网络防火墙选购要注意哪些因素

顶老大

1.品牌是关键

因为防火墙产品属高科技产品，生产这样的设备不仅需要强大的资金作后盾，而且在技术实力需要有强大的保障。选择了好的品牌在一定程度上也就选择了好的技术和服务，对将来的使用更加有保障。所以在选购防火墙产品时千万别随便贪图一时便宜，选购一些杂牌产品。目前国外在防火墙产品的开发、生产中比较著名的品牌有：3COM、Cisco、Nokia、NetScreen、Check Point等，这些品牌技术实力比较强，而且都能提供高档产品，当然价格也相比下面要介绍的国产品牌要贵许多(通常在5000~1万元之间)甚至贵一倍以上。这些品牌对于大、中型有资金实力的企业来说比较理想，因为购买了这类品牌产品，相对来说在技术方面更有保障，能满足公司各方面的特殊需求，而且可扩展性比较强，适宜公司的发展需要。

国内开发、生产防火墙的品牌主要有：联想-Dlink、天网、实达、东软、天融信、安氏等，而又以联想的Dlink、天网和实达品牌性能更好。这些品牌相对国外著名品牌来说都处于中、低档次。当然价格要便宜许多，而且还能提供全中文的使用说明书，方便安装、调试和维护。对于中小企业来说国产品牌是理想的选择。

2.高效的性能

因为防火墙是通过对进入的数据进行过滤来识别是否符合安全策略的，所以在流量比较高时，要求防火墙能以最快的速度及时对所有数据包进行检测，否则就可能造成比较的延时，甚至死机。这个指标非常重要，它体现了防火墙的可用性能，也体现了企业用户使用防火墙产品的代价(延时)，用户无法接受过高的代价。如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触，有时我们在打开防火墙时上网反应非常慢，而一旦去掉速度就上来了，原因就为因为防火墙过滤速度不够快。

如果防火墙对原有网络带宽影响过大，无疑就是对原有投资的巨大浪费。

目前来说防火墙在类型上基本上都实现了从软件到硬件的转换，算法上也有了很大的优化，一部分防火墙的性能完全可以做到对原有网络的性能影响很小了。具体到用户来说，辨别一款防火墙的性能的优劣，主要可以看看权威评测机构或媒体的性能测试结果，这些结果都是以国际标准RFC2544标准来衡量的，主要包括：网络吞吐量、丢包率、延迟、连接数等，其中吞吐量又是重中之重。
3.高可靠性

因为防火墙就象单位用户出入互联网的一道门，如果门坏了，显然进出互联网也就成问题了。这样很可能会用户造成巨大的损失，这就要求防火墙产品自身具有高的可靠性。提高防火墙的可靠性通常是在设计中采取措施，具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。

4.强大的抗拒绝服务攻击能力

在网络攻击中，拒绝服务攻击是使用频率最高的手段。拒绝服务攻击可以分为两类：一类是由于操作系统或应用软件在设计或编程上存在缺陷而造成的，这种类型只能通过打补丁的办法来解决，如我们常见的各种Windows系统安全补丁。另一类是由于协议本身存在缺陷而造成的，这种类型的攻击虽然较少，但是造成的危害却非常大。对于第一类问题，防火墙显得有些力不从心，因为系统缺陷与病毒感染不同，没有病毒码作为依据，防火墙常常会作出错误的判断。防火墙有能力对付第二类攻击。

5.安全最重要

防火墙本身就是一个用于安全防护的设备，当然其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。因为现在第二代防火墙产品通常不再依靠用户的操作系统，而是采用自已单独开发的操作系统。这个操作系统本身要求没有安全隐患，当然作为普通用户这只能通过品牌来保证。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的，同时，应用系统自身的安全实现也直接影响到整个系统的安全性。

另外在安全策略上，防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的，编程对用户是友好的，还应具备若干可能的过滤属性，如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。只有这样用户才能根据实际需求采取灵活的安全策略保护自己企业网络的安全。

另外，防火墙除应包含先进的鉴别措施，还应采用尽量多的先进技术，如包过滤技术、加密技术、可信的信息技术等。如身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术，这些都是防火墙安全系统所必需考虑的。

6. 功能的多样性

这一点对于小型企业来说不是很重要，但对于大、中型企业说就应当高度重视。否则很可能选购回来的防火墙产品根本不能满足当前或者短时间内的未来需求。

质量好的防火墙能够有效地控制通信，能够为不同级别、不同需求的用户提供不同的控制策略。控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出防火墙控制策略的质量。现在大多数的防火墙产品都支持NAT功能，它可以让受防火墙保护的一方的IP地址不被暴露。但注意启用NAT后势必会对防火墙系统的性能有所影响。目前防火墙技术进步很快，功能上也做的五花八门，用户选择上也比较困难。在包过滤方式上，目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他的一些附加的功能可以视实际的需要而定，例如，对于没有固定主机的单位，可能需要身份认证的功能;对网络资源比较紧张的单位，可能需要带宽管理的功能以合理控制资源分配;对于有总部和分支机构的企业，就可能需要选择能支持VPN通讯功能的防火墙产品等等。

7. 配置的方便性

因为防火墙作为一个高科技产品，一般技术人员是不太可能对其详细配置原理全部掌握，所以这就要求防火墙产品在配置上尽可能简单，方便。但通常质量好的防火墙系统在具有强大功能的同时，其配置安装也较为复杂，需要网管员对原网络配置进行较大的改动。目前有一种支持透明通信的防火墙在安装时不需要对网络配置做任何改动，非常适合小型企业选用。但要注意，在市场上并不是所有的防火墙都采用这种通信方式，有些防火墙只能在透明方式下或者网关方式下工作，而另外一些防火墙则可以在混合方式下工作。能工作于混合方式的防火墙显然更具方便性。

8、管理的方便性

网络技术发展很快，各种安全事件不断涌现，这就要求网管员需要经常调整安全策略。防火墙的管理不仅涉及控制策略的调整，而且还涉及业务系统的访问控制调整。防火墙的管理涉及管理途径、管理工具和管理权限三方面。防火墙的管理最好要适合网管员的管理习惯，设有远程Telnet登录管理以及管理命令的在线帮助等。用户在选择防火墙时也应该看其是否支持串口终端管理。如果防火墙没有终端管理方式，就不容易确定故障所在。一个好的防火墙产品必须符合用户的实际需要。对于国内用户来说，防火墙最好是具有中文界面，既能支持命令行方式管理，又能支持GUI和集中式管理。

9.灵活的可扩展和可升级性

用户的网络不可能永远一成不变，随着业务的发展，公司内部可能组建不同安全级别的子网，这样防火墙不仅要在公司内部网和外部网之间进行过滤，还要在公司内部子网之间进行过滤。目前的防火墙一般标配三个网络接口，分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口，因为有些防火墙无法扩展。用户购买或配置防火墙，首先要对自身的安全需求、网络特性和成本预算做出分析，然后对防火墙产品进行评估和审核，选出2～4家主要品牌产品进行洽谈，最后再确定优选方案。

通常小型企业接入互联网的目的一般是为了方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时，主要要注意考虑保护内部(敏感)数据的安全，特别要注重安全性，对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙，具有http、mail等代理功能即可。

ttvmaomao

全自动的防火墙用起来不舒心，提示选择处理办法的又用不明白……囧
现在用卡巴套件里的，报告也看不明白。