数据说话 硬件防火墙选购经验谈（上）

核心提示： 在执行按需选择原则时我们需要就以下几个方面进行划定，首先确定企业内网网络设备数量以及员工计算机数量，数据说话 硬件防火墙选购经验谈（上）(2)，通过计算机下连网络数量来选择硬件防火墙的级别；其次根据企业网络流量来决定防火墙接口网络速度，流量大的需要选择G级接口，电源支持冗余性以及数据的冗

在执行按需选择原则时我们需要就以下几个方面进行划定，首先确定企业内网网络设备数量以及员工计算机数量，通过计算机下连网络数量来选择硬件防火墙的级别；其次根据企业网络流量来决定防火墙接口网络速度，流量大的需要选择G级接口，而小型网络100M的即可满足实际需求；再次考虑企业网络的稳定性，说白了就是是否需要提供线路上的冗余，对于多线多路网络接入来说这点需要额外考虑；最后就是从功能需求上去决定选购型号，一般来说防火墙都应该具备VPN接入的功能，这样才能够更好的提供不同权限不同用户级别的网络服务，同时诸如IPV6，VOIP等功能的支持要需要根据企业实际需求去选择。

（2）防火墙硬字当先：

在确定需求后我们就要查看防火墙的自身配置了，首先需要确保的是防火墙必须采用多核处理器的纯硬件架构（非X86），这个条件是必须满足的。为什么这么说呢？因为硬件防火墙区别于低性能低价格的软件防火墙而言关键点就是把防火墙程序做到芯片里面，从而节约了日常处理对CPU的占用。而很多厂商在推荐防火墙时可能选择的设备是一种“伪硬件”，使用新瓶装旧酒的策略，将经过优化的软件防火墙装到普通台式机上，再通过封装改造成所谓的硬件防火墙。这是明显的挂羊头卖狗肉。因此在确定防火墙时一定注意他是纯粹的硬件防火墙，另外由于在X86下搭建的系统多以Windows为主，而且Windows系统存在先天安全问题。所以在考虑硬件防火墙自身架构时也要尽量不采取X86架构。

采用多核心处理器可以更好的处理并发通讯和高数量的连接，因此防火墙必须采用多核处理器的纯硬件架构（非X86）成为选购硬件防火墙的首要原则。

（3）冗余运行稳定当先：（如图2）

除了硬件防火墙自身“硬”指标外我们还需要关注的是设备运行的冗余性，对于企业来说网络接入冗余性，电源支持冗余性以及数据的冗余性都非常关键。毕竟企业很多业务都运行在网络上，硬件防火墙一旦出现问题各种安全防范以及网络接入服务都要受到致命的影响。