第三种:芯片级防火墙 它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少,不过价格相对比较高昂,所以一般只有在“确实需要”的情况下才考虑。 在这里,特别纠正几个不正确的观念: 1.在性能上,芯片级防火墙>硬件防火墙>软件防火墙。 在价格上看来,的确倒是如此的关系。但是性能上却未必。防火墙的“好”,是看其支持的并发数、最大流量等等性能,而不是用软件硬件来区分的。事实上除了芯片级防火墙外,软件防火墙与硬件防火墙在硬件上基本是完全一样的。目前国内的防火墙厂商由于大多采用硬件防火墙而不是软件防火墙,原因1是考虑到用户网络管理员的素质等原因,还有就是基于我国大多数民众对“看得见的硬件值钱,看不到的软件不值钱”这样一种错误观点的迎合。不少硬件防火墙厂商大肆诋毁软件防火墙性能,不外是为了让自己那加上了外壳的普通pc+一个被修改后的内核+一套防火墙软件能够卖出一个好价钱来而已。而为什么不作芯片级防火墙呢?坦白说,国内没有公司有技术实力。而且在中国市场上来看,某些国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。看看国内XX的硬件防火墙那拙劣的硬盘和网卡,使用过的人都能猜到是哪家,我就不点名了。真正看防火墙,应该看其稳定性和性能,而不是用软、硬来区分的。至少,如果笔者自己选购,我会选择购买CheckPoint而非某些所谓的硬件防火墙的。 2.在效果上,芯片防火墙比其他两种防火墙好 这同样也是一种有失公允的观点。事实上芯片防火墙由于硬件的独立,的确在OS本身出漏洞的机会上比较少,但是由于其固化,导致在面对新兴的一些攻击方式时,无法及时应对;而另外两种防火墙,则可以简单地通过升级os的内核来获取系统新特性,通过灵活地策略设置来满足不断变化的要求,不过其OS出现漏洞的概率相对高一些。 3.唯技术指标论 请以“防火墙买来是使用的”为第一前提进行购买。防火墙本身的质量如何是一回事,是否习惯使用又是另一回事。如果对一款产品的界面不熟悉,策略设置方式不理解,那么即使用世界最顶级的防火墙也没有多大作用。就如小说中武林中人无不向往的“倚天剑”、“屠龙刀”被我拿到,肯定也敌不过乔峰赤手的少林长拳是一般道理。防火墙技术发展至今,市场已经很成熟了,各类产品的存在,自然有其生存于市场的理由。如何把产品用好,远比盲目地比较各类产品好。 |