【内容导航】

文本tag：

　　【it168 专稿】上期文章中笔者为各位介绍了用数据说话硬件防火墙选购的几个经验，当然除了硬件方面的参数标准外，功能上的需求也需要我们全面考虑，今天笔者就从企业级硬件防火墙功能和应用两方面出发为各位it168的读者介绍选购硬件防火墙的经验。

　　数据说话 硬件防火墙选购经验谈(上)

　　一，vpn功能不可缺：(如图1)

　　对于硬件防火墙来说如何有效的分清非法用户以及授权用户对内网的访问是非常关键的，很多企业在外都有分支机构，分支网络要想接入到本部网络中必须通过vpn接入服务，因此对于企业级硬件防火墙来说vpn功能是不可获缺的。

　　通过vpn我们可以将远程授权用户或远程授权网络与本部区域进行连接，而另一方面非法用户以及没有获取相关权限的用户是不能够顺利穿越防火墙的。因此在我们选择硬件防火墙时是否支持vpn功能是一个主要考察因素。

　　除了vpn功能外防火墙所支持的vpn隧道数同样含糊不得，对于具备一万个节点的网络来说防火墙应该支持的vpn隧道数在2000以上，这样才能够保证同时多人次多终端的访问能够顺利接入。另外最好在考察防火墙时确定其自身的vpn是集成硬件的方式，支持site-to-site vpn，支持vpn星形部署方式，支持多端口并发vpn隧道功能。支持vpn隧道的nat穿越，支持ipsec vpn，支持ssl vpn，可支持用户b/s方式无缝接入，支持usb key进行ssl vpn双因素认证。总之关于vpn的功能越全越好，毕竟网络安全问题很大一部分都是由于外网接入与访问造成的，所以vpn功能的强大与否直接决定企业网络安全。同时强大的vpn扩展功能和访问应用技术可以为日后硬件防火墙和企业内网安全系统升级做好充足的准备。

　　重要程度——★★★★

【内容导航】

文本tag：

　　三，安全功能不拖后腿：

　　硬件防火墙除了日常使用的包过滤和协议过滤等功能外，其他针对网络的扩展功能也是需要在选购时考虑清楚的。硬件防火墙自身的安全功能不能脱日后网络过滤的后腿。根据笔者参与政府采购以及多次选购硬件防火墙的经验，以下安全功能需要在购买前进行权衡。

　　(1)支持敏感文件类型过滤，支持java applet、activex阻断，支持url过滤、url关键字过滤、url列表上载、下载。工作模式支持路由、nat、透明及混合等多种模式。这些组件和插件程序都随时随地威胁我们的内网应用，所以硬件防火墙应该有效支持对他们的过滤。

　　(2)支持各种ip服务，支持各种工作模式下多媒体协议(如h.323)的安全控制和通过。h.323多媒体协议在voip等语音技术中广泛应用，因此如果想在企业内网建立voip语音通讯系统的话，硬件防火墙就一定要能够针对相关协议进行安全控制和适当过滤。

　　(3)支持抗dos/ddos攻击提供syn flood攻击防护、畸形报文防护、ip 报文分片攻击防护、ip 异常选项检测、tcp 异常检测、ip地址欺骗防护、ip地址扫描攻击防护、端口扫描防护。ddos是目前威胁服务器和企业腽肭蜾蠃应用的主要杀手，因此一台性能高效的硬件防火墙针对ddos的防御能力是需要在选购时深思熟虑的。虽然目前硬件防火墙还不能够从根本上彻底避免ddos对企业网络的攻击，但是好的硬件防火墙可以过滤掉尽可能多的攻击，从而最大限度的减少ddos对企业带宽和资源的损耗。

　　(3)支持多链路负载均衡，即a链路断开自动切换到b链路。此功能在上文中已经在冗余环节上做过介绍，这里就不再详细说明了，总之支持多路负载均衡一方面可以提高网络运行效率，另外一方面可以提供线路的保护功能，保证企业网络畅通无阻。

　　(4)故障诊断类型包括设备故障、链路故障、接口状态故障等;同时需要支持802.3ad 链路聚合功能，可利用多条pppoe链路组建低成本高带宽链路。即总速率=a链路+b链路之总和。

　　(5)内置防arp攻击客户端，可自动分发全网。这样就可以从内网下手避免内网病毒对防火墙的攻击。从而在第一时间揪出“内奸”来。

　　重要程度——★★★★