本篇我們來了解一些對於小企業以及小的分支機構如何選擇防火牆。

防火牆這樣一類網路安全裝置,對於沒有相關知識的兼職網工。選購,絕對是一個頭疼的問題。當你在搜尋 引擎上去檢索時,映入眼簾可能是“虛擬化”、“DDOS防護”、“下一代防火牆”這種專業名詞。一下子就把你繞暈啦。我們先不去討論誰家廣告打得好,先來了解一下防火牆是什麼?有啥功能?有哪些重要效能引數。瞭解清楚啦,其實和選手機沒什麼區別。

一、防火牆是什麼?

所謂“防火牆”是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種建立在現代通訊網路技術和資訊保安技術基礎上的應用性安全技術,隔離技術。越來越多地應用於專用網路與公用網路的互聯環境之中,尤其以接入Internet網路為最甚。

小企業選購防火牆指南

我們可以簡單理解它的職能就像是學校的門衛大叔。對於學生中午吃飯和晚上放學出校門(類比從防火牆出去的流量)他不會做任何阻攔動作。但是要是上課時間逃課打LOL就一定逮住你。

小企業選購防火牆指南

而對於進入學校的人員來說(類比從防火牆外面進入企業內網的流量)他則會透過校服來進行判斷,放行進入校內。

小企業選購防火牆指南

總結一下:防火牆對於匹配自身規則的流量放行,不匹配則阻斷。從網際網路到企業內網如此,從企業內網到網際網路亦是如此。

二、對於小企業有什麼實用的功能?

1⃣️-SNAT(源地址轉換)

使用場景:員工上網衝浪 ‍♀️

2⃣️-DNAT(目標地址轉換)

使用場景:公司網站對外發布

3⃣️-QOS(流量限速)

常用使用場景:領導網速慢

4⃣️-URL訪問控制

常用使用場景:限制員工訪問 賭博 暴力 等網站

5⃣️-IPS/AV(入侵防護/防病毒)

使用場景:保護公司對外的業務安全。

工作機制:匹配廠商的病毒 特徵庫,有則阻斷,無則放行。

6⃣️-VPN(虛擬專用網路)

使用場景一:分公司客服員工使用總公司的辦公系統提交工單。

小企業選購防火牆指南

IPSecVPN

使用場景二:員工在家 進行交通費報銷。

小企業選購防火牆指南

SSLVPN-員工終端需要裝客戶端

三、關鍵引數

介面/引數:例如FortiGate30E

小企業選購防火牆指南

1⃣️-USB介面

2⃣️-CONSOLE:用於工程師進行故障排查。

3⃣️-1x GE RJ45 廣域網介面:用於連線運營商線路。

4⃣️-4x GE RJ45 交換介面:用於連線交換機和PC。

備註:上圖中的裝置介面和家用路由器基本一致,這樣的設計,可以便於使用者自行安裝上架裝置。但企業級裝置不同於家用路由器,1至5口是廣域網介面還是交換介面是允許使用者自定義的。設定多個廣域網介面是為了連線多條運營商線路。

系統性能/引數:

小企業選購防火牆指南

1⃣️-防火牆吞吐量: 系統性能括號中的1518/512/64分別指不同大小的資料包,引數中950Mbps則指在實驗室 中當我們一直髮送1518的資料包,防火牆最多可以承受950Mbps的吞吐量。其他兩項同上。 測試時傳送的資料包越小,防火牆處理的次數越多,也就越吃力。 檢視防火牆吞吐時可以重點參考小包的引數。 此引數的選擇與網際網路頻寬、內網介面資料量、網路拓撲相關。 例如, K企業辦理了一條100Mbps的聯通線路(俗稱100兆的網), 連線在我們防火牆的WAN口(GE RJ45 廣域網介面),作為其辦公網出口。 下聯LAN1口(GE RJ45 廣域網介面)連線一臺交換機。我們假設極端情況下WAN口跑滿100Mbps, 上行+下行共200Mbps。內網介面資料流量上下行總共500Mbps。 我們選擇的防火牆吞吐量建議大於極端情況下,WAN口和LAN1口的流量總和。 200Mbps + 500Mbps < 750Mbps

2⃣️-併發會話 此引數的選擇與公司聯網裝置數量相關,一個會話可以簡單理解為一個瀏覽器的網頁。公司所有裝置同時 開啟的網頁不能超過90萬。例如,公司有100人,每人一臺電腦、一個手機、一個平板。估算每個裝置 同時開啟的網頁數量為100個,併發會話總數為100 * 100 * 3 = 3000 < 90萬

3⃣️-新建會話/秒 此引數表示防火牆處理會話的速度,每秒可開啟15,000個網頁。

備註:防火牆選型並不是一道簡單的數學題,而是一道複雜的綜合大題,不同的企業規模在需求和安全要求完全不同。需要考慮到國產化、等保、發展規模等因素。

四、防火牆品牌

我們透過業界比較認可的Gartner 魔力四象限來看看防火牆各個品牌之間的排名。

排名維度:1⃣️-Ability to Execute(執行層面,即當前產品、服務、銷售等表現)

2⃣️-Completeness of Vision (戰略層面,即未來願景的清晰完整性)

小企業選購防火牆指南

圖中離右上角越近的廠商排名越高。很多企業防火牆選購,都會參考此排行。在眾多的防火牆廠商中,位於LEADERS象限的

Fortinet

和NICHE PLAYERS象限的

Hillstone Networks

兩者師出同門

(NetScreen)

同時也都有適合小型企業和分支機構的桌面級裝置。

1、Fortinet:國際大廠、效能強悍、貴、圖形化介面

推薦型號:

Fortigate30E、Fortigate60D

小企業選購防火牆指南

2、Hillstone:京東-價格透明、國產廠商、圖形化介面

推薦型號:

HillstoneSG-C600

備註:目前也有很多公司將業務直接託管在阿里雲、亞馬遜雲、首雲上,在這些雲平臺上他們也都有自己的虛擬化防火牆產品,供客戶使用。