部署硬件防火墙

防火墙可以做什么？

1）普通访问控制（类似于传统交换机ACL，但是功能比ACL要强；例如交换机可以上256条的ACL规则，路由器可以达到几千条甚至上万条，但是防火墙普遍都可以上万条规则以上）

2）高性能状态化的访问控制（高级别安全区域能够访问低级别的安全区域，类似于CISCO的反射访问控制列表）

3）入侵检测和防御（可以根据预先或者自定义的规则，对攻击进行检测和阻断，这个功能我认为是最重要的）

4）URL过滤（这个功能在园区网比较有用，在IDC几乎没什么作用）

5）反病毒（这个功能目前比较鸡肋）

6）流量控制（跟传统的流控比起来，这个功能会相对比较鸡肋）

7）抗DDOS（这个功能相对比较鸡肋，带宽型的DDOS抗不了、CC几乎没有用、只能防护一些非常低级的DDOS攻击）

8）其他功能

什么时候需要部署防火墙

1）访问控制（如果策略的数量比较少的话可以用交换机代替，稍微高档一些的交换机的ACL规则可以高达几百条）

2）防止攻击（防火墙入侵检测和防御功能）

3）高带宽、高并发的NAT场景，例如校园网、IDC等（预算不充足的话可以使用linux的iptables集群代替，前提是要对linux内核网路方面的参数比较了解）

3）上网行为管理（限速、禁止访问某些RUL、禁止访问某类网站）

防火墙的发展历史和趋势

UTM：把所有功能做成流水线的模式，一个包裹来，要经过很多模块检测，对性能和质量造成较大影响。

下一代防火墙：所有的模块采用并行的模式，一个包过来，多个模块同时运作，性能有很大提高。

未来发展趋势：目前防火墙对应用层的检测相对来说是比较鸡肋的。未来防火墙的发展趋势会往应用层深度检测攻击的方向发展。和大数据结合在一起，具有更强的发现功能能力。

防火墙的采购注意事项

防火墙厂商的参数以吹牛为主（尤其大陆厂商）。看上去好像很屌，实际上防火墙的吞吐一般要打个30%。对于吞吐，还有分类，例如普通吞吐、IPS吞吐、IPSEC VPN吞吐、SSL VPN吞吐、AV吞吐、URL吞吐等等。

购买防火墙的时候要购买不同功能的license（例如IPS、URL过滤等等），否则买回来只是一台高档一点的ACL、NAT设备。不具备防攻击的功能。

防火墙的投入是持续的，并非一次性投资，例如要购买IPS升级特征库。

防火墙的部署误区

缺乏管理：很多单位/企业，购买了防火墙后，放在出口开启NAT后就没有下文了。这个还倒不如部署一台iptables来的划算。

对防火墙的认知误区：很多人认为防火墙部署后就可以高枕无忧了。如果你没有对日志进行分析或者使用一些高级的功能，防火墙只会是一台普通的ACL、NAT设备。不能阻挡任何攻击。

防火墙部署原则

1）明确知道要保护的资产

2）资产的保护价值

3）想通过什么方法去保护资产

防火墙的衍生产品或者类似产品

入侵检测/防御

防毒墙

流控

DDOS墙

说明：以上这些产品都可以继承在防火墙上。如果对某个功能的要求很高（例如抗DDOS的并发数、流量），那么可以考虑串联专门用于某种功能的设备