選購防火牆的十項注意

　　防火牆是目前使用最為廣泛的網路安全產品之一，使用者在選購時應該注意以下幾點：

　　一、防火牆自身的安全性

　　防火牆自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在於作業系統，只有自身具有完整信任關係的作業系統才可以談論系統的安全性。而應用系統的安全是以作業系統的安全為基礎的，同時防火牆自身的安全實現也直接影響整體系統的安全性。

　　二、系統的穩定性

　　目前，由於種種原因，有些防火牆尚未最後定型或經過嚴格的大量測試就被推向了市場，其穩定性可想而知。防火牆的穩定性可以通過幾種方法判斷：

　　1． 從權威的測評認證機構獲得。例如，你可以通過與其它產品相比，考察某種產品是否獲得更多的國家權威機構的認證、推薦和入網證明（書），來間接瞭解其穩定性。

　　2． 實際調查，這是最有效辦法：考察這種防火牆是否已經有了使用單位、其使用者量如何，特別是使用者們對於該防火牆的評價。

　　3． 自己試用。在自己的網路上進行一段時間的試用（一個月左右）。

　　4． 廠商開發研製的曆史。一般來說，如果沒有兩年以上的開發經曆，很難保證產品的穩定性。

　　5． 廠商實力，如資金、技術開發人員、市場銷售人員和技術支援人員多少等等。

　　三、是否高效

　　高效能是防火牆的一個重要指標，它直接體現了防火牆的可用性。如果由於使用防火牆而帶來了網路效能較大幅度的下降，就意味著安全代價過高。一般來說，防火牆載入上百條規則，其效能下降不應超過5％（指包過濾防火牆）。

　　四、是否可靠

　　可靠性對防火牆類存取控制裝置來說尤為重要，直接影響受控網路的可用性。從系統設計上，提高可靠性的措施一般是提高本身組件的強健性、增大設計閾值和增加冗餘組件，這要求有較高的生產標準和設計冗餘度。

　　五、是否功能靈活

　　對通訊行為的有效控制，要求防火牆裝置有一系列不同層級，滿足不同使用者的各類安全控制需求的控制注意。例如對普通使用者，只要對 IP 位址進行過濾即可；如果是內部有不同安全層級的子網，有時則必須允許進階別子網對低層級子網進行單向訪問。

　　六、是否配置方便

　　在網路入口和出口處安裝新的網路裝置是每個網管員的惡夢, 因為這意味著必須修改幾乎全部現有裝置的配置。支援透明通訊的防火牆，在安裝時不需要對原網路設定做任何改動，所做的工作只相當於接一個橋接器或Hub。

　　七、是否管理簡便

　　網路技術發展很快，各種安全事件不斷出現，這就要求安全性系統管理員經常調整網路安全注意。對於防火牆類存取控制裝置，除安全控制注意的不斷調整外，業務系統存取控制的調整也很頻繁，這些都要求防火牆的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現為管理途徑、管理工具和系統管理權限。