)，而且在路由器上也可以實現(xiàn)。如果企業(yè)對于VPN有比較高的性能要求的話，甚至可以部署一個專用的VPN服務(wù)器等等。若在防火墻上實現(xiàn)VPN功能，筆者個人認為，有著畫蛇添足的味道。在管理上，沒有其他實現(xiàn)方式那邊簡便與人性化。

　　另一方面，一些額外的功能會耗費防火墻的資源。上面筆者說過，在實驗室中測試產(chǎn)品的時候，往往只是測試單一的功能。如測試吞吐量的話，會把其他功能關(guān)閉掉。若把防火墻的功能都啟用起來的話，則某個指標的數(shù)字可能需要打個兩折了。所以，花哨功能多了，就會大大影響防火墻的性能。這就好像一個巨無霸，網(wǎng)絡(luò)管理員必須為他提供更好的硬件配置，才能夠讓其正常的運行。從硬件資源爭奪的角度上講，筆者也不贊成在防火墻上實現(xiàn)太多的服務(wù)。只有專才會精。

　　所以，在防火墻產(chǎn)品的選購時，功能并不是越多越好，而是要看其是否實用。當在一個防火墻服務(wù)器上實現(xiàn)太多的服務(wù)，結(jié)果就是這些服務(wù)對硬件資源的吞噬，最后導(dǎo)致防火墻性能的下降。筆者在防火墻上，往往不會部署過多的應(yīng)用服務(wù)。這就好像不要把雞蛋都放在一個籃子中的原理一樣。萬一防火墻服務(wù)器出現(xiàn)故障，那么VPN、訪問控制列表等功能都將實效。當企業(yè)對網(wǎng)絡(luò)的穩(wěn)定性要求比較高的話，越加不能夠把多個服務(wù)集成在防火墻服務(wù)器上。稍有不測，網(wǎng)絡(luò)管理員就會搬起石頭，砸自己的腳。

　　在防火墻選購時，過度關(guān)注防火墻的輔助功能，這是網(wǎng)絡(luò)管理員工作上的一個誤區(qū)之一。有經(jīng)驗的網(wǎng)絡(luò)管理員，都要走出這個誤區(qū)。以免給自己以及企業(yè)造成不可估量的損失。

　　誤區(qū)三：脫離企業(yè)自身的需求。

　　不少網(wǎng)絡(luò)管理員在選購網(wǎng)絡(luò)設(shè)備時，有一個壞習(xí)慣。他不先考慮企業(yè)到底需要實現(xiàn)什么需求，而是先去考察網(wǎng)絡(luò)設(shè)備。如企業(yè)需要選購防火墻的時候，他們不是先考慮企業(yè)要用防火墻去實現(xiàn)什么目的;而是先去考察防火墻市場，看看各個防火墻產(chǎn)品的差異、能夠?qū)崿F(xiàn)什么功能等等。

　　如此做法的話，筆者認為有點無的放矢了。在需求不明確的情況下，如何能夠選擇合適的防火墻產(chǎn)品呢?這就好像去買衣服，如果尺寸不知道的話，買來的衣服怎么會合身呢?除非你運氣特別的好。

　　所以，在防火墻選購的時候，網(wǎng)絡(luò)管理員脫離企業(yè)自身的需求，而只從防火墻產(chǎn)品出發(fā)，進行防火墻選型。這是企業(yè)在選購防火墻的一個誤區(qū)。

　　筆者在選擇防火墻的時候，總會花個幾天時間去考慮、去調(diào)研，看看企業(yè)到底需要利用防火墻實現(xiàn)什么目的。如是否需要通過防火墻實現(xiàn)網(wǎng)絡(luò)訪問控制。因為網(wǎng)絡(luò)訪問控制即可以在路由器上實現(xiàn)，又可以在防火墻上實現(xiàn)。筆者必須對他們進行評估，看看在哪里實現(xiàn)比較合適。在需求確定之后，再去選購防火墻，則會輕松許多。

　　誤區(qū)四：“托”太多，網(wǎng)絡(luò)評價失去真實性。

　　前段時間，大家都在批判醫(yī)托、房托、股托等等。其實，這種托兒在各行各業(yè)都存在。在防火墻行業(yè)也在所難免。如在一些專門評測防火墻產(chǎn)品的網(wǎng)站上，很多網(wǎng)友意見都是托兒發(fā)表的。這就讓網(wǎng)絡(luò)評價失去了真實性。

　　所以，對于網(wǎng)友的評價也不能夠全信。筆者在防火墻選購的時候，只是把他們當作參考，有時候甚至不會去看。筆者自己身邊有一些朋友圈子。當筆者需要選購某個網(wǎng)絡(luò)設(shè)備，包括防火墻在內(nèi)，就直接打電話、或者發(fā)郵件向他們征求意見。毛主席說過，只有實踐是檢驗真理的唯一標準。只有用戶才能夠?qū)Ξa(chǎn)品得出一個客觀的評價。

　　故，筆者認為，對于一些防火墻評測網(wǎng)站或者論壇，我們不能對他們抱太大的希望。因為我們不能夠排除這其中也有托的存在。所以，在防火墻選購上，還是要多問，多測試。最好能夠向自己的朋友圈子直接詢問。太過于迷信網(wǎng)上的評測結(jié)果這是網(wǎng)絡(luò)管理員容易走入的第四個誤區(qū)。

　　誤區(qū)五：太過迷信與品牌。

　　Cisco無疑是網(wǎng)絡(luò)產(chǎn)品的老大。無論是防火墻還是路由器，在行業(yè)內(nèi)都是數(shù)一數(shù)二的。有人甚至把他當作網(wǎng)絡(luò)設(shè)備市場的指南針，跟在他屁股后面發(fā)展。但是，其價格也是行業(yè)內(nèi)最高的。所以，若從性價比上考慮，其排名可能并不會靠前。

　　對于一些財大氣粗的企業(yè)來說，可能就不差這么幾個錢。幾十萬的網(wǎng)絡(luò)設(shè)備，眼都不眨一下，就買過來了。但是對于一些資金相對緊張的企業(yè)來說，則在選購防火墻的時候，價格上面可能會有比較大的約束。有時候，甚至成為網(wǎng)絡(luò)管理員選購防火墻產(chǎn)品的主要參考依據(jù)。

　　筆者個人的意見，無論你企業(yè)錢多錢少，都不要太過于迷信品牌。而是要更多的在實用性的前提下，看看其性價比。若你企業(yè)網(wǎng)絡(luò)比較簡單，防火墻只需要實現(xiàn)訪問控制即可，網(wǎng)絡(luò)流量也不大。那么你若去買個思科的防火墻產(chǎn)品，就算你購買其最低端的防火墻產(chǎn)品，也有點大材小用。網(wǎng)絡(luò)管理員若覺得錢多，還不如考慮看看如何對網(wǎng)絡(luò)進行升級，以提供更高的網(wǎng)絡(luò)性能。

　　說實話，筆者企業(yè)只有在一些關(guān)鍵應(yīng)用上，對穩(wěn)定性、流量、安全性要求都比較高的情況下，才考慮選用思科的網(wǎng)絡(luò)產(chǎn)品。對于一些普通的應(yīng)用，則選用國內(nèi)的產(chǎn)品，如方正等，就已經(jīng)夠用了。雖然集團對于信息化比較重視，不過筆者還是要當個鐵公雞。把資金用在刀刃上。

【防火墻的選購誤區(qū)】相關(guān)文章：

果汁選購的幾個誤區(qū)09-16

選購數(shù)碼相機的誤區(qū)06-02

選購家具的5大誤區(qū)07-10

機箱選購的6大誤區(qū)10-18

電源選購的誤區(qū)有哪些09-17

避開瓷磚選購鋪貼誤區(qū)05-18

選購保健品的幾個誤區(qū)07-04

夏季選購牛奶要避開這些誤區(qū)10-22

控制衛(wèi)浴間選購安裝防誤區(qū)09-27