[企业公司选购防火墙须注意五大要点242.doc

企业公司选购防火墙须注意五大要点！ 前言对于这些功能，我们要冷眼看待： 　　一方面，要看看这些额外的功能企业是否需要。如有些防火墙产品中会集成VPN等功能。但是，企业是否需要这项功能呢？网络管理员要事先考虑清楚。因为VPN服务不仅在防火墙上可以实现，而且在路由器上也可以实现。如果企业对于VPN有比较高的性能要求的话，甚至可以部署一个专用的VPN服务器等等。若在防火墙上实现VPN功能，笔者个人认为，有着画蛇添足的味道。在管理上，没有其他实现方式那边简便与人性化。 　　另一方面，一些额外的功能会耗费防火墙的资源。上面笔者说过，在实验室中测试产品的时候，往往只是测试单一的功能。如测试吞吐量的话，会把其他功能关闭掉。若把防火墙的功能都启用起来的话，则某个指标的数字可能需要打个两折了。所以，花哨功能多了，就会大大影响防火墙的性能。这就好像一个巨无霸，网络管理员必须为他提供更好的硬件配置，才能够让其正常的运行。从硬件资源争夺的角度上讲，笔者也不赞成在防火墙上实现太多的服务。只有专才会精。 　　所以，在防火墙产品的选购时，功能并不是越多越好，而是要看其是否实用。当在一个防火墙服务器上实现太多的服务，结果就是这些服务对硬件资源的吞噬，最后导致防火墙性能的下降。笔者在防火墙上，往往不会部署过多的应用服务。这就好像不要把鸡蛋都放在一个篮子中的原理一样。万一防火墙服务器出现故障，那么VPN、访问控制列表等功能都将实效。当企业对网络的稳定性要求比较高的话，越加不能够把多个服务集成在防火墙服务器上。稍有不测，网络管理员就会搬起石头，砸自己的脚。 　　在防火墙选购时，过度关注防火墙的辅助功能，这是网络管理员工作上的一个误区之一。有经验的网络管理员，都要走出这个误区。以免给自己以及企业造成不可估量的损失。 误区1：功能花哨却不实用。 　　信息化技术现在越来越复杂，而且防火墙的竞争也越来越激烈。所以，防火墙厂商为了提供自己产品的市场竞争力，就往往在自己的防火墙产品中集成比较多的功能，以增加市场的卖点。 误区2：太过于相信实验数据。 　　在防火墙的产品说明中，往往会有一些性能、功能方面的参考数字。如吞吐量有6G， 抗病毒能力有多强等等。对于这些数字我们在防火墙选购的时候不能够太过于迷信。而应该以辩证的眼光去看待这些数字。 　　一方面，这些数字都是实验数据。也就是说，是在一个相对合理的、干扰因素比较少的情况下得出的数据。但是，说实话，现在任何一个企业的网络环境可以达到他们测试产品的那种水准。当企业主机数量比较多，若分段不合理，就会造成比较多的网络广播，那时也会影响到这个最终的有效吞吐量。所以，对于实验室出来的数据，我们往往要打个对折。 　　另一方面，不能够光看某个指标。在选购防火墙的时候，有多大几十项的指标，若其中一个指标，如吞吐量，即使高达10G，但是，若其他指标跟不上去的话，那么一切都是白搭。有时候，厂商在测试产品的时候，往往会把某些功能关掉后再进行测试。在这种情况下，测试出来的数据，实用价值不会很大。因为若把其他功能关掉，就启用一项功能，则CPU等硬件资源就不会发生争夺。如此，某个指标的数字看起来就会好看许多。而在企业中部署防火墙的时候，不可能只用一项功能。把其他功能开起来的话，则这个数字就会打折扣了。 　　总之，在防火墙选购的时候，不要太过于相信实验数据。对于他们从实验室得出来的数字，笔者往往会给他们打个对折。打折后的数据，可能水分会少一点。所以，实验数据只能拿来参考。在有条件的情况下，网络管理员要结合自己的公司网络环境，对防火墙产品进行测试。这测试出来的结果，对于我们防火墙选购才会有参考价值。 　　网络管理员不要走入这个误区。否则的话，网络管理员只有自己消化由此带来的苦果了。 误区3：“托”太多，网络评价失去真实性。 　　前段时间，大家都在批判医托、房托、股托等等。其实，这种托儿在各行各业都存在。在防火墙行业也在所难免。如在一些专门评测防火墙产品的网站上，很多网友意见都是托儿发表的。这就让网络评价失去了真实性。 　　所以，对于网友的评价也不能够全信。笔者在防火墙选购的时候，只是把他们当作参考，有时候甚至不会去看。笔者自己身边有一些朋友圈子。当笔者需要选购某个网络设备，包括防火墙在内，就直接打电话、或者发邮件向他们征求意见。毛主席说过，只有实践是检验真理的唯一标准。只有用户才能够对产品得出一个客观的评价。 　　故，笔者认为，对于一些防火墙评测网站或者论坛，我们不能对他们抱太大的希望。因为我们不能够排除这其中也有托的存在。所以，在防火墙选购上，还是要多问，多测试。最好能够向自己的朋友圈子直接询问。太过于迷信网上的评测结果这是网络管理员容易走入的第四个误区。 误区4：太过迷信与品牌。 　　Ci