怎樣進(jìn)行防火墻測(cè)評(píng)

　　防火墻測(cè)評(píng)不應(yīng)只看數(shù)字

　　凡事都有失敗的可能，硬件防火墻測(cè)評(píng)也不例外。筆者結(jié)合自己的實(shí)踐體會(huì)，嘗試著整理了產(chǎn)品用戶(hù)在硬件防火墻測(cè)評(píng)中的常見(jiàn)誤區(qū)，供同行探討。

　　誤區(qū)一：誤信含糊實(shí)驗(yàn)條件的驚人數(shù)字

　　親閱過(guò)無(wú)數(shù)防火墻產(chǎn)品廣告，一個(gè)個(gè)白紙黑字標(biāo)稱(chēng)的4G吞吐量讓人炫目，但如果把“64字節(jié)小包”、“線(xiàn)速”、“堅(jiān)持幾分鐘”之類(lèi)字眼拋出來(lái)，銷(xiāo)售人員就會(huì)對(duì)吞吐量自己先變的吞吞吐吐起來(lái)。所以不能輕信廠(chǎng)商提供的各項(xiàng)數(shù)據(jù)，必須拿標(biāo)準(zhǔn)實(shí)驗(yàn)條件的測(cè)試結(jié)果來(lái)比對(duì)，或者重新搭建環(huán)境親自來(lái)測(cè)試。

　　誤區(qū)二：喜歡數(shù)字，而不考慮可管理性

　　在測(cè)評(píng)中，用戶(hù)往往過(guò)多地關(guān)注性能數(shù)字，但對(duì)于實(shí)際的網(wǎng)絡(luò)安全管理來(lái)講，兩種產(chǎn)品間2%的差異、5%的差異就算10%的差異，真的能帶來(lái)本質(zhì)的區(qū)別么?一臺(tái)防火墻配置界面操作是否方便?有否完備的日志管理功能?本墻能否存儲(chǔ)日志?有無(wú)月度CPU、內(nèi)存統(tǒng)計(jì)功能?可否方便查詢(xún)已配策略……比起性能數(shù)字來(lái)，測(cè)評(píng)這些看似不切主題，但這種問(wèn)題可是“誰(shuí)用誰(shuí)知道”!

　　誤區(qū)三：關(guān)注花哨功能，卻不了解性能的隱憂(yōu)

　　這年頭的防火墻，功能都是多多的，訪(fǎng)問(wèn)控制、防病毒、入侵檢測(cè)/防御、，叫功能異構(gòu)也好，叫統(tǒng)一威脅管理也好，像個(gè)雜貨鋪一樣。說(shuō)這些功能“花哨”，是因?yàn)樗鼈儐?dòng)起來(lái)，對(duì)硬件資源性能的吞噬能力超乎人的想象。所以，擬定測(cè)評(píng)方案時(shí)就輕易不要把這些列在功能項(xiàng)里了吧?

　　誤區(qū)四：不能科學(xué)看待高性能硬件架構(gòu)

　　硬件防火墻的性能高下離不開(kāi)硬件架構(gòu)種類(lèi)。所謂高性能硬件架構(gòu)，是對(duì)應(yīng)于X86的傳統(tǒng)工控機(jī)架構(gòu)而言的，常見(jiàn)的有NP、ASIC等。對(duì)于高性能硬件架構(gòu)，我們既不能不關(guān)注，也不能迷信。但關(guān)注的同時(shí)，又不能過(guò)分推崇“NP”“ASIC”，因?yàn)?，最?qiáng)的不一定是最好的和最適合你的。

　　誤區(qū)五：不結(jié)合自己網(wǎng)絡(luò)特點(diǎn)考慮，不結(jié)合自己的安全戰(zhàn)略考慮

　　脫離了用戶(hù)自身的網(wǎng)絡(luò)環(huán)境特點(diǎn)來(lái)測(cè)試防火墻是很不科學(xué)的，不基于自己安全戰(zhàn)略設(shè)計(jì)防火墻測(cè)試指標(biāo)，更是背離了產(chǎn)品應(yīng)用的初衷。網(wǎng)絡(luò)特點(diǎn)告訴用戶(hù)自己的網(wǎng)里在跑什么樣的包，構(gòu)成成分、多大、什么協(xié)議。安全戰(zhàn)略告訴用戶(hù)防火墻買(mǎi)了是為了做什么，要怎么部、怎么配、怎么管。我們要為了“部”、“配”、“管”而“選”而“測(cè)”。

　　誤區(qū)六：不警惕測(cè)試中的作弊行為

　　產(chǎn)品銷(xiāo)售與購(gòu)買(mǎi)屬于商業(yè)行為，商業(yè)就不得不提防欺騙，在測(cè)試中則是要警惕作弊行為。假設(shè)極個(gè)別廠(chǎng)商制作了專(zhuān)門(mén)用來(lái)測(cè)試的高性能“競(jìng)爭(zhēng)測(cè)試版”產(chǎn)品唬人，假設(shè)極個(gè)別廠(chǎng)商在設(shè)備內(nèi)作一些手腳(如用網(wǎng)線(xiàn)直接連通)，那么整個(gè)測(cè)試結(jié)果就會(huì)對(duì)其他誠(chéng)信的廠(chǎng)商很不公平。