让防火墙适应企业需求的变化

在建立防火墙架构的同时，就将成长性的理念植入其中，不仅将会为你节省下许多的投入，同时还能够确保你的安全配置能够与你业务的扩展速度保持同步。下面，我们就一起来看看如何能够建立起一个具有高性价比、可以逐步升级的防火墙系统。

每一个将它的内部网络连接到互联网上的公司或者组织，都需要一套防火墙系统来保护自己免遭来自网络上的入侵和攻击。而且现在，安全系统供应商也能够按照每一个客户的预算来为他们提供相应的解决方案。不过，如果你的公司计划要不断发展的话（又有哪一个公司不是这样的呢），那么你在选择防火墙解决方案的时候，就一定要把可扩展性摆在重要位置。下面，就让我们一起来看看，一个小公司是如何建设一套具有可扩展性的防火墙架构的。

小起点，大未来
许多公司在刚刚创业的时候，通常都只是一个人的“作坊”，或者只有少数几个员工。他们的网络一般只是由数量很少的几台计算机组成，并且都加入到一个工作组内。这个工作组使用的基本上都是价格并不十分昂贵的网络连接，然后通过微软的ICS或者第三方的NAT解决方案来进行共享。即使你的“公司网络”只包含有一台可以连接到互联网的计算机，你也需要一个防火墙来保护自己。只不过对于小公司来说，他们通常所使用的都是Windows XP操作系统自带的Windows Firewall（在Service Pack 2之前被叫做网络连接防火墙或者ICF），或者是其它一些价格较为低廉的、基于主机的软件防火墙，比如说ZoneAlarm或者Norton的个人防火墙。

当你的公司不断发展，你的局域网里已经包含有许多台计算机了，那么，就是时候开始考虑该如何来扩展你安全防御的范围了。许多宽带路由器都内置有一些基本的防火墙功能，但是这些功能通常都只是一些很简单的过滤防火墙。虽然某些路由器具有类似于MAC过滤器和URL过滤器这样的功能，但是大多数的实际上还是为消费类用户设计的，而不是针对企业级用户。一次让整个网络完全瘫痪的攻击，就足以让你的公司大伤元气，因此，我们建议你还是选择一些更为成熟可靠一些的“防御武器”。

解决方案：硬件Vs.软件
最简单的方法，就是在网络的主机上安装一个价格较为低廉的专用防火墙设备，也就是我们通常所说的“硬件防火墙”。像PIX 501、SonicWall Pro 1260、WatchGuard Edge X15，以及NetScreen 5系列就是这样的产品。它们所采用的都是一些很“傻瓜”的解决方案，设置起来非常简单。不过，你会发现，虽然这些产品价格便宜，但同时它们的升级性能也相当的一般。通常这些产品的连接端口都非常的有限，而且其带宽也不会很大。这种硬件产品基本上很难、甚至不可能对其进行升级，因此当你的网络开始不断增长，你的需求也随之发生改变的时候，你就有可能会需要购买一个更加高级的防火墙设备。与最低端的产品相比，其它的一些设备具有更大的容量，你需要购买另外的使用许可证来利用这些潜能就好了。

虽然最初的成本可能会比较高，而且设置起来也不是很简便，但是你还是会发现那些所谓的“软件防火墙”，比如说微软公司的ISA Server、CheckPoint，以及赛们铁克公司的企业防火墙，会更容易伴随着你的公司一起成长。这些防火墙产品可以被安装在某个常规网络操作系统（比如说Windows Server、UNIX或者Solaris）之上。这就意味着，你对计算机及其相关配置拥有充分的选择权，而且在以后需要的时候，还可以对其进行升级，比如说换个速度更快的处理器，或者增加更多的内存。

与低端的硬件产品相比，软件防火墙通常能够支持数量相当庞大的网络连接，而其数据的吞吐带宽则是由你所选择的硬件来决定的。这些企业级的软件防火墙通常都是针对网络保护来设计的，不要与那些针对保护单台计算机而设计的、基于主机或者“个人”防火墙的软件防火墙相混淆。