防火墙有哪些局限性
答案:1 悬赏:0 手机版
解决时间 2021-03-09 01:02
- 提问者网友:藍了天白赴美
- 2021-03-08 03:13
防火墙有哪些局限性
最佳答案
- 五星知识达人网友:往事埋风中
- 2021-03-08 03:28
问题一:防火墙的局限性是什么? 40分防火墙有十大局限性:
一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。问题二:防火墙有哪些局限性 防火墙的局限性如下:
1、不能防范不经防火墙的攻击;
2、不能防止感染病毒的软件或文件的传输;
3、不能防止数据驱动式攻击;
4、不能防止内部用户的破坏;
5、不能防备不断更新的攻击问题三:7. 什么是防火墙?防火墙有哪些功能和局限性? 防火墙技术简介
——Internet的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。通过Internet,企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的战壕,而这个战壕就是防火墙。
——防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
1.防火墙的概念
——防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
——在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
2.防火墙的功能
防火墙是网络安全的屏障:
——一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
——通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
——如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
——通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这......余下全文>>问题四:防火墙主要技术的局限性 (1)防火墙防外不防内。(2)防火墙难于管理和配置,易造成安全漏洞。(3)很难为用户在防火墙内外提供一致的安全策略。(4)防火墙只实现了粗粒度的访问控制。问题五:防火墙的作用和局限性? 防火墙主要是2-4层的访问控制还有安全域的划分,局限就是无法识别应用层和网络内部的攻击和病毒,推荐使用IPS和防火墙一起,形成2-7层的完整防护方案。另外还可以配上EAD客户端,形成全面地防护。问题六:当前的防火墙技术的局限性主要表现为哪些方面 D、防火墙会降低网络性能问题七:防火墙的作用是什么?它有哪些局限性? 控制网络连接,检查进出站的数据包,阻止不允许的数据包,放行允许的数据包,可以保护电脑抵御网络攻击。问题八:传统防火墙的局限性? 即使没有和Internet相连,您的组织也会受未被授权访问的影响,例如,您公司的邮件(标准的邮政服务邮件)或您的个人邮件可能是您首要的安全性问题之一。然而,可能总会有人非法访问您的邮件(例如,邮政服务会有可能把它传递到一个错误地址),对机密信息的访问是冒险行为,无论您是把信息贮存到您的网络上还是或物理媒体上(例如纸)。
雇员的不满是另一个严重威胁安全性的例子。比如,雇员可能会把一切东西——从源代码到公司的政策——都透露给竞争者。另外还有,在饭馆或其他公共场所进行的随意的商业性谈话都可能危害您公司的安全性。总之,您的商业事务已经有许多安全问题需要处理,其中一些是目前可以说出来的,也有我们还没发现的。显然,防火墙不可能解决所有的安全问题。然而,对这些问题公司已有安全策略,您可以把这种策略贮存在防火墙的信息中。
许多公司已建立了昂贵的和颇有影响的防火墙防御来自Internet的进攻,从而保护数据。糟糕的是,许多公司仍然没有固定的政策来防止由于直接与他们系统相连而导致的数据盗窃或破坏。工业观察者已经把这种仔细的结合比作“在一间木屋里安装6英尺的双焊铁门”。也就是说,防火墙不能保护网络内部的盗窃。无论它是被授权用户使用,还是被那些具有授权用户的屏幕用名或口令的人使用,防火墙都不能制止这种盗窃。
现在,防火墙对它们所能提供的安全性的量和度有许多限制。总之,防火墙对于下列的安全性需求而言不是非常有力的工具。
1.保证数据的完整性
尽管许多新一代防火墙结合软件来抵制伴随数据包接收的病毒,但这并不是防火墙的职责。在一个大流量进、出数据包的大型网络中,要求防火墙检查每一个数据包和每个伴随数据包而来的二进制文件。因为超过1000种的病毒将会把网络速度减少到无法接受的程度。相反,您应该对接收文件的放置进行约束,并用防毒软件检查离线的数据包。在您检查文件之后,您可以把“干净”的文件送到网络的目的地。病毒是一个非常严重的安全性威胁,它的数量在近些年来增加迅速。
2.灾难防护
防火墙不能保护受到灾难的数据。它不能保护您的数据因为火灾、地震和别的灾难及由于疏忽产生的破坏。请注意,防火墙仅控制对数据的电子访问,但它并不提供对侵犯和毁坏的物理保护。
3.认证数据源
您的防火墙并不帮您认证数据源。您的防火墙不能补救TCP/IP大多数明显的安全性弱点——正在工作的任何人可能会对某些别的未授权的计算机发布信息。您的防火墙不能防止您受到TCP/IP邀请的捉弄。
4.数据的机密
在内部网络中,您的防火墙不能保护数据机密性。许多后期防火墙,包括越界数据包的编码工具,如果使用这些工具。数据包的接收者必须与发送者有一样的防火墙,然而这通常是不可能的。对防火墙的需求预示着您的公司必须把您的本地网连到外部的世界——Internet上。您可以通过评论和分析本地和Internet之间传输的通信类型和数量来制定出一种特定防火墙的设计方案。设计防火墙时,必须作出如下决策:
(1)决定是否让Internet的用户上载文件到网络服务器上。
(2)决定是否让Internet的用户从网络服务器上下载文件。
(3)决定您是否应该取消特别用户(例如竞争者)的所有权限。
(4)决定您的网络是否将包括Internet可访问的网页。
(5)决定您的站点是否包括支持Telnet/Ftp等服务。
(6)决定您的雇员应该有多少外出......余下全文>>问题九:硬件防火墙有哪六大指标? 1、吞吐量
2、时延
3、丢包率
4、背靠背
5、并发连接数
6、扩展性
一、网络吞吐量。
当CIO在企业中部署了企业级别的防火墙之后,企业进出互联网的所有通信流量都要通过防火墙,故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的,这时由于带宽的限制,可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入,带宽本来就很大。此时就给防火墙带来了一定的压力。
因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的,所以在流量比较高时,要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时,甚至发生死机。所以网络吞吐量指标非常重要,它体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的延时代价。如果防火墙对网络造成较大的延时,给用户造成较大的损失。这一点上笔者是深有感触。笔者企业很早以前就部署了企业级别的防火墙。后来公司网络进行升级改造,实现了光纤接入。可是升级改造后,笔者发现可用带宽不到预计带宽的一半。一开始笔者怀疑是光纤问题。叫对方技术人员过来,他们测试光纤的传输没有问题,带宽达到预计的标准。那笔者就感到困惑了?是什么原因吞噬了企业宝贵的带宽呢?经过一番查找,最终发现原来是哪个防火墙在作怪。原来这个防火墙采购比较早,其网络吞吐量只有10M。难怪采用光纤接入后达不到预计的要求。为此笔者不得不重新选择了一款高性能的防火墙,其网络吞吐量达到100M。就的防火墙笔者就用来进行内部的隔离。故如果企业采用了防火墙之后,对可用带宽造成了很大的影响,那无疑是一种大大的浪费。
所以笔者认为,CIO在选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然,这个吞吐量也不是越大越好。因为吞吐量越大的话,防火墙的价格也就越高。CIO要根据企业的实际情况,如现在接入互联网的带宽等因素,来选择的合适的带宽。当然如果企业资金充裕,CIO有钱没处花的话,那么吞吐量当然是越大越好。吞吐量一个基本的原则就是至少要跟企业现有的互联网接入带宽相当。
二、协议的优先级。
笔者企业现在已经实现了网络会议视频。各个分公司与总公司之间可以通过网络开视频会议,而不用再像以前那样赶来赶去开会。不过这个视频会议需要占用不少的带宽。以前每次启用这个视频会议,其他用户都会感受到网络速度明显的变慢。而且有时候网络视频也会有一卡一卡的现象。有时候笔者得把其他用户的外网断掉,这一卡一卡的现象就得到了改善。但是每次这么处理很是麻烦。为了改善这个情况,笔者在选择防火墙的时候特别关注防火墙是否有协议优先级的管理。也就是说,当视频会议系统启动时,企业网络带宽的使用率可能会比较高。这就好像现在的下班高峰一样,路上车堵了,那么车速难免就会慢下来。但是如果这是一辆救护车,那么其就有优先通过的权力。其他车辆都必须为其让道。笔者也希望能够实现类似的控制。还好,现在这款防火墙没有让笔者失望。在这款防火墙中,有协议优先级的功能,可以把语音流等关键业务的数据流量设置为比较高的优先级别。当企业的网络中出现拥塞时,将优先保证这些优先级别高的流量的通过。经过这个设置之后,以后开起视频会议的时候,就不用在手工的去关闭其他用户的网络。防火墙会自动根据企业网络状况来调整通信流量的优先级别,保证视频等通信流量具有优先通过的权力。
故笔者建议的第二个指标就是这个协议的优先性。现在视频应用在企业中使用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。如果企业带宽跟不上的话,这些应用的质量......余下全文>>
一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。问题二:防火墙有哪些局限性 防火墙的局限性如下:
1、不能防范不经防火墙的攻击;
2、不能防止感染病毒的软件或文件的传输;
3、不能防止数据驱动式攻击;
4、不能防止内部用户的破坏;
5、不能防备不断更新的攻击问题三:7. 什么是防火墙?防火墙有哪些功能和局限性? 防火墙技术简介
——Internet的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。通过Internet,企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的战壕,而这个战壕就是防火墙。
——防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
1.防火墙的概念
——防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
——在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
2.防火墙的功能
防火墙是网络安全的屏障:
——一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
——通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
——如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
——通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这......余下全文>>问题四:防火墙主要技术的局限性 (1)防火墙防外不防内。(2)防火墙难于管理和配置,易造成安全漏洞。(3)很难为用户在防火墙内外提供一致的安全策略。(4)防火墙只实现了粗粒度的访问控制。问题五:防火墙的作用和局限性? 防火墙主要是2-4层的访问控制还有安全域的划分,局限就是无法识别应用层和网络内部的攻击和病毒,推荐使用IPS和防火墙一起,形成2-7层的完整防护方案。另外还可以配上EAD客户端,形成全面地防护。问题六:当前的防火墙技术的局限性主要表现为哪些方面 D、防火墙会降低网络性能问题七:防火墙的作用是什么?它有哪些局限性? 控制网络连接,检查进出站的数据包,阻止不允许的数据包,放行允许的数据包,可以保护电脑抵御网络攻击。问题八:传统防火墙的局限性? 即使没有和Internet相连,您的组织也会受未被授权访问的影响,例如,您公司的邮件(标准的邮政服务邮件)或您的个人邮件可能是您首要的安全性问题之一。然而,可能总会有人非法访问您的邮件(例如,邮政服务会有可能把它传递到一个错误地址),对机密信息的访问是冒险行为,无论您是把信息贮存到您的网络上还是或物理媒体上(例如纸)。
雇员的不满是另一个严重威胁安全性的例子。比如,雇员可能会把一切东西——从源代码到公司的政策——都透露给竞争者。另外还有,在饭馆或其他公共场所进行的随意的商业性谈话都可能危害您公司的安全性。总之,您的商业事务已经有许多安全问题需要处理,其中一些是目前可以说出来的,也有我们还没发现的。显然,防火墙不可能解决所有的安全问题。然而,对这些问题公司已有安全策略,您可以把这种策略贮存在防火墙的信息中。
许多公司已建立了昂贵的和颇有影响的防火墙防御来自Internet的进攻,从而保护数据。糟糕的是,许多公司仍然没有固定的政策来防止由于直接与他们系统相连而导致的数据盗窃或破坏。工业观察者已经把这种仔细的结合比作“在一间木屋里安装6英尺的双焊铁门”。也就是说,防火墙不能保护网络内部的盗窃。无论它是被授权用户使用,还是被那些具有授权用户的屏幕用名或口令的人使用,防火墙都不能制止这种盗窃。
现在,防火墙对它们所能提供的安全性的量和度有许多限制。总之,防火墙对于下列的安全性需求而言不是非常有力的工具。
1.保证数据的完整性
尽管许多新一代防火墙结合软件来抵制伴随数据包接收的病毒,但这并不是防火墙的职责。在一个大流量进、出数据包的大型网络中,要求防火墙检查每一个数据包和每个伴随数据包而来的二进制文件。因为超过1000种的病毒将会把网络速度减少到无法接受的程度。相反,您应该对接收文件的放置进行约束,并用防毒软件检查离线的数据包。在您检查文件之后,您可以把“干净”的文件送到网络的目的地。病毒是一个非常严重的安全性威胁,它的数量在近些年来增加迅速。
2.灾难防护
防火墙不能保护受到灾难的数据。它不能保护您的数据因为火灾、地震和别的灾难及由于疏忽产生的破坏。请注意,防火墙仅控制对数据的电子访问,但它并不提供对侵犯和毁坏的物理保护。
3.认证数据源
您的防火墙并不帮您认证数据源。您的防火墙不能补救TCP/IP大多数明显的安全性弱点——正在工作的任何人可能会对某些别的未授权的计算机发布信息。您的防火墙不能防止您受到TCP/IP邀请的捉弄。
4.数据的机密
在内部网络中,您的防火墙不能保护数据机密性。许多后期防火墙,包括越界数据包的编码工具,如果使用这些工具。数据包的接收者必须与发送者有一样的防火墙,然而这通常是不可能的。对防火墙的需求预示着您的公司必须把您的本地网连到外部的世界——Internet上。您可以通过评论和分析本地和Internet之间传输的通信类型和数量来制定出一种特定防火墙的设计方案。设计防火墙时,必须作出如下决策:
(1)决定是否让Internet的用户上载文件到网络服务器上。
(2)决定是否让Internet的用户从网络服务器上下载文件。
(3)决定您是否应该取消特别用户(例如竞争者)的所有权限。
(4)决定您的网络是否将包括Internet可访问的网页。
(5)决定您的站点是否包括支持Telnet/Ftp等服务。
(6)决定您的雇员应该有多少外出......余下全文>>问题九:硬件防火墙有哪六大指标? 1、吞吐量
2、时延
3、丢包率
4、背靠背
5、并发连接数
6、扩展性
一、网络吞吐量。
当CIO在企业中部署了企业级别的防火墙之后,企业进出互联网的所有通信流量都要通过防火墙,故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的,这时由于带宽的限制,可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入,带宽本来就很大。此时就给防火墙带来了一定的压力。
因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的,所以在流量比较高时,要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时,甚至发生死机。所以网络吞吐量指标非常重要,它体现了防火墙的可用性能,也体现了企业用户使用防火墙产品的延时代价。如果防火墙对网络造成较大的延时,给用户造成较大的损失。这一点上笔者是深有感触。笔者企业很早以前就部署了企业级别的防火墙。后来公司网络进行升级改造,实现了光纤接入。可是升级改造后,笔者发现可用带宽不到预计带宽的一半。一开始笔者怀疑是光纤问题。叫对方技术人员过来,他们测试光纤的传输没有问题,带宽达到预计的标准。那笔者就感到困惑了?是什么原因吞噬了企业宝贵的带宽呢?经过一番查找,最终发现原来是哪个防火墙在作怪。原来这个防火墙采购比较早,其网络吞吐量只有10M。难怪采用光纤接入后达不到预计的要求。为此笔者不得不重新选择了一款高性能的防火墙,其网络吞吐量达到100M。就的防火墙笔者就用来进行内部的隔离。故如果企业采用了防火墙之后,对可用带宽造成了很大的影响,那无疑是一种大大的浪费。
所以笔者认为,CIO在选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然,这个吞吐量也不是越大越好。因为吞吐量越大的话,防火墙的价格也就越高。CIO要根据企业的实际情况,如现在接入互联网的带宽等因素,来选择的合适的带宽。当然如果企业资金充裕,CIO有钱没处花的话,那么吞吐量当然是越大越好。吞吐量一个基本的原则就是至少要跟企业现有的互联网接入带宽相当。
二、协议的优先级。
笔者企业现在已经实现了网络会议视频。各个分公司与总公司之间可以通过网络开视频会议,而不用再像以前那样赶来赶去开会。不过这个视频会议需要占用不少的带宽。以前每次启用这个视频会议,其他用户都会感受到网络速度明显的变慢。而且有时候网络视频也会有一卡一卡的现象。有时候笔者得把其他用户的外网断掉,这一卡一卡的现象就得到了改善。但是每次这么处理很是麻烦。为了改善这个情况,笔者在选择防火墙的时候特别关注防火墙是否有协议优先级的管理。也就是说,当视频会议系统启动时,企业网络带宽的使用率可能会比较高。这就好像现在的下班高峰一样,路上车堵了,那么车速难免就会慢下来。但是如果这是一辆救护车,那么其就有优先通过的权力。其他车辆都必须为其让道。笔者也希望能够实现类似的控制。还好,现在这款防火墙没有让笔者失望。在这款防火墙中,有协议优先级的功能,可以把语音流等关键业务的数据流量设置为比较高的优先级别。当企业的网络中出现拥塞时,将优先保证这些优先级别高的流量的通过。经过这个设置之后,以后开起视频会议的时候,就不用在手工的去关闭其他用户的网络。防火墙会自动根据企业网络状况来调整通信流量的优先级别,保证视频等通信流量具有优先通过的权力。
故笔者建议的第二个指标就是这个协议的优先性。现在视频应用在企业中使用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。如果企业带宽跟不上的话,这些应用的质量......余下全文>>
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯