此文章主要向大家講述的是選購硬件防火墻的十大要素，隨著互聯網應用的普及于快速發展，網絡安全的隱患也越來越大。病毒與黑客攻擊作為網絡安全的主要隱患，時時刻刻在威脅著進行互聯網應用的計算機系統的安全。

隨著互聯網應用的普及和飛速發展，網絡安全也成為人們最終為擔心的一個方面。病毒和黑客攻擊作為網絡安全的主要隱患，時時刻刻在威脅著進行互聯網應用的計算機系統的安全。網絡防火墻作為防止黑客入侵的主要手段，也已經成為網絡安全建設的必選設備，不僅對于企事粘單位網絡需要，就連個人用戶時下防火墻也已成為必備的安全手段，雖然個人用戶絕大多數還是采用軟件式的個人防火墻產品。本文要介紹的是在硬件防火墻設備選購時要注意的事項，當然適應用戶也主要是企、事業單位。

目前來說市面上的網絡防火墻設備不僅品牌繁多，就連各種不同的檔次產品也讓人眼花繚亂，普通用戶無從適從。那么如何選擇能夠適應自己企業的需要，達到最大的安全效果的防火墻產品呢？筆者根據對防火墻的使用和維護經驗，總結出以下十大要素。

1.品牌是關鍵

因為防火墻產品屬高科技產品，生產這樣的設備不僅需要強大的資金作后盾，而且在技術實力需要有強大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術和服務，對將來的使用更加有保障。所以在選購防火墻產品時千萬別隨便貪圖一時便宜，選購一些雜牌產品。

目前國外在防火墻產品的開發、生產中比較著名的品牌有：3COM、Cisco、Nokia、NetScreen、Check Point等，這些品牌技術實力比較強，而且都能提供高檔產品，當然價格也相比下面要介紹的國產品牌要貴許多(通常在5000~1萬元之間)甚至貴一倍以上。這些品牌對于大、中型有資金實力的企業來說比較理想，因為購買了這類品牌產品，相對來說在技術方面更有保障，能滿足公司各方面的特殊需求，而且可擴展性比較強，適宜公司的發展需要。

國內開發、生產防火墻的品牌主要有：聯想-Dlink、天網、實達、東軟、天融信、安氏等，而又以聯想的Dlink、天網和實達品牌性能更好。這些品牌相對國外著名品牌來說都處于中、低檔次。當然價格要便宜許多(通常在5000元以下)，而且還能提供全中文的使用說明書，方便安裝、調試和維護。對于中小企業來說國產品牌是理想的選擇。

2.安全最重要

防火墻本身就是一個用于安全防護的設備，當然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統和是否采用專用的硬件平臺。因為現在第二代防火墻產品通常不再依靠用戶的操作系統，而是采用自已單獨開發的操作系統。

這個操作系統本身要求沒有安全隱患，當然作為普通用戶這只能通過品牌來保證。應用系統的安全性能是以防火墻自身操作系統的安全性能為基礎的，同時，應用系統自身的安全實現也直接影響到整個系統的安全性。

另外在安全策略上，防火墻應具有相當的靈活性。首先防火墻的過濾語言應該是靈活的，編程對用戶是友好的，還應具備若干可能的過濾屬性，如源和目的IP地址、協議類型、源和目的TCP/UDP端口及入出接口等。只有這樣用戶才能根據實際需求采取靈活的安全策略保護自己企業網絡的安全。

另外，防火墻除應包含先進的鑒別措施，還應采用盡量多的先進技術，如包過濾技術、加密技術、可信的信息技術等。如身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統的訪問控制機制、授權管理等技術，這些都是防火墻安全系統所必需考慮的。

3.高效的性能

因為防火墻是通過對進入的數據進行過濾來識別是否符合安全策略的，所以在流量比較高時，要求防火墻能以最快的速度及時對所有數據包進行檢測，否則就可能造成比較的延時，甚至死機。這個指標非常重要，它體現了防火墻的可用性能，也體現了企業用戶使用防火墻產品的代價(延時)，用戶無法接受過高的代價。

如果防火墻對網絡造成較大的延時，還會給用戶造成較大的損失。這一點我們在使用個人防火墻時可能深有感觸，有時我們在打開防火墻時上網反應非常慢，而一旦去掉速度就上來了，原因就為因為防火墻過濾速度不夠快。

如果防火墻對原有網絡帶寬影響過大，無疑就是對原有投資的巨大浪費。

目前來說防火墻在類型上基本上都實現了從軟件到硬件的轉換，算法上也有了很大的優化，一部分防火墻的性能完全可以做到對原有網絡的性能影響很小了。具體到用戶來說，辨別一款防火墻的性能的優劣，主要可以看看權威評測機構或媒體的性能測試結果，這些結果都是以國際標準RFC2544標準來衡量的，主要包括：網絡吞吐量、丟包率、延遲、連接數等，其中吞吐量又是重中之重。

當然在性能方面，對于不同規模的企業有不同的要求，不一定速度越高越好，像有的小型的局域網出口速率不到1M/s，選用100M/s的防火墻就是多余的。

4.高可靠性

因為防火墻就象單位用戶出入互聯網的一道門，如果門壞了，顯然進出互聯網也就成問題了。這樣很可能會用戶造成巨大的損失，這就要求硬件防火墻產品自身具有高的可靠性。提高防火墻的可靠性通常是在設計中采取措施，具體措施是提高部件的強健性、增大設計閥值和增加冗余部件。

5.強大的抗拒絕服務攻擊能力

在網絡攻擊中，拒絕服務攻擊是使用頻率最高的手段。拒絕服務攻擊可以分為兩類 ：一類是由于操作系統或應用軟件在設計或編程上存在缺陷而造成的，這種類型只能通過打補丁的辦法來解決，如我們常見的各種Windows系統安全補丁 。

另一類是由于協議本身存在缺陷而造成的，這種類型的攻擊雖然較少，但是造成的危害卻非常大。對于第一類問題，防火墻顯得有些力不從心，因為系統缺陷與病毒感染不同，沒有病毒碼作為依據，防火墻常常會作出錯誤的判斷。防火墻有能力對付第二類攻擊。

6. 功能的多樣性

這一點對于小型企業來說不是很重要，但對于大、中型企業說就應當高度重視。否則很可能選購回來的防火墻產品根本不能滿足當前或者短時間內的未來需求。

質量好的防火墻能夠有效地控制通信，能夠為不同級別、不同需求的用戶提供不同的控制策略?？刂撇呗缘挠行?、多樣性、級別目標清晰性以及制定難易程度都直反映出防火墻控制策略的質量?，F在大多數的防火墻產品都支持NAT功能，它可以讓受防火墻保護的一方的IP地址不被暴露。但注意啟用NAT后勢必會對防火墻系統的性能有所影響。

目前防火墻技術進步很快，功能上也做的五花八門，用戶選擇上也比較困難。在包過濾方式上，目前各個廠商采用的基本上都是基于狀態檢測包過濾功能。其他的一些附加的功能可以視實際的需要而定，例如，對于沒有固定主機的單位，可能需要身份認證的功能;對網絡資源比較緊張的單位，可能需要帶寬管理的功能以合理控制資源分配;對于有總部和分支機構的企業，就可能需要選擇能支持VPN通訊功能的防火墻產品等等。

對于經常有公司內部用戶移動辦公的企業，最好能提供支持VPN通信或者身份驗證功能，這樣做有兩個好處：一是可以大節省通信費用(因為VPN只需要用戶與本地ISP連接即可);另一方面用戶出差時可以登錄回公司內部自己的服務器，在沒有其它加密手段或者加密成本比較高時，這樣身份驗證方式是比較實用的。

7. 配置的方便性

因為防火墻作為一個高科技產品，一般技術人員是不太可能對其詳細配置原理全部掌握，所以這就要求防火墻產品在配置上盡可能簡單，方便。但通常質量好的防火墻系統在具有強大功能的同時，其配置安裝也較為復雜，需要網管員對原網絡配置進行較大的改動。

目前有一種支持透明通信的防火墻在安裝時不需要對網絡配置做任何改動，非常適合小型企業選用。但要注意，在市場上并不是所有的防火墻都采用這種通信方式，有些防火墻只能在透明方式下或者網關方式下工作，而另外一些防火墻則可以在混合方式下工作。能工作于混合方式的防火墻顯然更具方便性。

8、管理的方便性

網絡技術發展很快，各種安全事件不斷涌現，這就要求網管員需要經常調整安全策略。防火墻的管理不僅涉及控制策略的調整，而且還涉及業務系統的訪問控制調整。防火墻的管理涉及管理途徑、管理工具和管理權限三方面。防火墻的管理最好要適合網管員的管理習慣，設有遠程Telnet登錄管理以及管理命令的在線幫助等。

用戶在選擇防火墻時也應該看其是否支持串口終端管理。如果防火墻沒有終端管理方式，就不容易確定故障所在。一個好的防火墻產品必須符合用戶的實際需要。對于國內用戶來說，防火墻最好是具有中文界面，既能支持命令行方式管理，又能支持GUI(圖形用戶界面，如Windows界面)和集中式管理。

在可管理性方面，防火墻日志對網絡管理員來說是至關重要的。防火墻日志應具有可讀性，防火墻應具有精簡日志的能力，幫助管理員從日志中快速檢索到有用的信息。

9.靈活的可擴展和可升級性

用戶的網絡不可能永遠一成不變，隨著業務的發展，公司內部可能組建不同安全級別的子網，這樣防火墻不僅要在公司內部網和外部網之間進行過濾，還要在公司內部子網之間進行過濾(現在的分布式防火墻不僅可以做到這一點，而且還可在內部網各用戶之間過濾)。目前的防火墻一般標配三個網絡接口，分別連接外部網、內部網和SSN。

用戶在購買防火墻時必須弄清楚是否可以增加網絡接口，因為有些防火墻無法擴展。用戶購買或配置防火墻，首先要對自身的安全需求、網絡特性和成本預算做出分析，然后對防火墻產品進行評估和審核，選出2～4家主要品牌產品進行洽談，最后再確定優選方案。

通常小型企業接入互聯網的目的一般是為了方便內部用戶瀏覽Web、收發E-mail以及發布主頁。這類用戶在選購防火墻時，主要要注意考慮保護內部(敏感)數據的安全，特別要注重安全性，對服務協議的多樣性以及速度等可以不作特殊要求。建議這類用戶選用一般的代理型防火墻，具有http、mail等代理功能即可。

而對于有電子商務應用的企業和網站等用戶來說，這些企業每天都會有大量的商務信息通過防火墻。如果這些用戶需要在外部網絡發布Web(將Web服務器置于外部的情況)，同時需要保護數據庫或應用服務器(置于防火墻內)，這就要求所采用的防火墻具有傳送SQL數據的功能，而且必須具有較快的傳送速度。建議這些用戶采用高效的包過濾型防火墻，并將其配置為只允許外部Web服務器和內部傳送SQL數據使用。

未來的防火墻系統應該是一個可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個獨立的應用網關，使用戶有充分的余地構建自己所需要的防火墻體系。

10.良好的協同工作能力

因為防火墻只是一個基礎的網絡安全設備，它不代表網絡安全防護體系的全部，通常它需要與防病毒系統和入侵檢測系統等安全產品協同配合，才能從根本上保證整個系統的安全，所以在選購防火墻時就要考慮它是否能夠與其他安全產品協同工作。如何檢驗它是否具有這個能力，通常是看它是否支持OPSEC(開放安全結構)標準，通過這個接口與入侵檢測系統協同工作，通過CVP(內容引導協議)與防病毒系統協同工作。

以上介紹了在選購防火墻時所要注意的10個方面，事實上很難找到完全符合以上各項要求的硬件防火墻產品。事實上如何評估防火墻是一個十分復雜的問題。一般說來，防火墻的安全和性能(速度等)是最重要的指標，用戶接口(管理和配置界面)和審計追蹤次之，然后才是功能上的擴展性。用戶時常會面對安全和性能之間的矛盾。

代理型防火墻通常更具安全性，但是性能要差于包過濾型防火墻。如果用作Internet防火墻，即使以T1(1.544Mbps)或E1(2.048Mbps)數字線路接入，防火墻也不會成為瓶頸。但是企業網之間如果以100M甚至G位網絡相連時，就會對防火墻的端口帶寬性能提出很高的要求。

所有用戶都希望自己買到物美價廉的產品，也就是性能價格比高的產品。按照購買或實現防火墻需要的經費來量化所有提出的解決辦法是十分重要的。有的防火墻產品可以不花錢或花很少的錢(如個人防火墻)，有的則要花上萬元或更多的錢。

具體而言，除考慮防火墻的銷售價格外，還要考慮它的管理費用、維護費用及消耗材料費用等。對于經濟實力雄厚的公司或大的企業組織，一般把滿足需要放在第一位，把經濟開銷放在第二位，而且還把產品的更新換代需要的開銷考慮進去。而對一般的機關學校來，由于經濟條件一般，把產品價格放在重要位置考慮，只愿開銷滿足當前急需所購產品的經費，對未來網絡系統的發展擴充換代考慮甚少。我們只要在滿足實用性、安全性的基礎上，適當考慮經濟性就可以找到自己理想的產品。

上面介紹了在選購防火墻產品時要注意的事項，最后簡單介紹防火墻在安裝和配置方面應注意的幾個方面。

用戶在選擇防火墻后，防火墻在安裝前，首先要在被保護網段內使用ICMP包(PING)或Telnet對外網段進行訪問，并使用相同的方法從外網段對被保護網段進行訪問，以確保網絡間路由的正常;其次是使用瀏覽器從被保護網段對外部網段的服務器進行訪問，來確保網段間域名解析的正常。

在安裝防火墻時，用戶還需要確認所安裝的防火墻的各個模塊的版本是否是最新版本或者帶有最新的補丁，并按照防火墻廠商提供的用戶手冊進行安裝。對于軟件防火墻，用戶還需要在安裝前除掉該防火墻系統上的不必要的協議(如NetBEUI)和服務，并關閉系統的IP Forwarding功能。

在配置硬件防火墻時，用戶還要注意防火墻控制對象的正確定義以及被控制對象與外網通信時所使用的協議，以確保防火墻的配置不會防礙正常的通信。另需要制定安全策略來對其進行合理有效的配置。

【編輯推薦】

1. 安全防護之防火墻防止Windows藍屏攻擊不用怕！
2. 軟件防火墻故障發現與排除很簡單！
3. 寬帶ADSL貓防火墻配置實戰級
4. 開源防火墻闖江湖 四大名捕看家護院
5. 對防火墻和路由器安全配置的淺析