我們生活在一個(gè)預(yù)計(jì)會(huì)出現(xiàn)安全漏洞和數(shù)據(jù)丟失的世界。根據(jù)IBM Security 和 Ponemon Institute 所做的一項(xiàng)研究，數(shù)據(jù)泄露的平均成本（來(lái)自 500 家受訪公司的樣本）為 386 萬(wàn)美元。此外，導(dǎo)致 100 萬(wàn)至 5000 萬(wàn)條記錄丟失的大型數(shù)據(jù)泄露事件可能使公司損失 4000 萬(wàn)至 3.5 億美元。

這使得在沒(méi)有防火墻的情況下運(yùn)營(yíng)一家公司甚至一臺(tái)計(jì)算機(jī)變得非常困難。以下是計(jì)算保護(hù)數(shù)據(jù)和保護(hù)隱私所需的防火墻大小的幾種方法。

世界各地有無(wú)數(shù)的防火墻選項(xiàng)可供選擇，全球各地的公司都在根據(jù)該地區(qū)最緊迫的問(wèn)題制定他們的安全措施版本。需要考慮的一些因素可能是防火墻將看到的流量以及您需要的所需功能。

特征

下一代防火墻具有應(yīng)用程序控制、入侵防御和內(nèi)容過(guò)濾等功能，可顯著提高管理員監(jiān)控網(wǎng)絡(luò)的能力。但這些服務(wù)通常是訂閱的一部分；有時(shí)，如果您不需要它們，那么無(wú)緣無(wú)故地為它們付費(fèi)是沒(méi)有意義的。

NGFW 從傳統(tǒng)防火墻取得的進(jìn)步是多方面的。第一個(gè)解決了 TFW 中的一個(gè)重大缺陷，提供了對(duì)第 2 層到第 7 層的檢查。因此，管理員可以更精細(xì)地控制策略。另一個(gè)主要區(qū)別是應(yīng)用程序意識(shí)。NGFW 不依賴于應(yīng)用程序和端口之間的預(yù)設(shè)鏈接，而是不做任何假設(shè)并檢查所有流量。這填補(bǔ)了以前允許某些惡意軟件溜走的重大漏洞。下一代防火墻評(píng)估數(shù)據(jù)包身份的方式也不同于 TFW，它依賴于 LDAP 或 Active Directory。

這是對(duì)先前迭代的改進(jìn)，使得區(qū)分不同用戶的權(quán)限和訪問(wèn)變得更具挑戰(zhàn)性或不可能。NGFW 還采用了完全集成的入侵保護(hù)系統(tǒng)，而 TFW 則采用了分立設(shè)備。最后，NGFW 還允許用戶使用橋接或路由模式，允許他們與仍然使用 TFW 的站點(diǎn)進(jìn)行交互。但是，請(qǐng)先咨詢您的安全提供商；訂閱包通常包含非常有用的自動(dòng)防病毒更新。

調(diào)整防火墻大小

這超出了考慮功能的范圍。在大多數(shù)情況下，有兩種方法可以確定防火墻的大小，用戶數(shù)和吞吐量。用戶數(shù)衡量可以同時(shí)訪問(wèn)單個(gè)防火墻的設(shè)備總數(shù)。這與同一時(shí)間網(wǎng)絡(luò)上的平均用戶數(shù)量不同。這也與員工人數(shù)不同，因?yàn)橹攸c(diǎn)應(yīng)該放在客戶和用戶身上。

對(duì)于面向 Internet 的服務(wù)器，公司應(yīng)該警惕一次訪問(wèn) Internet 的總用戶數(shù)，而不是依賴平均值作為防火墻。如果服務(wù)器過(guò)載，則與 DDoS 攻擊相同。

吞吐量處理通過(guò)防火墻的流量的速度。防火墻通常在其規(guī)格中列出速度等級(jí)。他們無(wú)法加快您的互聯(lián)網(wǎng)連接速度；他們只能提供一個(gè)瓶頸。例如，75 Mbps 的防火墻會(huì)將您的千兆互聯(lián)網(wǎng)連接減慢到該速度；它根本不允許那么多流量。

現(xiàn)實(shí)生活中的例子

Fortinet FortiGate-100D 的額定速度為 300 Mbps，運(yùn)行基于代理的防病毒軟件，最大用戶數(shù)為 150。但是，同一個(gè)防火墻可以處理 1.5 Gbps 的速度而無(wú)需任何花里胡哨，但這在從長(zhǎng)遠(yuǎn)來(lái)看。

Sophos 和 Cisco 等其他服務(wù)提供類似的軟件包來(lái)處理流量并限制用戶數(shù)量。您可以選擇其中任何一項(xiàng)服務(wù)或本文未提及的多項(xiàng)服務(wù)。但是，要知道，您對(duì)防火墻了解得越多，您就越能做出明智的選擇。