萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 不應只看數字 防火牆測評需避六大誤區

不應只看數字 防火牆測評需避六大誤區

  凡事都有失敗的可能,硬件防火牆測評也不例外。筆者結合自己的實踐體會,嘗試著整理了產品用戶在硬件防火牆測評中的常見誤區,供同行探討。

  誤區一:誤信含糊實驗條件的驚人數字

  親閱過無數防火牆產品廣告,一個個白紙黑字標稱的4G吞吐量讓人炫目,但如果把“64字節小包”、“線速”、“堅持幾分鐘”之類字眼拋出來,銷售人員就會對吞吐量自己先變的吞吞吐吐起來。所以不能輕信廠商提供的各項數據,必須拿標准實驗條件的測試結果來比對,或者重新搭建環境親自來測試。

  誤區二:喜歡數字,而不考慮可管理性

  在測評中,用戶往往過多地關注性能數字,但對於實際的網絡安全管理來講,兩種產品間2%的差異、5%的差異就算10%的差異,真的能帶來本質的區別麼?一台防火牆配置界面操作是否方便?有否完備的日志管理功能?本牆能否存儲日志?有無月度CPU、內存統計功能?可否方便查詢已配策略……比起性能數字來,測評這些看似不切主題,但這種問題可是“誰用誰知道”!

  誤區三:關注花哨功能,卻不了解性能的隱憂

  這年頭的防火牆,功能都是多多的,訪問控制、防病毒、入侵檢測/防御、VPN,叫功能異構也好,叫統一威脅管理也好,像個雜貨鋪一樣。說這些功能“花哨”,是因為它們啟動起來,對硬件資源性能的吞噬能力超乎人的想象。所以,,擬定測評方案時就輕易不要把這些列在功能項裡了吧?

  誤區四:不能科學看待高性能硬件架構

  硬件防火牆的性能高下離不開硬件架構種類。所謂高性能硬件架構,是對應於X86的傳統工控機架構而言的,常見的有NP、ASIC等。對於高性能硬件架構,我們既不能不關注,也不能迷信。但關注的同時,又不能過分推崇“NP”“ASIC”,因為,最強的不一定是最好的和最適合你的。

  誤區五:不結合自己網絡特點考慮,不結合自己的安全戰略考慮

  脫離了用戶自身的網絡環境特點來測試防火牆是很不科學的,不基於自己安全戰略設計防火牆測試指標,更是背離了產品應用的初衷。網絡特點告訴用戶自己的網裡在跑什麼樣的包,構成成分、多大、什麼協議。安全戰略告訴用戶防火牆買了是為了做什麼,要怎麼部、怎麼配、怎麼管。我們要為了“部”、“配”、“管”而“選”而“測”。

  誤區六:不警惕測試中的作弊行為

  產品銷售與購買屬於商業行為,商業就不得不提防欺騙,在測試中則是要警惕作弊行為。假設極個別廠商制作了專門用來測試的高性能“競爭測試版”產品唬人,假設極個別廠商在設備內作一些手腳(如用網線直接連通),那麼整個測試結果就會對其他誠信的廠商很不公平。

copyright © 萬盛學電腦網 all rights reserved