對(duì)于公司網(wǎng)絡(luò)安全來(lái)說(shuō)�����,防火墻起的是關(guān)鍵性的作用�����,只有它�����,才可以防止來(lái)自互聯(lián)網(wǎng)上永不停止的各種威脅�����。防火墻的選擇對(duì)遠(yuǎn)程終端連接到中心系統(tǒng)獲取必要資源或完成重要任務(wù)的影響也非常大。當(dāng)選擇基于硬件的防火墻時(shí)�����,應(yīng)當(dāng)考慮以下十個(gè)方面的因素�����,以確保企業(yè)實(shí)現(xiàn)投資�����、安全性和生產(chǎn)力的最大化�����。
1�����、必須可以提供值得信賴的安全
在市面上�����,UTM的種類(lèi)非常多�����。根據(jù)商業(yè)模式的不同�����,一些網(wǎng)絡(luò)安全設(shè)備可以提供大量的功能和全面的服務(wù)�����,但是需要公司承擔(dān)高昂的價(jià)格�����,而另一些則只包含了基本的服務(wù)�����,但采購(gòu)的成本也很低�����。
因此�����,選擇的時(shí)間一定要確保平臺(tái)是公認(rèn)和值得信賴的。Barracuda�����、思科�����、SonicWALL公司和WatchGuard都屬于擁有市場(chǎng)份額的著名品牌�����,它們獲得的市場(chǎng)份額就是可以提供值得信賴安全的很好的理由�����。無(wú)論你選擇什么品牌的防火墻�����,都應(yīng)該確保其通過(guò)國(guó)際計(jì)算機(jī)安全協(xié)會(huì) (ICSA)的認(rèn)證�����,符合數(shù)據(jù)包檢測(cè)的行業(yè)標(biāo)準(zhǔn)�����。
2�����、具有良好的易用性
在安全方面�����,全球跨國(guó)企業(yè)需要多級(jí)控制管理�����,但即使是這些需要大量保護(hù)的企業(yè)也不應(yīng)該將設(shè)備配置方式限定在命令行模式下�����。很多防火墻都可以在提供高度安全性的同時(shí)�����,提供友好的圖形界面以方便管理�����。
這樣做的優(yōu)點(diǎn)有幾個(gè)方面。圖形用戶界面有助于防止安裝時(shí)間出現(xiàn)錯(cuò)誤�����。在圖形用戶界面下�����,更容易地診斷和糾正故障�����。圖形用戶界面也更易于培訓(xùn)工作人員�����,并進(jìn)行調(diào)整�����、升級(jí)和更新�����。
在選擇基于硬件的防火墻時(shí)�����,考慮到易用性也會(huì)帶來(lái)很大的好處�����。一個(gè)平臺(tái)越容易進(jìn)行管理�����,就越容易找到可以進(jìn)行安裝�����、維護(hù)和故障處理等工作的專(zhuān)業(yè)人士�����。
3�����、必須包含VPN支持
防火墻存在的目的并不限于防止網(wǎng)絡(luò)黑客的攻擊和非法數(shù)據(jù)輸出�����。一個(gè)好的防火墻還應(yīng)該可以在為遠(yuǎn)程連接建立安全通道,并對(duì)其進(jìn)行監(jiān)測(cè)�����。在選擇基于硬件的防火墻時(shí)�����,應(yīng)該確保其支持同類(lèi)設(shè)備的基于SSL-和IPSec-保護(hù)的VPN連接(以保護(hù)點(diǎn)至點(diǎn)或站點(diǎn)到站點(diǎn)VPN)�����,讓員工可以實(shí)現(xiàn)安全連接�����。
4�����、功能選擇要符合實(shí)際需求
在網(wǎng)絡(luò)策略中�����,防火墻通常承擔(dān)公司網(wǎng)絡(luò)的互聯(lián)網(wǎng)網(wǎng)關(guān)的角色�����。對(duì)于規(guī)模較小的辦公室�����,可以讓防火墻承擔(dān)雙重責(zé)任�����,即既作為安全設(shè)備又作為網(wǎng)絡(luò)交換機(jī)�����。同時(shí)�����,對(duì)于規(guī)模較大的辦公環(huán)境來(lái)說(shuō)�����,防火墻屬于更大結(jié)構(gòu)的組成部分�����,這時(shí),它承擔(dān)的唯一責(zé)任就是對(duì)流量進(jìn)行過(guò)濾�����。
確保防火墻可以對(duì)負(fù)載進(jìn)行分配管理�����。這就意味著它需要配備必要的以太網(wǎng)端口并擁有適當(dāng)?shù)乃俣?如果有必要的話�����,應(yīng)該選擇 10Mbps/100Mbps和/或1000Mbps)�����。但還有更多要注意的因素�����,確保你選擇的防火墻擁有進(jìn)行數(shù)據(jù)包檢查的功能�����,并且可以提供安全服務(wù)網(wǎng)關(guān)和路由功能。
特別要注意的是制造商關(guān)于支持最大節(jié)點(diǎn)數(shù)目的建議�����。如果超過(guò)了路由器的能力�����,就可能會(huì)出現(xiàn)錯(cuò)誤�����,數(shù)據(jù)傳輸就會(huì)由于缺乏許可或者超過(guò)支持范圍而中斷�����。
5�����、應(yīng)該擁有可靠的技術(shù)支持
硬件出現(xiàn)問(wèn)題是有可能的�����。更壞的情況可能是�����,僅僅因?yàn)槭切略O(shè)備并不意味著它一定可以正常工作�����。全天候的技術(shù)支持以及部署過(guò)程中的全面技術(shù)支持應(yīng)當(dāng)包含在和防火墻制造商簽定的技術(shù)支持合同中�����。
在購(gòu)買(mǎi)前�����,應(yīng)該撥打制造商技術(shù)支持團(tuán)隊(duì)的電話�����,了解部署和配置方面的問(wèn)題�����。根據(jù)答復(fù)的速度和內(nèi)容等情況�����,可以確定在實(shí)地部署出現(xiàn)問(wèn)題時(shí)你將獲得服務(wù)的情況。
6�����、關(guān)注無(wú)線網(wǎng)絡(luò)安全
即使在選擇基于硬件的防火墻時(shí)�����,公司并不認(rèn)為這是必須的情況下����,也應(yīng)該將無(wú)線網(wǎng)絡(luò)功能包含進(jìn)來(lái)����。IT團(tuán)隊(duì)可以在部署的時(shí)間關(guān)閉無(wú)線網(wǎng)絡(luò)功能。增加無(wú)線局域網(wǎng)功能會(huì)導(dǎo)致購(gòu)買(mǎi)成本增加����,但對(duì)于客戶連接或方便地訪問(wèn)網(wǎng)絡(luò)來(lái)說(shuō),這是必須的����。安全的無(wú)線連接是很容易獲得的(并不需要購(gòu)買(mǎi)一臺(tái)全新的路由器)。對(duì)于一家處于變化中的公司企業(yè)來(lái)說(shuō)����,無(wú)線局域網(wǎng)功能可能被證明是必要的����。
7����、可以提供網(wǎng)關(guān)安全服務(wù)
通過(guò)設(shè)置防火墻,很多公司成功地降低了病毒����、間諜軟件和垃圾郵件帶來(lái)的大量威脅。在比較防火墻功能����,確定運(yùn)行費(fèi)用的時(shí)間,為了減低成本����,你可以選擇在防火墻而不是傳統(tǒng)的域控制器或其他服務(wù)器上部署這些服務(wù)。
8����、能夠進(jìn)行內(nèi)容過(guò)濾
現(xiàn)在很多IT部門(mén)都選擇使用OpenDNS進(jìn)行內(nèi)容過(guò)濾,一些防火墻制造商也在設(shè)備中提供了網(wǎng)頁(yè)過(guò)濾的選擇����。對(duì)于所有和業(yè)務(wù)有關(guān)的網(wǎng)絡(luò)服務(wù)來(lái)說(shuō)����,都需要利用網(wǎng)關(guān)安全服務(wù)進(jìn)行內(nèi)容過(guò)濾����。這樣做的優(yōu)點(diǎn)是可以實(shí)現(xiàn)功能集成在一臺(tái)設(shè)備中。但缺點(diǎn)是����,你需要支付相關(guān)的費(fèi)用。
因此����,在選擇基于硬件的防火墻解決方案時(shí)����,要考慮到公司的需求和預(yù)算情況,確定是否應(yīng)該由防火墻管理內(nèi)容過(guò)濾功能����。如果答案是肯定的話,選擇一個(gè)包含了可靠成熟內(nèi)容過(guò)濾功能的防火墻����。
9����、可以提供專(zhuān)業(yè)的監(jiān)測(cè)和報(bào)告
防火墻可以對(duì)關(guān)鍵網(wǎng)絡(luò)任務(wù)進(jìn)行管理����。僅僅一個(gè)工作日,一臺(tái)路由器就可以阻止成千上萬(wàn)的入侵企圖����、防范各種攻擊,并記錄失敗的網(wǎng)絡(luò)連接����。但這些信息只有包含在易于獲取的格式中時(shí),才能為網(wǎng)絡(luò)管理員提供有效的幫助����。
對(duì)于防火墻來(lái)說(shuō),不僅需要對(duì)重要事件進(jìn)行監(jiān)控����,而且應(yīng)該將數(shù)據(jù)以兼容的格式保存起來(lái)。對(duì)于一個(gè)優(yōu)秀的防火墻來(lái)說(shuō)����,應(yīng)該至少可以利用電子郵件為重要事件提供警告����。
10����、了解是否具備故障轉(zhuǎn)移功能
一些公司可能需要廣域網(wǎng)故障轉(zhuǎn)移功能,或者冗余的互聯(lián)網(wǎng)連接進(jìn)行自動(dòng)故障檢測(cè)和糾正����。很多防火墻都不具備自動(dòng)故障轉(zhuǎn)移支持模式。如果該功能對(duì)貴公司來(lái)說(shuō)是至關(guān)重要的話����,請(qǐng)確認(rèn)你選擇的防火墻包含了無(wú)縫切換模式;即使是高端防火墻,在默認(rèn)情況下����,也不一定包括這樣的功能����。
此外,請(qǐng)確保選擇的模式符合公司的使用情況����。舉例來(lái)說(shuō)����,如果一個(gè)單位擁有兩個(gè)RJ - 45廣域以太網(wǎng)端口的話����,在第2個(gè)端口運(yùn)行無(wú)線網(wǎng)卡將沒(méi)有什么好處。在這種情況下����,USB接口的GSM卡或適配器才是比較適當(dāng)?shù)倪x擇。
相關(guān)推薦:
小技巧:機(jī)房管理常見(jiàn)三大難題的解決方法 支招:防火墻加Web交換機(jī)實(shí)施完美組網(wǎng)方案 軟考網(wǎng)管:識(shí)別三層交換機(jī)設(shè)備優(yōu)劣精華寶典
