在IT安全領(lǐng)域，防火墻是一個(gè)重要的角色，通常被部署在企業(yè)網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)中間，來保護(hù)企業(yè)網(wǎng)中的計(jì)算機(jī)、應(yīng)用程序和其它資源免遭外部攻擊。然而由于很多人對防火墻接觸的很少，加上防火墻種類繁多，常常讓一些新手朋友在選擇購買防火墻的時(shí)候感到困惑，本文筆者將和大家一起簡單了解一下在購買防火墻需要明確的一些概念，以及不同類型防火墻的主要優(yōu)點(diǎn)和缺點(diǎn)。

一、防火墻概念及選購要素

盡管防火墻有很多種分類，我們還是可以給它下一個(gè)廣泛的定義：一系列相關(guān)的安全程序被安裝在一個(gè)網(wǎng)絡(luò)入口服務(wù)器(或?qū)Ｓ迷O(shè)備)上，兩者共同筑起一道安全“墻”，共同保護(hù)內(nèi)網(wǎng)資源免遭外網(wǎng)人員攻擊。

盡管所有防火墻都運(yùn)行軟件，防火墻市場本身還是被人們劃分為兩大陣營：硬件防火墻和軟件防火墻。硬件防火墻是專門的安全設(shè)備，上面預(yù)裝著安全軟件，其操作系統(tǒng)一般是專用操作系統(tǒng)。另一方面，軟件防火墻通常可以被安裝在任何可用的服務(wù)器上，服務(wù)器的操作系統(tǒng)一般是通用的網(wǎng)絡(luò)操作系統(tǒng)，諸如Windows或Linux等。

企業(yè)在選擇防火墻產(chǎn)品的時(shí)候，沒有一套完全正確的規(guī)則可參考，因?yàn)槊總€(gè)企業(yè)的實(shí)際網(wǎng)絡(luò)環(huán)境不一樣，而且每個(gè)企業(yè)對防火墻功能要求也不同，因此企業(yè)通常要立足于需要和自己公司的實(shí)際情況來選擇合適的防火墻。不過在選購防火墻的時(shí)候，還是有一些要考慮的共同問題，如以下問題。

·防火墻的體系架構(gòu)(硬件還是軟件);

·防火墻要求的并發(fā)會(huì)話(session)數(shù)量是多少，并發(fā)會(huì)話數(shù)是防火墻能夠同時(shí)處理的點(diǎn)對點(diǎn)會(huì)話連接的最大數(shù)目，它反映防火墻對多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個(gè)參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點(diǎn)數(shù);

·外部訪問的類型和范圍要求;

·需要的VPN(虛擬專用網(wǎng))協(xié)議的數(shù)量和類型;要求保護(hù)的并發(fā)VPN的數(shù)量;

·喜歡的管理用戶界面(命令行、圖形或基于網(wǎng)頁)，以及是否需要高可用性功能。

防火墻的價(jià)格相差很大，用戶保護(hù)家庭或小企業(yè)網(wǎng)絡(luò)的簡單防火墻價(jià)格比較低，而用于專門保護(hù)企業(yè)資源的行業(yè)級別的硬件防火墻價(jià)格則非常高。

沒有兩個(gè)企業(yè)的網(wǎng)絡(luò)是完全相同的，因此廠商提供了許多不同類型的防火墻實(shí)現(xiàn)(包括基于硬件和軟件的)，來滿足特定客戶需要。最基本的實(shí)現(xiàn)可以被劃分為包過濾、電路層和應(yīng)用層三類。