网络工程规划与设计案例教程(李健 谭爱平)文档_项目一_任务3-6_防火墙产品的选型.docVIP

湖南工业职业技术学院 网络技术专业教学资源库 防火墙产品的选型 做好需求分析 选择合适产品的一个前提条件就是，明确用户的具体需求。因此，选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。 首先，要考虑网络结构。包括网络边界出口链路的带宽要求、数量等情况，比如边界连接多个ISP；IP地址规划对防火墙地址转换的需求，比如对路由模式和透明网桥模式的支持；是否需要按照不同安全级别设立多个网段，如设置内网、外网、停火区等三个或三个以上网段。目前，市场上的大多防火墙都至少支持三个口，甚至更多。 其次，要考虑到业务应用系统需求。防火墙对特定应用的支持功能和性能，比如对视频、语音、数据库应用穿透 防火墙的支持能力；防火墙对应用层信息过滤，比如对垃圾邮件、病毒、非法信息等过滤；对应用系统是否具有负载均衡功能。 第三，要考虑用户及通信流量规模方面的需求。网络规模大小、跨防火墙访问的网络用户数量，要求防火墙具有较高的最大并发连接数；网络边界的通信流量要求防火墙具有较高的吞吐量、较低的丢包率、较低的延时等性能指标，防止出现网络性能瓶颈。 最后，还要考虑到可靠性、可用性、易用性等方面的需求。支撑高可用、高可靠的网络平台，要求防火墙必须达到一定的冗余能力，包括对双机热备、负载均衡、多机集群等的支持能力。对于大型网络分布式防火墙配置，要求有集中控管能力、管理界面的友好性、远程配置的安全必威体育官网网址等功能。 坚定选择原则 在整理出具体的需求以后，可以得到一份防火墙的需求分析报告。下一步的工作就是在众多的品牌和档次中选出满足需求的产品，并考虑一定的扩展性要求。选择的主要原则有： 第一，以需求为导向，选择最适合用户需求的产品。这里强调最适合并不意味着某一种或某几种性能及功能最好，因为评价一款防火墙的性能及功能指标很多，是一个大集合，用户应集中在自己真正需要的那些指标，超出用户需求子集的指标不能作为选择依据；而且不同厂家可能拥有不同的技术优势，某些指标好，某些指标弱，有时需要进行折中考虑。另外，还要考虑到用户可承受的性价比。 第二， 对于产品的选型，可参考的指标来源与厂家提供的技术白皮书、各种测评机构的横向对比测试报告，从中可以了解产品的一些基本性能情况。但由于测试时间、测试条件的差异性，把这些测试报告做横向对比的参考价值不是太高。 第三，要完全按照用户的实际需求来对比各种产品的满足程度，最好是根据需求，定制一套测试方案，并对防火墙在统一测试条件和测试环境下进行横向对比测试，这样出来的测试结果才真正具有可比性。关于防火墙选型测试的技术标准可以参照《包过滤防火墙安全技术要求GB/T18019-1999》、《应用级防火墙安全技术要求GB/T18020-1999》、《信息技术 安全技术 信息技术安全性评估准则GB/T18336-2001》以及RFC2544、RFC2647、RFC3511等标准和文档。 明确常用指标 由于防火墙的各项指标具有较强的专业性，用户要把这些似懂非懂的指标与需求一一对应起来尚存在一定的难度，因此，用户在选择时，有必要把防火墙的主要指标和需求联系起来。 目前，防火墙常用的技术指标包括性能指标、功能指标、防攻击指标以及防火墙对集中管理、分级管理、日志管理等功能的支持，提供较为友好和安全的配置方式和工具等。 性能指标主要包括吞吐量、丢包率、延迟、最大并发连接数、并发连接处理速率等。用户在选择时，应该根据自身的网络规模和需求，对上述几个指标参数进行详细了解，选择适合的产品，可以向有关专家询问请教。 功能指标主要体现为几个方面：对网络层包过滤、连接状态检测功能的支持；对常见标准网络协议的支持功能，例如802.1q、SNMP、IGMP、H.323、RIP、等IP网络协议；对应用层的访问控制和过滤功能的支持；对源/目标地址转换功能、路由/透明网桥混合工作模式功能的支持；流量控制（带宽管理）；用户管理与认证；防火墙设备双机热备、双机负载均衡、多机集群等的支持能力，以及防火墙对应用服务器的负载均衡能力。 安全转向一体化的防护 大多数的企业网络都非常复杂，要保护它们免于当今难以捉摸且快速传播的混合威胁，是一件非常不容易的事。人们希望在提供自动化、实时的检测与防护措施的同时，可提供一体化的安全保护，解决方案也要能简化安全的管理。