防火墻的選購誤區

　　防火墻就如同企業網絡的保護神，對于企業網絡的安全有著不可低估的作用。年末，不少企業也會乘著企業業務比較空閑這個時機，來調整網絡配置。如筆者身邊不少的朋友，打算在年底買個防火墻，來鞏固自己的網絡安全。

　　防火墻是好，但是，若選擇不當的話，可能會起到相反的作用。在這里，筆者想跟大家交流一下防火墻選購的經驗。筆者結合自己與朋友防火墻管理方面的心得，總結出了防火墻選購中的五大誤區。權當拋磚引玉。

　　誤區一：太過于相信實驗數據。

　　在防火墻的產品說明中，往往會有一些性能、功能方面的參考數字。如吞吐量有6G， 抗病毒能力有多強等等。對于這些數字我們在防火墻選購的時候不能夠太過于迷信。而應該以辯證的眼光去看待這些數字。

　　一方面，這些數字都是實驗數據。也就是說，是在一個相對合理的、干擾因素比較少的情況下得出的數據。但是，說實話，現在任何一個企業的網絡環境可以達到他們測試產品的那種水準。當企業主機數量比較多，若分段不合理，就會造成比較多的網絡廣播，那時也會影響到這個最終的有效吞吐量。所以，對于實驗室出來的數據，我們往往要打個對折。

　　另一方面，不能夠光看某個指標。在選購防火墻的時候，有多大幾十項的指標，若其中一個指標，如吞吐量，即使高達10G，但是，若其他指標跟不上去的話，那么一切都是白搭。有時候，廠商在測試產品的時候，往往會把某些功能關掉后再進行測試。在這種情況下，測試出來的數據，實用價值不會很大。因為若把其他功能關掉，就啟用一項功能，則CPU等硬件資源就不會發生爭奪。如此，某個指標的數字看起來就會好看許多。而在企業中部署防火墻的時候，不可能只用一項功能。把其他功能開起來的話，則這個數字就會打折扣了。

　　總之，在防火墻選購的時候，不要太過于相信實驗數據。對于他們從實驗室得出來的數字，筆者往往會給他們打個對折。打折后的數據，可能水分會少一點。所以，實驗數據只能拿來參考。在有條件的情況下，網絡管理員要結合自己的公司網絡環境，對防火墻產品進行測試。這測試出來的結果，對于我們防火墻選購才會有參考價值。

　　網絡管理員不要走入這個誤區。否則的話，網絡管理員只有自己消化由此帶來的苦果了。

　　誤區二：功能花哨卻不實用。

　　信息化技術現在越來越復雜，而且防火墻的競爭也越來越激烈。所以，防火墻廠商為了提供自己產品的市場競爭力，就往往在自己的防火墻產品中集成比較多的功能，以增加市場的賣點。

　　對于這些功能，我們要冷眼看待。

　　一方面，要看看這些額外的功能企業是否需要。如有些防火墻產品中會集成VPN等功能。但是，企業是否需要這項功能呢?網絡管理員要事先考慮清楚。因為VPN服務不僅在防火墻上可以實現，而且在路由器上也可以實現。如果企業對于VPN有比較高的性能要求的話，甚至可以部署一個專用的VPN服務器等等。若在防火墻上實現VPN功能，筆者個人認為，有著畫蛇添足的味道。在管理上，沒有其他實現方式那邊簡便與人性化。

　　另一方面，一些額外的功能會耗費防火墻的資源。上面筆者說過，在實驗室中測試產品的時候，往往只是測試單一的功能。如測試吞吐量的話，會把其他功能關閉掉。若把防火墻的功能都啟用起來的話，則某個指標的數字可能需要打個兩折了。所以，花哨功能多了，就會大大影響防火墻的性能。這就好像一個巨無霸，網絡管理員必須為他提供更好的硬件配置，才能夠讓其正常的運行。從硬件資源爭奪的角度上講，筆者也不贊成在防火墻上實現太多的服務。只有專才會精。

　　所以，在防火墻產品的選購時，功能并不是越多越好，而是要看其是否實用。當在一個防火墻服務器上實現太多的服務，結果就是這些服務對硬件資源的吞噬，最后導致防火墻性能的下降。筆者在防火墻上，往往不會部署過多的應用服務。這就好像不要把雞蛋都放在一個籃子中的原理一樣。萬一防火墻服務器出現故障，那么VPN、訪問控制列表等功能都將實效。當企業對網絡的穩定性要求比較高的話，越加不能夠把多個服務集成在防火墻服務器上。稍有不測，網絡管理員就會搬起石頭，砸自己的腳。

　　在防火墻選購時，過度關注防火墻的輔助功能，這是網絡管理員工作上的一個誤區之一。有經驗的網絡管理員，都要走出這個誤區。以免給自己以及企業造成不可估量的損失。

　　誤區三：脫離企業自身的需求。

　　不少網絡管理員在選購網絡設備時，有一個壞習慣。他不先考慮企業到底需要實現什么需求，而是先去考察網絡設備。如企業需要選購防火墻的時候，他們不是先考慮企業要用防火墻去實現什么目的;而是先去考察防火墻市場，看看各個防火墻產品的差異、能夠實現什么功能等等。

　　如此做法的話，筆者認為有點無的放矢了。在需求不明確的情況下，如何能夠選擇合適的防火墻產品呢?這就好像去買衣服，如果尺寸不知道的話，買來的衣服怎么會合身呢?除非你運氣特別的好。

　　所以，在防火墻選購的時候，網絡管理員脫離企業自身的需求，而只從防火墻產品出發，進行防火墻選型。這是企業在選購防火墻的一個誤區。

　　筆者在選擇防火墻的時候，總會花個幾天時間去考慮、去調研，看看企業到底需要利用防火墻實現什么目的。如是否需要通過防火墻實現網絡訪問控制。因為網絡訪問控制即可以在路由器上實現，又可以在防火墻上實現。筆者必須對他們進行評估，看看在哪里實現比較合適。在需求確定之后，再去選購防火墻，則會輕松許多。

　　誤區四：“托”太多，網絡評價失去真實性。

　　前段時間，大家都在批判醫托、房托、股托等等。其實，這種托兒在各行各業都存在。在防火墻行業也在所難免。如在一些專門評測防火墻產品的網站上，很多網友意見都是托兒發表的。這就讓網絡評價失去了真實性。

　　所以，對于網友的評價也不能夠全信。筆者在防火墻選購的時候，只是把他們當作參考，有時候甚至不會去看。筆者自己身邊有一些朋友圈子。當筆者需要選購某個網絡設備，包括防火墻在內，就直接打電話、或者發郵件向他們征求意見。毛主席說過，只有實踐是檢驗真理的唯一標準。只有用戶才能夠對產品得出一個客觀的評價。

　　故，筆者認為，對于一些防火墻評測網站或者論壇，我們不能對他們抱太大的希望。因為我們不能夠排除這其中也有托的存在。所以，在防火墻選購上，還是要多問，多測試。最好能夠向自己的朋友圈子直接詢問。太過于迷信網上的評測結果這是網絡管理員容易走入的第四個誤區。

　　誤區五：太過迷信與品牌。

　　Cisco無疑是網絡產品的老大。無論是防火墻還是路由器，在行業內都是數一數二的。有人甚至把他當作網絡設備市場的指南針，跟在他屁股后面發展。但是，其價格也是行業內最高的。所以，若從性價比上考慮，其排名可能并不會靠前。

　　對于一些財大氣粗的企業來說，可能就不差這么幾個錢。幾十萬的網絡設備，眼都不眨一下，就買過來了。但是對于一些資金相對緊張的企業來說，則在選購防火墻的時候，價格上面可能會有比較大的約束。有時候，甚至成為網絡管理員選購防火墻產品的主要參考依據。

　　筆者個人的意見，無論你企業錢多錢少，都不要太過于迷信品牌。而是要更多的在實用性的前提下，看看其性價比。若你企業網絡比較簡單，防火墻只需要實現訪問控制即可，網絡流量也不大。那么你若去買個思科的防火墻產品，就算你購買其最低端的防火墻產品，也有點大材小用。網絡管理員若覺得錢多，還不如考慮看看如何對網絡進行升級，以提供更高的網絡性能。

　　說實話，筆者企業只有在一些關鍵應用上，對穩定性、流量、安全性要求都比較高的情況下，才考慮選用思科的網絡產品。對于一些普通的應用，則選用國內的產品，如方正等，就已經夠用了。雖然集團對于信息化比較重視，不過筆者還是要當個鐵公雞。把資金用在刀刃上。

【防火墻的選購誤區】相關文章：

選購豬肉的方法07-02

如何選購粽子03-29

選購牙刷的方法03-22

如何選購木瓜03-17

如何選購巧克力07-02

選購紫米的方法07-02

健身有哪些誤區10-29

防曬誤區有哪些10-20

7個運動誤區12-12

護膚有哪些誤區03-02