一、 前言:規格表上的「國王的數字」
身為工程師,我們在看 PA 規格表(Datasheet)時,心情通常像是在看交友軟體的照片。照片裡的每台機器都長得威風凜凜,吞吐量(Throughput)寫得天花粉亂。但記住,規格表上的數字通常是在「全裸」狀態下測出來的。
如果你看著規格表上的 10\ Gbps 就覺得它能跑 10\ Gbps,那你可能也相信泡麵包裝上的那塊大牛肉是真的。
二、 第一道門檻:流量與「性能骨折」
選型時,你第一個要問自己的不是「我有多少頻寬」,而是「我準備開多少功能」。
1. 吞吐量的「打折藝術」
PA 的性能通常分三個層次:
Firewall Throughput: 這是基本款,只看 L3/L4。如果你只開這個,那你買 PA 真的太奢侈,去買台便宜的路由器就好。
Threat Prevention (TP) Throughput: 這才是「實戰數字」。當你開了防毒、IPS 之後,性能通常會直接「骨折」,剩下不到一半。
SSL Decryption: 這是性能殺手。現在網路流量 90% 以上都加密了,不拆開看就像閉著眼防守。但拆封包需要極大的運算量。
工程師的選型公式: 假設公司頻寬是 1\ G,請買一台 TP 吞吐量至少 2\ G 的型號。為什麼?因為你永遠不知道哪天老闆會突然想開「深度封包檢測」,或者行銷部突然決定辦一場萬人直播。
三、 實戰分級:你是哪種等級的玩家?
PA 的產品線拉得很長,從放在桌上的小盒子到裝在機櫃裡的「冰箱」都有。
1. PA-400 系列:適合「預算有限但自尊心強」的小辦公室
這是 PA 目前的入門明星(PA-410, 440, 450, 460)。
定位: 分公司、小型企業。
幽默點: 它們長得像大一點的電視盒,甚至沒有風扇(PA-410/440)。它的好處是靜音,缺點是如果你把一疊公文壓在它上面,它可能會熱到向你示威。
注意: PA-410 沒有硬碟,Log 只能存一點點或丟到雲端。如果你想查上禮拜是誰在亂連網站,PA-410 會用沉默來回答你。建議直上 PA-440 以上,你的肝會感謝你。
2. PA-1400 系列:中型企業的「中流砥柱」
這是取代老舊 PA-800 系列的新鮮貨。
定位: 總部有幾百人的公司。
特點: 支援成對的 Power Supply(冗餘電源)。這很重要,因為身為工程師,你最不想遇到的就是「防火牆變磚頭是因為電源線被掃地阿姨踢掉」。
選型建議: 如果你的公司正處於快速擴張期,買這個系列最保險。它有專門處理硬體加速的晶片,不會像小弟 400 系列那樣偶爾喘不過氣。
3. PA-3400 / 5400 系列:適合「家大業大」的土豪
定位: 大型資料中心、跨國總部。
幽默點: 這種機器裝上去後,機房的風扇聲會讓你以為自已在停機坪。性能強到可以同時分析幾百萬個 Session,但報價單也會讓你的財務主管心臟病發。
四、 那些被忽略的關鍵指標
除了吞吐量,還有兩個數字是你選型時的「保命符」:
1. 最大連線數 (Max Sessions)
別以為這數字幾十萬很大。在現代環境,一個網頁打開可能就噴出幾十個 Session。如果你的公司有一群寫 Web Crawler 的工程師,或者有一堆沒事就在同步資料的伺服器,Session 數爆掉會讓整間公司網路瞬間「石化」。
2. 每秒新增連線數 (New Sessions per Second)
這代表防火牆「處理新客人」的速度。如果這數字太低,就算總寬頻夠,員工點擊網頁時還是會感覺到那種「一秒鐘的猶豫」。
五、 如何做出不被挑戰的選型報告?
當你要跟老闆報告為什麼要買貴的那一台時,請準備好以下表格:
| 評估維度 | 你的需求 | 建議型號 (範例) | 理由 (說服老闆的話術) |
| 預算導向 | 50 人小公司 | PA-440 | 「這台是業界最高性價比,能省下未來的資安罰款。」 |
| 成長導向 | 200 人且有 VPN 需求 | PA-1410 | 「這台有硬體加速,員工在家加班(WFH)才不會抱怨斷線。」 |
| 效能導向 | 高頻寬、全功能開啟 | PA-3410 | 「為了確保公司萬無一失,我們需要這台戰車等級的保護。」 |
六、 工程師的私房選型紀錄(碎碎念)
記憶體是本錢: PA 的軟體系統 (PAN-OS) 其實很吃記憶體。在選型時,如果預算允許,永遠選那個系列中數字較大的(例如 450 優於 440),因為它們通常擁有更多的 RAM,這決定了你能跑多少個偵測模組。
介面(Port)的數量: 不要只算現在要插幾條線。如果你之後想做網路隔離(Segmentation),把會計、研發、訪客區全部切開,你會發現 Port 永遠不夠用。
別忘了光纖埠 (SFP/SFP+): 現在連內網交換器都跑 $10\ G$ 了,如果你的防火牆還只有 $1\ G$ 的銅線孔,那它就會變成全公司最貴的塞車點。
七、 結語:選型是一門「妥協」的藝術
選型不是選最強的,而是選「最不會讓你半夜被告警吵醒」的那一台。
如果你選了太小的型號,未來兩年你將在「調整設定以節省效能」的痛苦中度過;如果你選了太大的型號,你可能得在「如何證明這台機器花得很值得」的報告中掙扎。
身為工程師,我建議:在預算範圍內,稍微「超前部署」一點點。 畢竟,防火牆通常一撐就是五年。五年後的流量會變怎樣?看看現在那些肥大的網頁和 4K 影片,你心裡應該有數了。
沒有留言:
張貼留言