隨著以Internet為代表的全球性信息化浪潮迅猛發展，網絡安全也成為影響網絡效能的重要問題。網絡防火墻作為防止黑客入侵的主要手段，也已經成為網絡安全建設的必選設備。目前來說市面上的網絡防火墻產品很多，那么如何選擇能夠適應自己企業的需要，達到最大的安全效果的產品呢？這里筆者認為，主要應該從以下幾個方面進行考慮。

首先，作為安全設備，防火墻具有其本身的敏感性。就是說我們所選擇的防火墻產品，必須經過國家相關權威部門的認證和銷售許可，這些認證包括公安部和信息產業部的銷售許可，國家測評中心的認證等。

其次，防火墻作為一種網絡設備，性能是必須首先考慮的問題。如果防火墻對原有網絡帶寬影響過大，無疑就是對原有投資的巨大浪費。目前來說防火墻在類型上基本上都實現了從軟件到硬件的轉換，算法上也有了很大的優化，一部分防火墻的性能完全可以做到對原有網絡的性能影響很小了。具體到用戶來說，辨別一款防火墻的性能的優劣，主要可以看看權威評測機構或媒體的性能測試結果，這些結果都是以國際標準RFC2544標準來衡量的，主要包括：網絡吞吐量、丟包率、延遲、連接數等，其中吞吐量又是重中之重。另外防火墻的加入應該以不影響單位已有的業務為前提，如果您原來的業務有一些特殊的服務，比如視頻會議，IP電話等等。那可能就要當心了，一定要選擇支持這些協議的防火墻。

防火墻的功能是現在的用戶最為看重的部分。現在的防火墻的技術進步很快，功能上也做的五花八門，用戶選擇上也比較困難。個人認為，防火墻作為安全設備，安全性尤其是防攻擊和抗攻擊能力還是應該放在第一位上。訪問控制的粒度和強度也很重要，目前各個廠商采用的基本上都是基于狀態檢測包過濾功能。其他的一些附加的功能可以視實際的需要而定，例如，對于大家都沒有固定主機的單位，可能需要身份認證的功能，對網絡資源的合理控制，可能需要帶寬管理的功能，分為總部和分部的情況，可能需要VPN通訊的功能；內部IP地址不足的可能需要地址轉換的功能等等。

就防火墻自身來說，它只是一個單獨的產品，要想靠一個防火墻來實現網絡的安全是不現實的。實現網絡的安全，最主要的還是一個安全策略的問題，一個安全的防火墻配置一套不安全的策略也是沒有效果的，安全的策略包括網絡中的其他安全設備，甚至包括這些安全設備是怎樣同防火墻協同工作的等等。所以說，購買了防火墻，不應該簡單的理解為購買了一個產品，應該是購買了一套安全的服務，因此廠家的技術實力和專業實力也是不容忽視的問題。

以上是筆者認為在購買防火墻產品時應該主要注意的問題，希望這些建議可以幫助用戶在不影響網絡工作的同時，更好地保護網絡的安全。

市場上，防火墻的售價極為懸殊。因為各企業用戶使用的安全程度不盡相同，所以廠商推出的產品也有所區別。但一般來說，一個防火墻應該能做到以下的事情：

1、支持“除非明確允許，否則就禁止”的設計策略。

2、本身支持安全策略，而不是添加上去的。

3、支持新的服務的加入。

4、可以安裝新的先進的認證方法。

5、如需要，運用過濾技術來允許和禁止服務。

6、可以使用各種服務代理，以便新的認證方法可以安裝并運行在防火墻上。

7、擁有界面友好，易于編程的IP過濾語言，并可以根據數據包的性質進行包過濾，數據包的性質包括源和目的地址、協議類型、源和目的端口、TCP包的ACK位、出站和入站網絡接口等。

在選購防火墻時，不要把防火墻的等級看得過重。因為在等級評選中，防火墻的速度占有很大的比重，但是對于中小型企業而言，站點連接到Internet上的速度不會很快，因此大多數的防火墻都能完全滿足站點需要的。那么，在選購防火墻時，更多的是關注下面的一些因素：

1、防火墻自身的安全性

2、防火墻的穩定性

最好的辦法是通過專業人士或測評機構了解防火墻是否如宣傳所說的那樣穩定。

3、防火墻的性能

防火墻不僅能更好的保護防火墻后面的內部網絡的安全，而且應該具有更優良的整體性能。不一定速度越高越好，像有的小型的局域網出口速率不到1M/s，選用100M/s的防火墻就是多余的。

4、配置的方便性

一個好的防火墻應該是具有強大的功能，但配置起來卻非常方便。選購防火墻時，一定要看它的配置是否容易掌握，否則，復雜的配置對于網絡管理員將是一場噩夢。

5、是否可針對用戶身份進行過濾

這樣做有兩個好處：一是用戶可以隨便找一臺機器，向防火墻登錄，防火墻就可以根據它的權限進行合適的過濾；二是用戶出差時可以登錄回公司內部自己的服務器，在沒有加密手段或者加密成本比較高時，這樣做是比較實用的。

6、可擴展性和可升級性

7、有用的日志

防火墻日志對網絡管理員來說是至關重要的。防火墻日志應具有可讀性，防火墻應具有精簡日志的能力，幫助管理員從日志中快速檢索到有用的信息。

8、掃毒功能

大部分的防火墻都可以與防毒軟件搭配實現掃毒的功能