与其问具体硬件的优缺点,我想我会问一个更广泛的问题:真正昂贵和便宜的防火墙之间有什么区别?您通常会获得哪些额外的功能/支持?虽然防火墙(硬件)需要软件才能运行,但是否仍需要使用标准操作系统的防火墙?
这里(在场景 3 中)建议多个防火墙对更大的公司(500 多人)更有利。仅仅是因为您拥有的防火墙越多,您受到的保护就越多吗?
这个问题是本周的 IT 安全问题。
阅读 2012 年 1 月 6 日的博客文章了解更多详情或提交您自己的本周问题。
与其问具体硬件的优缺点,我想我会问一个更广泛的问题:真正昂贵和便宜的防火墙之间有什么区别?您通常会获得哪些额外的功能/支持?虽然防火墙(硬件)需要软件才能运行,但是否仍需要使用标准操作系统的防火墙?
这里(在场景 3 中)建议多个防火墙对更大的公司(500 多人)更有利。仅仅是因为您拥有的防火墙越多,您受到的保护就越多吗?
这个问题是本周的 IT 安全问题。
阅读 2012 年 1 月 6 日的博客文章了解更多详情或提交您自己的本周问题。
防火墙硬件之间最大和最重要的因素之一是最大吞吐量和典型延迟。低成本防火墙硬件通常具有小于 100Mbit/sec 的最大吞吐量,即使网络适配器理论上可能支持更多。这意味着防火墙在许多情况下成为您的网络瓶颈。确定防火墙的吞吐量不仅仅是查看端口速度。
快速处理数据需要快速 CPU、高速互连和大量快速 RAM,以及非常高质量的网络适配器。仅防火墙的硬件就能够以 1 Gbit/sec 的速度通过最少的检查来传递数据,就可以让你在几百美元的范围内。此外,您对通过流量进行的检查越多,您消耗的 CPU 功率和内存就越多。添加复杂的过滤逻辑将显着增加 CPU 和 RAM 利用率。任何资源耗尽都会导致延迟或丢包。
即使在 60 美元的家用路由器上也可以进行状态数据包检查,尤其是应用级协议逻辑,但在高利用率下对性能的影响将是严重的。
您的硬件接口通常不是主要费用,但由于大多数人通常将接口质量等同于硬件质量,因此对其产品的生存有浓厚兴趣的公司通常会付出一些额外的努力来制造界面更易于使用。至少,理论是这样的。有时像瞻博网络和思科这样的公司会让我怀疑这种假设。
还要记住,一些公司不仅围绕提供防火墙硬件和软件,还围绕提供操作系统的定期更新、过滤规则、垃圾邮件和恶意软件的模式等来构建整个业务。如果你想要那种服务,你必须帮助支付提供它的人的薪水。
廉价的家庭/小型企业防火墙往往对诸如 NAT、VPN、IPSec、DNS 等的支持非常有限,并且设计用于低吞吐量和非常低数量的并发连接(通常是真正的问题)。企业防火墙最近已转向统一威胁模型,您可以在其中购买机箱并购买所需功能的许可证。大多数不仅能够执行深度数据包检查,还能够执行入侵防御、Web 内容过滤、反垃圾邮件、VPN 等,具体取决于许可证。更快肯定更贵,但我想说明设计本身的一些根本差异。
根据用户/组织所需的特性和功能,防火墙可分为不同的层级。
1 - 最基本的级别是为家庭或非常小的企业用户提供端口地址转换、基本 NAT、单个 WAN 端口、有限的网络端口以及通常是无线的。
2 - 小型企业/小型企业通常具有简单到半强大的 GUI、1-2 个 WAN 端口、VPN 功能(站点到站点和客户端到站点)、灵活的 NAT/PAT 配置,并且许多都具有附加功能,例如反垃圾邮件、防病毒、IPS 和 Web 内容过滤(通常按月收费)。通常无线是一种选择,并且可能有可用于高端型号的高可用性/负载平衡功能。
3 - 较大的企业型号将具有您可以随意指定为内部/外部的端口、VPN 功能、强大的 GUI、高速背板、更强大的处理器和更大数量的 RAM、高可用性/负载平衡支持,以及许多附加功能上一层提到的功能。
如果您从更大的企业角度来看防火墙,您需要高可用性,这意味着多个防火墙处于高可用性或支持多个 ISP 连接的集群模式。不仅硬件加起来,而且您的年度维护费用也很便宜。
除了之前正确关注带宽和吞吐量的答案之外,还有诸如 NAT、VPN、内容过滤、IPS 等“附加”模块。
我还想指出,高端产品有很多部署就绪的功能,例如与现有的 LDAP 或 RADIUS 服务器集成,用于用户身份验证;更容易的 PKI 配置和集成;添加机器的“引导”机制。
除了漂亮的 UI 之外,还有一些更好的管理实用程序,例如更好的 FW 集群管理、更改工作流、策略委托等。
最后,一些更高级的防火墙提供了可扩展性挂钩(尽管在底端,开源 FW 也允许你这样做 - 种)。