王一飛

　　凡事都有失敗的可能，硬件防火牆測評也不例外。筆者結合自己的實踐体會，嘗試著整理了產品用戶在硬件防火牆測評中的常見誤區，供同行探討。

　　誤區一：誤信含糊實驗條件的惊人數字

　　親閱過無數防火牆產品廣告，一個個白紙黑字標稱的4G吞吐量讓人炫目，但如果把“64字節小包”、“線速”、“堅持几分鍾”之類字眼眼出來，銷售人員就會對吞吐量自己先變的吞吞吐吐起來。所以不能輕信厂商提供的各項數据，必須拿標准實驗條件的測試結果來比對，或者重新搭建環境親自來測試。

　　誤區二：喜歡數字，而不考慮可管理性

　　在測評中，用戶往往過多地關注性能數字，但對于實際的网絡安全管理來講，兩种產品間2%的差异、5%的差异就算10%的差异，真的能帶來本質的區別么？一台防火牆配置界面操作是否方便？有否完備的日志管理功能？本牆能否存儲日志？有無月度CPU、內存統計功能？可否方便查詢已配策略……比起性能數字來，測評這些看似不切主題，但這种問題可是“誰用誰知道”！

　　誤區三：關注花哨功能，卻不了解性能的隱憂

　　這年頭的防火牆，功能都是多多的，訪問控制、防病毒、入侵檢測/防御、VPN，叫功能异构也好，叫統一威脅管理也好，像個雜貨鋪一樣。說這些功能“花哨”，是因為它們們動起來，對硬件資源性能的吞噬能力超乎人的想象。所以，擬定測評方案時就輕易不要把這些列在功能項里了吧？

　　誤區四：不能科學看待高性能硬件架构

　　硬件防火牆的性能高下离不開硬件架构种類。所謂高性能硬件架构，是對應于X86的傳統工控机架构而言的，常見的有NP、ASIC等。對于高性能硬件架构，我們既不能不關注，也不能迷信。但關注的同時，又不能過分推崇“NP”“ASIC”，因為，最強的不一定是最好的和最适合你的。

　　誤區五：不結合自己网絡特點考慮，不結合自己的安全戰略考慮

　　脫离了用戶自身的网絡環境特點來測試防火牆是很不科學的，不基于自己安全戰略設計防火牆測試指標，更是背离了產品應用的初衷。网絡特點告訴用戶自己的网里在跑什么樣的包，构成成分、多大、什么協議。安全戰略告訴用戶防火牆買了是為了做什么，要怎么部、怎么配、怎么管。我們要為了“部”、“配”、“管”而“選”而“測”。

　　誤區六：不警惕測試中的作弊行為

　　產品銷售与購買屬于商業行為，商業就不得不提防欺騙，在測試中則是要警惕作弊行為。假設极個別厂商制作了專門用來測試的高性能“競爭測試版”產品唬人，假設极個別厂商在設備內作一些手腳(如用网線直接連通)，那么整個測試結果就會對其他誠信的厂商很不公平。