问：我们目前的网络有两套防火墙系统：Fortinet的FortiGate和思科的PIX Firewall。为减少处理延迟，我建议使用一个防火墙，而不是两套设施。从安全角度讲，采用不同厂商的多个防火墙有什么好处吗？

答：你的问题提出了几个有趣的事情。

    首先，你假定两个防火墙给网络带来了明显的延迟。一般说来，如果使用能适应现代企业网络容量的现代防火墙，即使结合使用两个防火墙，应该不会出现任何明显的延迟。如果你的网络出现延迟，很有可能表示其中的一个防火墙或者两个防火墙都不能跟上网络带宽的需求。因此，可能需要升级成更大容量的防火墙。

    其次，考虑一下防火墙的安装方式。它们是直接互相连接吗？如果是这种情况的话，建议采用能使两个防火墙发挥最大功效的拓扑结构。想要了解更多的安装信息，可参考我的文章《在防火墙拓扑结构中安装系统》。如果防火墙并非直接相连，确保它们不是多宿主拓扑结构的一部分。

    如果安装两个防火墙不是为了满足商业上的需求，那么我觉得应该考虑较少其中一个。这倒不是强调性能方面的原因，而是维护两套不同的系统会带来一定的难度困难和管理开支。如果规则有所改变，两个防火墙都要做相应的调整，这样管理时间会成倍增加。不过，如果你想安装两个防火墙，以防止出现硬件故障，建议在高容量的部署中考虑使用同种设备的两个防火墙。这样，当一个防火墙失效时，另一个防火墙能取而代之。

作者简介：Mike Chapple, CISSP，University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿，是《信息安全》杂志的技术编辑。