在组建网络环境时，安全性永远是用户非常看重的一个因素，这就考虑到用户如何选择防火墙的问题了。

　　防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。

　　今天，我们主要了解的是硬件防火墙。对于网络设备来说，性能都是率先要考虑的问题。与其他网络设备相比，防火墙的性能一直被认为是影响网络性能的瓶颈。用户要如何筛选在不同功能下性能表现更好的防火墙，让在启动各项功能的同时确保防火墙的高性能，就成了大家迫切希望知道的。今天，笔者按功能划分为大家介绍几款防火墙，让用户在选购的时候更得心应手。

防火墙导购

单/双向吞吐性能

　　吞吐量是测量防火墙性能的重要指标。网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。

　　通过测试，在单向吞吐量方面值得推荐的产品为NetScreen-208防火墙，双向为 联想 网御 2000FW GL。

NetScreen-208防火墙（参考价：132000元）

　　NetScreen-208是目前市场上功能最多的防火墙产品，它具有8个自适应10/100M以太网端口，延续了NetScreen防火墙优秀的线速处理能力(550Mbps)--即使在对系统资源要求极高的应用中（诸如VPN-3DES加密）也能保持超过200Mbps的速率。

　　多个可灵活配置的端口更有效地把需要保护的特别区域与潜在威胁分离开来。在每个端口上都可以设置防火墙保护策略，配置针对28种攻击手段的保护策略。NetScreen-208防火墙系列可以把任一端口设置为遵守IPSec协议的VPN通道的起点或终点，从而搭建功能更强的VPN网络。

　　集中星型的(hub-and-spoke)VPN网络的中央站点。用户不需要为每个远程站点之间单独建立VPN通道，只需在远程和中央站点间设立一个VPN通道，让中央站点把网络流量导引到正确的远程站点。

　　产品还具有高度的可用性（冗余设备）。可以方便地集成在许多不同的网络环境中，包括大中型企业的办公室，电子商务网站，数据中心和电信运营基础设施。

联想 网御 2000FW GL（参考价：94000元）

　　联想针对电信、ISP/IDC等用户网络高带宽、大数据流量、业务不可中断、网络结构复杂的需求，研制开发并推出了基于网络处理器（NP）技术的真正千兆线速硬件防火墙：联想网御2000 FW GL千兆线速防火墙。

　　其基于NP、采用高性能的IXP/PCI高速总线结构的架构、专用的动态协议处理器、独特的安全策略快速匹配算法，确保在加载大量安全规则的情形下，真正实现了全双工状态的千兆数据传输性能。联想网御千兆防火墙可在透明方式下实时检测出600多类、1000余种攻击行为，能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP碎片攻击、DoS／DDoS攻击等。

　　技术特色网络拓扑适应能力强，网络接口配置灵活，可广泛应用于不同的网络环境网络数据处理能力强，可支撑网络中大数据流的吞吐自主知识产权的产品内核，系统安全性和抗攻击能力强防火墙基本功能丰富，配置简便，可实现在网络中的快速部署支持集中管理功能，可作为网络防火墙系统的控制核心支持双机热备，进一步提高关键业务运行的可靠性产品通过多方权威认证，稳定性、可靠性强，完全满足关键业务的安全运行需求.

　　同时，联想网御2000 FW GL千兆线速防火墙在设计上参照电信网络骨干设备的可靠性标准，大量采用冗余配备，确保电信级应用的可靠性。路由和透明通信模式，自适应不同的网络环境，方便用户在不调整网络结构的情形下透明接入。