安全产品需知：从四方面考察选购防火墙

　　防火墙技术发展到现在，其技术竞争的焦点主要集中在以下四个方面：防火墙的管理、防火墙的功能、防火墙的性能、防火墙的抗攻击能力，因此这四个方面也成为考察防火墙时比较重要的指标。

　　目前，计算机网络的应用已深入到社会生活的各个领域，网络的安全问题也日益突出。实践证明，通过构建防火墙系统保护机构的网络安全，是目前较为便捷和行之有效的方法。这是因为，防火墙是设置在被保护网络和外部网络之间的一道屏障，以防发生不可预测的、潜在破坏性的侵入。它可以监测、限制、更改通过防火墙的数据流，尽可能地屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

　　防火墙典型应用环境

　　当一个企业决定用防火墙来实施信息安全策略之后，怎样选择一个安全、实惠、适合自己特点的防火墙就显得格外重要。防火墙技术发展到现在，其技术竞争的焦点主要集中在以下四个方面：防火墙的管理、防火墙的功能、防火墙的性能、防火墙的抗攻击能力，因此这四个方面也成为考察防火墙时比较重要的指标。这是因为：

　　管理是网络安全的关键

　　用户要使用一个安全的防火墙系统，就需要实行一套安全的防火墙策略，这就对防火墙的实际操作人员提出较高要求。因为无法要求每个网络管理员都是网络安全专家，所以管理是网络安全的关键。由于不同防火墙在管理上存在差异，因此，管理的难易程度可能造成管理员的错误配置，使网络产生安全隐患。其中，防火墙本身的易管理性、认证加密的程度以及日志审计的完整性，是反映防火墙管理功能的重要标志。

　　功能是防火墙应用的基础

　　防火墙的功能越来越多，但它是否具有信息内容过滤、NAT技术和状态检测功能，是选购防火墙时需要着重考察的功能点。

　　内容过滤能够实现对应用层内容的检测，提高网络的安全性。

　　内容过滤是在http、ftp和smtp等协议层根据过滤条件对信息流进行控制，使得URL、http携带的Java Applet、JavaScript、ActiveX、Servlet、CGI、PHP、img，电子邮件的subject、to、from和text域，电子邮件附加的DOC和ZIP文件，FTP下载和上载文件的内容等可能包含危险信息，如病毒、非法关键字、非法操作命令等。因此对内容进行过滤能有效地提高网络的安全性。

　　NAT功能使网络便于扩展，并提高网络安全。

　　NAT技术是将一个地址转换为另外一个IP地址的技术，具备了完整的NAT技术还可以实现负载均衡等功能。它有两个特点：一是隐藏内部网络真正的IP，使“黑客”无法直接攻击内部网络；二是让内部网络使用保留地址，这对那些IP地址不足的用户非常有益。NAT技术有多种，它们包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。在日常应用中，防火墙只要提供任何一种NAT功能，就可以满足用户的地址隐藏和IP匮乏的需求。

　　状态检测功能可以提高数据传输效率，增大网络安全系数。

　　状态检测技术基于防火墙所维护的状态表的内容转发或拒绝数据包的传送，比普通的包过滤有着更好的网络性能和安全性。普通包过滤防火墙使用的过滤规则集是静态的，除非用户对其进行重新配置，否则它的内容是固定不变的。而采用状态检测技术的防火墙，在运行过程中一直维护着一张状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后，防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。对用户来说，状态检测不但能提高网络的性能，还能增强网络的安全性。

　　性能保证了网络的传输效率

　　吞吐量和并发连接数是网络性能的两个重要参数。

　　防火墙是网络的单一接入设备，因此，吞吐量小就会造成网络出口的瓶颈，以至影响整个网络的传输效率。如果还需要对外提供如Web服务、DNS域名解析或邮件服务等功能，防火墙就得通过更大流量的信息，因此，防火墙应具有尽可能大的吞吐能力。

　　并发连接数是指，穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。它不仅能体现防火墙建立和维持TCP连接的性能，而且通过并发连接数的大小体现防火墙对客户端TCP连接请求的响应能力。如果支持的并发连接数有限，它就会成为网络的瓶颈。所以，并发连接数也是衡量防火墙性能的一个重要指标。

　　抗攻击能力是网络安全的保证

　　目前，在“黑客”的攻击中，使用最多、最有效的是DDoS攻击，其造成的结果是服务器拒绝服务。防火墙作为网络的单一通道，要保证受保护网络的安全，它本身应具有抗攻击能力。抗攻击能力的大小反映了防火墙本身的安全性，是网络安全的保证，也是用户购买防火墙的重要参考指标。

　　当然，在选购适合自己的产品时，除考察以上这些指标外，还要根据特别需求，如限制特定使用者发送Email，限制同时上网人数、限制使用时间、在异地有分公司或分销商需要VPN加密隧道功能等。这些功能可以为用户提供更多方便，便于以后网络的改进和升级。

　　防火墙≠安全

　　虽然构建防火墙系统是目前保障信息安全较为简便有效的方法，但实际上，并不是安装了防火墙，用户就可以高枕无忧。安装了防火墙，只是在硬件上为网络安全提供了一道屏障，让网络在安全维护上处于主动位置，因此，用更多的时间制定一个完善详尽的安全策略要比把大部分时间花在事故的处理上划算得多。

　　此外，要达到防火墙的预期效果，除了要对其进行精心维护外，更重要的是要加强企业安全的“软件”管理，即建立完善的安全管理规程，并严格实施。因为许多攻击来自于内部，这是任何防火墙都无能为力的。如用户在本地无意运行一个程序，但这个程序包含了一段恶意的代码，这样，就有可能造成泄露企业电子商务信息或对系统造成破坏的不良后果。