【IT168 专稿】对于企业用户而言,虽说网络可以提升办公效率,但层出不穷的网络入侵、病毒感染造成网络瘫痪,甚至重要数据被黑客盗取造成企业经济损失,加强网络安全建设势在必行了。很多企业用户开始重视网络的安全性,并安装杀毒软件、软件防火墙等防护工具,然而这类"软"性防火墙并不能抵御那些厉害的网络"杀手",为此,硬件防火墙成为了企业用户的安全"盾牌",国内很多企业规模并不大,基本以中型、中小企业占大多数,这些企业的计算机数量不够多,企业资金预算有限,技术能力也不够强,那些万元级、几万元、数十万元的防火墙,中小企业根本无法购置,所以,经济型防火墙成为国内企业的采购目标。
一、擦亮眼睛,当心市场猫腻
正是因为越来越多的企业开始重视网络安全建设,这给那些网络设备厂商带来了发展商机,从市场价格来看,与普通杀毒软件、软件防火墙相比,硬件防火墙的价格要高出很多,经济型硬件防火墙也要几千元,市售主流硬件防火墙一般在1万元以上,而有的硬件防火墙甚至高达数十万元以及百万元,而且不同品牌、不同型号的产品,价格差距也非常大,加上国内很多中小企业对硬件防火墙认识还不够,所以对硬件防火墙的采购也存在很多"盲区",高利润就给那些"JS"带来了机遇,他们很有可能将一些低价产品以高价卖给消费者,从中获取高额利润。当然,对于那些比较有信誉的知名商家,这种欺骗的情况可能不会发生,但不排除他们会采取一些"忽悠"手段,引导消费者购买那些不切实际的产品。
图1,售价高达百万元的防火墙
如果我们仔细观察市场上的网络路由器、网络交换机,我们很容易发现,这些产品不仅具备了路由功能,还具有很多加密功能、网络安全防护以及放火墙等功能,这就成为不少商家用于"作弊"的理由,比如一些中小企业的用户去购买防火墙时,JS会忽悠这些消费者,这些廉价产品具备防火墙功能,网络放火能力非常不错,价格还很便宜,根本没必要购买那些高价防火墙,正是因为这些几百元甚至一百多元的网络路由器,其具有一些辅助的网络安全功能,比如内置防火墙功能,并具备域名过滤、MAC地址过滤等功能,JS将具备"网络安全功能"宣传为网络防火墙,但当用户买回家之后,它并不能满足企业用户的安全需求,毕竟它本身就是一款普通的路由器而已,在安全系数上难以与真正的硬件防火墙相比。
图2,150元是防火墙还是路由器?
二、购买经验,需要注意的事项
既然是硬件防火墙,当然与软件防火墙有本质上的区别,很多用户正在选择防火墙时,将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略了最重要问题,那就是防火墙本身也是网上的主机之一,它同样需要安全防护,如果连防火墙自己都不安全了,那怎么能确保网络的安全性呢?比如是否提供了Screened-host安全配置功能,是否具有智能网络入侵检测系统,是否具备IP/MAC地址绑定,是否支持邮件服务器,是否集成VPN安全技术等,都成为购买防火墙时的参考标准。特别是VPN安全技术,它具有管理网络用户权限、NAT地址转换以及虚拟专用网络等功能,VPN技术已经成为很多企业用户采购时参考的基本功能。
图3,支持VPN的ZyXEL ZyWALL 2 Plus
另外就是易用性,虽然硬件防火墙功能大,但配置也较为复杂,需要网管员对原网络配置进行较大的改动,所以建议购买能工作于混合方式的防火墙,并支持中文界面显示,这样配置起来非常方便,另外是否支持串口终端管理也关键,如果防火墙没有终端管理方式,就不容易确定故障所在。对于企业的日常维护比较麻烦。为了便于日常管理,建议购买具备GUI类管理器的防火墙,它能提供有效、直观的管理方式。同时,为了未来扩展的需要,建议购买支持网络接口扩展功能的机型,很多防火墙只有外部网、内部网和SSN三个接口,如果不能扩展接口,以后扩展起来就比较麻烦,比如希望同时控制两条ADSL宽带线。
图4,VPN在网络防护中的作用
三、实际需求,按需取舍是关键
市场上的硬件防火墙产品中,有的价格只要千元,有的则需要万元,很多产品的价格差异很大,但对于普通用户而言,这些防火墙的基本功能似乎都一样,难以区别,因为都是为了进行安全防护作用,值得注意的是,两款产品的价格相差很大的话,他们的区别是比较明显的,比如有的防火墙还提供了路由功能,这类产品一般为要求不高的用户推出,价格不太贵,可以满足小型企业的购买需求,这些用户很在乎价格,同时又需要兼顾高性能安全防护以及路由功能,一般而言,2000元内的防火墙比较适合这类用户,当然,如果是有特殊需要的小型企业,也可以考虑购买单一功能的防火墙,这类产品可以提供更可靠的安全性能,价格一般在3500元左右,如果是无线网络,一定要购买支持802.11g无线协议的防火墙。
图5,1600元的Netgear FVS318
对于一些中小企业而言,他们比较在乎安全性,同时又需要进行浏览Web、收发E-mail以及发布主页,在选购防火墙时,要注意考虑保护内部(敏感)数据的安全,对服务协议的多样性以及速度等可以不作特殊要求,建议选用一般的代理型防火墙,价格最好不要超过5000元。对于中型企业而言,如果网络流量不大,与外部联系较多,且内部数据比较重要。因此首先要考虑安全问题,对于重要数据的传送,防火墙必须要提供加密的VPN通讯,同时为了确保内部资料的安全性,建议选择内置防垃圾邮件保护功能的防火墙,价格在8000元左右即可。如果网络流量比较大,建议选择1000Mbps网卡接口和高达450Mpps(或80MB无线)网络吞吐量的产品。
图6,某独立防火墙的性能参数
四、经济型硬件防火墙推荐
网件FR114P是一款针对小型企业推出的防火墙,其采用了主频为75Mhz的ADMtek 5106处理器,拥有1MB闪存和4MB的DRAM内存,提供了1个10/100M宽域网接口、4个10/100M局域网接口,具备DoS攻击保护能力,具备防病毒软件支持能力,支持VPN的通行验证,具备自动检测ISP地址类型(静态、动态、PPPoE)、启用/禁用WAN Ping、MAC地址复制、NTP支持、URL内容过滤、电子邮件告警等功能。还拥有1个打印机接口,获得了美国ICSA实验室的权威安全认证,提供三年质保,比较适合要求不高的小型企业和SOHO办公用户购买。
图7,网件FR114P
2.H3C SecPath F100-C-AC(参考价格:2400元)
SecPath F100-C-AC是华为3Com公司开发的一款中小企业级防火墙,拥有1个配置口(CON)、1个10M的WAN以太网口、4个10/100M交换式以太网口,支持VPN防火墙能力,采用网络处理器(NP)技术,具有强大的数据处理能力、丰富的安全特性和DoS/DDoS防护等功能,为中小型企业提供高性能、扩展性好的安全服务;通过虚拟防火墙技术可以创建多个虚拟防火墙,每个虚拟防火墙具有独立的接口、路由、安全策略等资源,可以简化企业网络安全部署的复杂度和降低总体拥有成本。
图8,H3C SecPath F100-C-AC
ZyXEL ZyWALL P1是针对中小企业推出的VPN防火墙,其配备先进的安全技术,支持UL/CSA,CE mark, EN60950安全标准,提供连接网络非常好的的安全性。藉由功能强大的联机状态检查(SPI)的防火墙技术,及网络疫情的及时预防,可以让计算机连接因特网的第一道防线,同时也提供了封锁危险的Java、Active X 及cookies等网页对象,保护了浏览网页的安全。提供了对于行动工作者的VPN连接,无须安装任何软件及进行繁复的设定,无论身处何处均可透过此一加密的安全通道,来存取公司或工作地点的网络资源。
图9,ZyXEL ZyWALL P1
4.CISCO PIX-501-50-BUN-K9(参考价格:5500元)
CISCO PIX-501-50-BUN-K9是针对有特定需求而设计的企业级防火墙,采用了133MHz AMD SC520 处理器,集成了4端口10/100交换机和10BaseT端口,支持3500个并发连接数以及50个用户数限制,提供了状态监测防火墙、虚拟专用网(VPN)和入侵防范等,具备自适应安全算法(ASA)和PIX操作系统,基于标准的互联网密钥交换(IKE)/IP安全(IPSec)VPN功能,支持56位数据加密标准(DES)或可选的高级168位三重DES(3DES)加密对数据进行加密。
图10,CISCO PIX-501-50-BUN-K9
5.SonicWALL TZ 170(参考价格:19000元)
SonicWALL TZ 170是一款针对小型企业推出的防火墙,支持6000个并发连接数以及25个用户数限制,可对 SonicWALL 网关防病毒、防间谍程序及入侵防护服务的支持,可提供对病毒、间谍程序、蠕虫、特洛伊木马及其他恶意威胁的实时保护。内置防垃圾邮件保护功能和特性丰富的 SonicOS 操作系统,可提供在面向基本网络的绝对易使用性、与面向具有更复杂需求的网络的卓越灵活性之间的选择。
图11,SonicWALL TZ 170
