博客

小型企业防火墙指南

小型企业防火墙指南

当你阅读 小型企业防火墙 数据表或小册子, 您可能会被术语所迷惑,或者被引用的大量性能指标所迷惑. 当不同的供应商使用略有不同的术语或使用不同的基础来评估性能时,这个问题通常会变得更糟!

81818威尼斯希望这篇博文对您有所帮助,让您深入了解小型企业防火墙的不同特性.

如果您或您的企业在防火墙项目方面需要协助,或考虑投资SMB/SME的托管防火墙, 取得联系.

81818威尼斯可以提供完整的防火墙解决方案或咨询,以协助您的项目. 对于较大的项目(i.e. 多站点,VPN,高可用性)81818威尼斯可以在项目基础上工作.

在选择防火墙时,什么数字很重要? 您应该最关心哪些特性集, 和那些, 坦白地说,这不太重要! 本文将对这些项进行定义, 解释它们的重要性,并概述如何应对业务中的挑战或风险.

如果您的企业需要加强防火墙或网络安全, 或者您需要协助选择正确的防火墙解决方案- MTG说话 以及81818威尼斯的防火墙工程师团队.

防火墙的吞吐量

这通常被引用为Mbps(兆比特每秒)或Gbps(千兆位每秒).  这是可以在任何时间通过防火墙的通信量. 这是一个重要的指标,但在许多方面——毫无价值. 这一点可以从以下事实得到证明:在制造商数据表中引用的大多数数据在每个数据后面都有注释或星号(*). 为什么? 这是原始吞吐量, 对流经防火墙的流量进行测量,而无需进行反病毒扫描, 内容过滤, 入侵预防, 数据丢失检查和类似的步骤. 这个数字也可以根据协议和包的大小而变化. 一些供应商可能引用1500字节的TCP,而其他64字节的UDP!

吞吐量对于内部网络分割甚至更为重要. 当防火墙部署为 内网分段防火墙,它控制内部网络和/或vlan之间的流量. 你可以读到更多 INFWs这里.

现在, 然而,大多数防火墙(甚至SME模型)将支持1Gbps以上的流量级别, 大多数的互联网连接将远低于这个数字. 请考虑吞吐量,但更多地关注稍后概述的其他吞吐量数字.

FortiGate吞吐量
FortiGate的低端机型吞吐量数据. 即使是SMB型号也可以达到1Gbps+

也称为状态检查吞吐量、防火墙带宽等.

IPSec吞吐量

如果你的企业使用站点到站点的vpn, IPSec吞吐量是指可以通过防火墙的网络通信量  通往远程站点(或用户)的加密隧道. 现在, 大多数像样的防火墙使用硬件加密,因此IPSec数字应该与设备的总体吞吐量类似. 如果你的企业有很多站点,而IPSec vpn是企业的逻辑组成部分, 这是一个需要考虑的重要数字.

需要强调的是,您的防火墙不能比您的互联网连接更快地路由流量! 如果您的互联网是100Mbps,而您的防火墙可以处理5Gbps的IPSec,那么您就有了瓶颈! 当然,要留出足够的空间.e. 50Mbps VDSL -> 200Mbps IPSec).

也称为三重数据加密标准(3DES), AES, VPN吞吐量

VPN到Azure或AWS

大多数领先的防火墙都支持使用VPN技术将办公室和企业内部环境连接到微软Azure或AWS. 81818威尼斯经常在办公室安装防火墙,建立IPSec VPN隧道, 到微软Azure上托管的VNETs. 这种混合方法提供了一种方法,组织可以逐步迁移到云, 两者之间无缝连接.

在家工作支持

当您的企业需要员工在家工作时, 但仍然可以访问内部IT系统- VPN访问是理想的技术. 通过SSL VPN接入,员工可以使用自己的笔记本电脑或台式电脑接入办公场所. 您可以在下面阅读更多关于VPN技术的内容.

SSL VPN的吞吐量

类似于IPSec, 这是防火墙为使用SSL VPN/远程访问连接到企业的用户支持的吞吐量. 同样的规则适用. 你的网络连接是第一个瓶颈, 所以50Mbps的互联网和1Gbps的SSL吞吐量并不重要. 另一个重要的考虑因素是您的员工在远程访问系统时将使用的带宽和应用程序数量.

如果您使用大量的Citrix/RDS,那么流量级别将以Mbps而不是Gbps为单位. 然而,如果他们提取大量数据,这些数字将会高得多. 不像IPSec, 许多防火墙的SSL吞吐量级别要低得多,因此这是一个需要考虑的重要指标. 一般来说, 计算并发远程访问会话的数量,并尝试了解它们的带宽使用情况.

也称为远程访问吞吐量,ANYConnect性能

远程接入用户数/ SSL VPN连接数/最大支持用户数

SSL防火墙检查
SSL检查从FortiGate Cookbook @ Cookbook.fortinet.com

这是简单的, 有多少并发用户可以在同一时间(从组织外部)“连接”到您的防火墙. 选择防火墙时, 考虑一下有多少员工将远程工作,需要在家或在路上连接. 另外,还可以考虑无法访问办公场所的容灾场景. 与其他事情一样,为增长留出一些空间,并考虑吞吐量数据.

也称为远程接入用户、SSL VPN用户、AnyConnect用户.

SSL检验吞吐量

当你的防火墙扫描网络流量时,通常它无法扫描加密的SSL会话(i.e. 银行、Gmail等). 许多病毒和威胁通过加密通道,因此许多防火墙(如Fortigate)将主动扫描加密通信以寻找恶意软件. 为此,防火墙需要动态地解密、扫描并重新加密流量. 图中描述了SSL检测吞吐量 有多少 它可以随时扫描交通. 入门级的堡垒,这可以是35Mbps! 而高端型号300Mbps -这是重要的,如果你想确保扫描在每个级别, 所有协议.

零信任网络接入(ZTNA)

ZTNA是一个相对较新的概念,目前已得到防火墙供应商的支持, 预计越来越多的客户将从VPN转向 ZTNA网络访问.


思科ASA防火墙分级
思科ASA 5506的性能数据

AV(反病毒)和IPS吞吐量(入侵防御系统)

适用于配置了AV(反病毒)或IPS(入侵防御)引擎的防火墙, 这些系统会主动扫描流量中的病毒, 可能表明黑客企图的恶意软件或模式. 和以前一样,通过这些特性的流量是有严格限制的.

如果您的防火墙的目的是保护您的业务,那么这些是非常重要的. 如果您的防火墙支持1Gbps的原始吞吐量,但只有50Mbps的AV/IPS吞吐量, 这是最小公分母! 对于大多数中小企业/企业, 81818威尼斯建议扫描和分析网页和电子邮件流量, 哪些构成了一个组织使用概况的主要部分.

在考虑防火墙时, 要特别注意这些数字,因为它们将为业务带来真正的好处. 在计算时,考虑您的连接速度和用户的典型使用情况. 这可以在现有环境中进行测量. 有些数字可能引用一项协议(i.e. HTTP),省略HTTPS——HTTPS受SSL检查吞吐量的影响.

IPS流量的例子有:

  • 针对Microsoft Exchange和OWA的入站规则的IPS和SSL检查. 来自Fortinet(或您的防火墙供应商)的签名可以防御零日攻击(i.e. 铪)或暴力尝试.
  • IPS还可以保护LAN上的客户端, 它可能是企图利用acrobatreader来运行PDF文档的恶意操作者.
  • SSL检测主要用于对web流量的内容进行检测, 识别威胁, 而且应用程序.

其他吞吐量(NGFW、威胁防护)

始终根据您的互联网连接、典型使用情况和用户配置文件来考虑吞吐量.

防火墙的延迟

当流量通过防火墙时, 延迟(通常称为毫秒或微秒的µs)是数据包通过设备并根据其安全策略进行筛选所需的时间.

高性能的防火墙通常在低微秒的µs中。, 例如, FortiGate 81F可以在3点处理交通.23µs. 这对小企业真的重要吗? 不是真正的. 凡事都有例外, 但是对于一般的中小企业来说,任何能够在几毫秒内处理流量的防火墙都是可以的.


并发会话

这是任何时候可以打开的并发连接的总数. 每次你浏览一个网站,比如CNN, 谷歌Chrome可以打开20个不同的连接, 下载图片, 不同来源的视频和样式表.

在我写这篇文章的时候, 我的笔记本电脑有大约80个打开的连接(通过混合的网站), 应用程序, 电子邮件, 等).

入门级FortiGate 40F支持700k并发会话,而FG-81F支持1.500万个并发TCP会话., 即使是在一个有800名员工的组织中, 与服务器, 基础设施和高级用户, 这就留下了足够的空间. 如果您希望升级您的防火墙, 可以在您现有的防火墙上查看并发会话的数量(如果需要帮助,请与81818威尼斯联系).

新会话/每秒

这就是防火墙允许通过设备进行额外连接的速度, 并将其与安全政策联系起来. 通常,这些数字将是“x”千次设置每秒. 一个入门级的防火墙将能够做几千(i.e. 4000),而高端防火墙每秒10万新会话.

但是,中小企业或企业的典型使用情况是,您通常不会期望出现大量的新会话(超过4000个), 较高的数据表明防火墙的性能,但它不太可能是决定的主要焦点. 与并发性一样,新的会话/秒也可以测量.

管理

如何管理防火墙? 支持Web接入、管理应用、云服务或CLI/SSH方式? 另外,询问您是否想要管理/配置防火墙或使用专门的业务来 配置和管理 你的防火墙.

Web访问是最常见的, 然而, 对于复杂(甚至方便)的配置,应该考虑使用一个好的CLI.

许多现代防火墙都有一些“云管理”,它允许您从一个位置管理多个防火墙. 当您的防火墙部署在多个办公室或站点时,云管理的防火墙是一个很好的解决方案.

高可用性/集群

由于只有一个防火墙,它是您的企业进入互联网的唯一门户. 如果它失败了,你就不能访问互联网(这很容易理解!). 与高可用性, 您的企业将购买两个在主动/主动或主动/被动状态下和谐运行的防火墙. 实际上,如果一个失败了,另一个就会接管. 这通常是一个无缝的过程.

在考虑集群或HA对时,您必须考虑防火墙的上游(i.e. 你的ISP路由器)和下游(你的网络交换机). 将冗余防火墙连接到非冗余交换机只是转移了风险元素和故障点. 在考虑房委会时,你必须考虑更广泛的运作环境和风险因素. 一个HA的例子可以在Fortinet Cookbook网站上找到 在这里.

FortiGate哈
FortiGate哈取自Fortinet Cookbook网站

防火墙策略

这是您可以在设备上配置的规则数量. 对于81818威尼斯合作过的任何企业来说,这都不是问题. Fortinet支持至少5000个! 对于SMB,规则数一般小于20条. 对中小企业来说,可能最多25-150家. 而企业或托管环境可能有几百个. 您很快就会明白为什么5000条规则会给您一些空间!

硬件和虚拟

对于运行VMWare或Hyper-V的企业,您不需要购买物理设备. 相反,您可以使用一个特殊的软件设备作为防火墙. 这不会降低您的安全性, 但这确实意味着您需要通过虚拟环境路由网络流量.

这听起来可能有点难以理解, 然而, 对于小型企业来说,硬件防火墙可能更有意义. 虚拟防火墙很棒, 但需要一定程度的专业知识, IT部门或防火墙合作伙伴,让它们为您工作.

接口

FortiGate92D接口
FortiGate 92D接口示意图

防火墙有多少个网口,速度如何. 你不应该考虑超过千兆位的数据. 无线是一个很好的功能, 但并不是每个选择不使用无线或已有解决方案的企业都严格要求使用无线. 尽管无线支持可能会稍微贵一些, 请考虑它将是安全的,并受与其他流量相同的网络策略的约束. 通常,SMB/SME的集成无线是对适当的防火墙的一个很好的补充.

如果您的防火墙被部署为 内部网络防火墙,那么您应该考虑至少使用10GE接口.

电力供应

在正常运行时间或冗余很重要的地方,考虑使用两个电源. 许多防火墙可能只有一个PSU(在这种情况下, 保持一个备用), 一个电源模块,但有一个辅助外部端口(所以你可以使用一个外部电源模块作为备份),或者高端防火墙有两个本地电源模块,最终实现冗余. 许多防火墙使用相对便宜的外部DC电源,因此有一个备用电源是有意义的.

应用程序的可见性

传统的防火墙策略是基于与TCP和UDP端口相关的规则, 而不是那些流量中的应用程序和用户活动. 现代防火墙允许您根据实际使用的应用程序创建和执行防火墙策略. 例如, 你可以访问微软365, 块Skype, WhatsApp和其他不受欢迎的应用程序. 这样做可以减少防火墙策略、查找IP块等方面的麻烦.

网络过滤

监视网站和控制网页浏览活动的能力是企业的一个流行需求. Web过滤控件允许您监视工作效率或禁止访问高风险或非法的Web内容. 大多数具有下一代或UTP(统一威胁保护)功能的防火墙都支持网站过滤.

SD-Wan

软件定义的广域网路是一种虚拟架构,它允许您的企业使用一系列的连接(i.e. 光纤,DSL, 4G)连接到互联网和你的其他网站. 简而言之, 防火墙具有允许您根据一系列标准管理这些链接上的流量的功能.  例如服务质量, 连接到云应用程序,如Office 365和AWS, 或停机时的自动故障转移. 许多大型企业正在选择用SD-WAN解决方案取代昂贵的电信级WAN和MPLS服务.

MFA(多因素身份验证)

对于网络访问来说,这是一个无需动脑的工具. 检查您选择的防火墙是否支持MFA或2FA技术. MFA可能是特定于供应商的(i.e. 或者它可能支持一个解决方案,如DUO. 81818威尼斯建议 所有VPN 使用MFA保护访问.

地理定位的支持

能够限制特定国家的网络访问或流量是增强安全性的一个很好的方法, 与低开销. 如果您的服务应该只提供给英国,限制流量到英国. 而通过隐藏实现的安全性并不是无懈可击的, 它是一种附加控制,可以与其他形式的最佳实践一起使用.

本地存储

低端防火墙没有本地存储, 这意味着日志, 不支持图表和报告, 慢或依赖于外部web服务或软件套件. 带有本地存储的防火墙通常具有更好的报告、响应和日志功能. 但是,如果你计划定期在防火墙上工作并检查日志/报告,这是一种概括, 必须有带有本地存储的防火墙(或健壮的云服务). 在购买防火墙时,查看它是否包含板载磁盘或SSD驱动器.

形成的因素

Fortinet 60F是一个桌面型防火墙-它可以安装在一个架子上或你的计算机架子上. 101F(底部)更适合机架部署.

一个简单的例子. 是桌面挂载(i.e. 放在架子上)或架装式,放在架子上. 您可以经常购买第三方的机架套件用于桌面形式因素(或一个架子)!)

4 g /移动

许多防火墙都有一个USB端口,可以接受4G移动加密狗. 这提供了一个额外的WAN端口,以便在DSL或光纤故障时访问internet. 请注意所支持的软件狗、操作方式和局限性.

第三方认证

许多供应商对其防火墙进行独立测试,以证明其吞吐量, 能力和保护系统. 这些机构包括ICSA和NSS实验室. 测试对象包括AV、防火墙、IPSec、SSL和IPS. 而不是单一的重要因素, 独立验证可以提供额外的证明和背书.

技术支持和硬件保证

一旦你投资了防火墙, 重要的是要了解在出现问题时可以提供哪些帮助. 例如,在硬件故障的情况下,你能做什么? 或者,你偶然发现了一个bug,导致了一些奇怪的行为——如何获得软件更新?

通常有三种类型的支持/订阅:

  • 标准硬件保修. RTB(返回基地)保修是指发生硬件故障时, 您将把硬件防火墙送回制造商进行更换. 硬件保证的确切条款可能因你的国家而异.
  • 增强硬件保修. 增强的保修使您可以访问express硬件支持. 在硬件故障的情况下, 供应商将主动分派您可以实现的替换, 返回失败的防火墙之前. 您还可以访问供应商的技术支持团队,以获得与配置相关的查询, bug和更新.
  • 增强的硬件保修和UTM订阅. 持续订阅会给你提供以上所有内容, 但提供实时更新到您的防火墙的东西,如病毒定义, 协议签名, 应用程序签名和威胁情报. 通常,安全订阅的年度成本可能高达防火墙初始成本的30%. 在确定防火墙大小和计算预算时,需要考虑这些成本.

(注:如果您的业务不能容忍停机由于一个失败的设备, 您应该考虑防火墙集群—其中设备以冗余对的方式运行)

生命的终结/退休

防火墙有多新? 防火墙何时到达EOL (End of Life)或退役? 在购买一个中年生活之间总是有一个平衡, 经过验证和加固的防火墙VS一个珠子边缘, 可能车防火墙.  这取决于供应商及其QA流程的健壮程度. 我倾向于不买  防火墙作为业务需求将很快超越它的能力. 无论如何,这都应该是选择防火墙时要考虑的问题.

基准测试和分组测试

研究第三方评论并评估供应商之间的小组测试.  81818威尼斯经常比较 Fortinet vs Sophos 思科和帕洛阿尔托. 81818威尼斯的工程师, 虽然擅长强身健体, 使用所有上述供应商作为他们日常工作的一部分. 测试和评估需要持怀疑态度, 通常有一个特别的功能或服务将真正有利于你的业务, 但不是别人的. 好的资源包括NSS Labs, SC Magazine, PC Pro和ICSA.


阅读附属细则

思科ASA -脚注
关于吞吐量、“理想条件”、VPN吞吐量等的脚注

几乎所有关键业绩标准都将受到警告.  这可能取决于您的应用程序, “理想条件”(不管是什么), 额外的许可证, 单独的许可证, 等.


小型企业防火墙管理

如果您的企业有防火墙或网络安全需求,  或者如果你需要帮助设计, 确定并获取正确的解决方案——保持联系! 81818威尼斯的团队有多年的部署经验 小型企业的防火墙管理.

81818威尼斯也 管理数百个防火墙 代表81818威尼斯的客户. 防火墙和网络安全都在81818威尼斯它支持 服务. 在所有情况下,解决方案都可以根据您的确切需求和预算进行定制.

前一篇文章下一篇文章
乔·休斯(乔•休斯)是曼克斯科技集团(威尼斯人81818官方网站)的首席执行官. 乔有软件开发的背景, 信息安全, 网络, 数据中心和企业IT.
请求报价
+44 1624 777837
友情链接: 1 2 3 4 5 6 7 8 9 10