隨著以Internet為代表的全球性信息化浪潮迅猛發(fā)展，網(wǎng)絡安全也成為影響網(wǎng)絡效能的重要問題。網(wǎng)絡防火墻作為防止黑客入侵的主要手段，也已經(jīng)成為網(wǎng)絡安全建設的必選設備。目前來說市面上的網(wǎng)絡防火墻產(chǎn)品很多，那么如何選擇能夠適應自己企業(yè)的需要，達到最大的安全效果的產(chǎn)品呢？這里筆者認為，主要應該從以下幾個方面進行考慮。

首先，作為安全設備，防火墻具有其本身的敏感性。就是說我們所選擇的防火墻產(chǎn)品，必須經(jīng)過國家相關權威部門的認證和銷售許可，這些認證包括公安部和信息產(chǎn)業(yè)部的銷售許可，國家測評中心的認證等。

其次，防火墻作為一種網(wǎng)絡設備，性能是必須首先考慮的問題。如果防火墻對原有網(wǎng)絡帶寬影響過大，無疑就是對原有投資的巨大浪費。目前來說防火墻在類型上基本上都實現(xiàn)了從軟件到硬件的轉換，算法上也有了很大的優(yōu)化，一部分防火墻的性能完全可以做到對原有網(wǎng)絡的性能影響很小了。具體到用戶來說，辨別一款防火墻的性能的優(yōu)劣，主要可以看看權威評測機構或媒體的性能測試結果，這些結果都是以國際標準RFC2544標準來衡量的，主要包括：網(wǎng)絡吞吐量、丟包率、延遲、連接數(shù)等，其中吞吐量又是重中之重。另外防火墻的加入應該以不影響單位已有的業(yè)務為前提，如果您原來的業(yè)務有一些特殊的服務，比如視頻會議，IP電話等等。那可能就要當心了，一定要選擇支持這些協(xié)議的防火墻。

防火墻的功能是現(xiàn)在的用戶最為看重的部分。現(xiàn)在的防火墻的技術進步很快，功能上也做的五花八門，用戶選擇上也比較困難。個人認為，防火墻作為安全設備，安全性尤其是防攻擊和抗攻擊能力還是應該放在第一位上。訪問控制的粒度和強度也很重要，目前各個廠商采用的基本上都是基于狀態(tài)檢測包過濾功能。其他的一些附加的功能可以視實際的需要而定，例如，對于大家都沒有固定主機的單位，可能需要身份認證的功能，對網(wǎng)絡資源的合理控制，可能需要帶寬管理的功能，分為總部和分部的情況，可能需要VPN通訊的功能；內(nèi)部IP地址不足的可能需要地址轉換的功能等等。

就防火墻自身來說，它只是一個單獨的產(chǎn)品，要想靠一個防火墻來實現(xiàn)網(wǎng)絡的安全是不現(xiàn)實的。實現(xiàn)網(wǎng)絡的安全，最主要的還是一個安全策略的問題，一個安全的防火墻配置一套不安全的策略也是沒有效果的，安全的策略包括網(wǎng)絡中的其他安全設備，甚至包括這些安全設備是怎樣同防火墻協(xié)同工作的等等。所以說，購買了防火墻，不應該簡單的理解為購買了一個產(chǎn)品，應該是購買了一套安全的服務，因此廠家的技術實力和專業(yè)實力也是不容忽視的問題。

以上是筆者認為在購買防火墻產(chǎn)品時應該主要注意的問題，希望這些建議可以幫助用戶在不影響網(wǎng)絡工作的同時，更好地保護網(wǎng)絡的安全。

市場上，防火墻的售價極為懸殊。因為各企業(yè)用戶使用的安全程度不盡相同，所以廠商推出的產(chǎn)品也有所區(qū)別。但一般來說，一個防火墻應該能做到以下的事情：

1、支持“除非明確允許，否則就禁止”的設計策略。

2、本身支持安全策略，而不是添加上去的。

3、支持新的服務的加入。

4、可以安裝新的先進的認證方法。

5、如需要，運用過濾技術來允許和禁止服務。

6、可以使用各種服務代理，以便新的認證方法可以安裝并運行在防火墻上。

7、擁有界面友好，易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質進行包過濾，數(shù)據(jù)包的性質包括源和目的地址、協(xié)議類型、源和目的端口、TCP包的ACK位、出站和入站網(wǎng)絡接口等。

在選購防火墻時，不要把防火墻的等級看得過重。因為在等級評選中，防火墻的速度占有很大的比重，但是對于中小型企業(yè)而言，站點連接到Internet上的速度不會很快，因此大多數(shù)的防火墻都能完全滿足站點需要的。那么，在選購防火墻時，更多的是關注下面的一些因素：

1、防火墻自身的安全性

2、防火墻的穩(wěn)定性

最好的辦法是通過專業(yè)人士或測評機構了解防火墻是否如宣傳所說的那樣穩(wěn)定。

3、防火墻的性能

防火墻不僅能更好的保護防火墻后面的內(nèi)部網(wǎng)絡的安全，而且應該具有更優(yōu)良的整體性能。不一定速度越高越好，像有的小型的局域網(wǎng)出口速率不到1M/s，選用100M/s的防火墻就是多余的。

4、配置的方便性

一個好的防火墻應該是具有強大的功能，但配置起來卻非常方便。選購防火墻時，一定要看它的配置是否容易掌握，否則，復雜的配置對于網(wǎng)絡管理員將是一場噩夢。

5、是否可針對用戶身份進行過濾

這樣做有兩個好處：一是用戶可以隨便找一臺機器，向防火墻登錄，防火墻就可以根據(jù)它的權限進行合適的過濾；二是用戶出差時可以登錄回公司內(nèi)部自己的服務器，在沒有加密手段或者加密成本比較高時，這樣做是比較實用的。

6、可擴展性和可升級性

7、有用的日志

防火墻日志對網(wǎng)絡管理員來說是至關重要的。防火墻日志應具有可讀性，防火墻應具有精簡日志的能力，幫助管理員從日志中快速檢索到有用的信息。

8、掃毒功能

大部分的防火墻都可以與防毒軟件搭配實現(xiàn)掃毒的功能