近日，卡巴斯基查杀瑞星卡卡、QQ和金山WPS，误杀XP致蓝屏以及诺顿误杀致使XP系统崩溃事件在网络安全领域闹得沸沸扬扬，特别是诺顿误把Windows XP系统的关键系统文件当作病毒清除，从而造成几百万用户在升级系统重启后造成瘫痪，很多业内人士都认为其对用户造成的危害甚至超过曾经大名鼎鼎的“熊猫烧香”和“灰鸽子”病毒。而作为消费者的我们，不管这场国际战争里面是否有恶意竞争或者是炒作的嫌疑，这些软件安全产品存在瑕疵却是铁证的事实。甚至事件发生后，很多细心的消费者还列举了各大厂商曾出现过的误报和误杀事件，总结出“杀毒软件用谁都不安全”的悲观结论。

　　不过无论如何，在上述两次事件中，大量用户的PC正常使用都受到了严重影响，时间和经济损失均颇为严重，所以在这个软件安全产品备受责疑的时期，如果你的企业刚好要组建安全网络体系的，笔者还是为你推荐几款硬件防火墙产品作为企业的安全守护神，而且这些都是一些久经考验的经典产品，价格都比较便宜，完全可以取代诺顿与卡巴，大可以确保企业网络的安全和免受不必要的损失。

（1）网件 FVS328     参考价格：3000元

网件 FVS328

产品分析：

　　网件FVS328面向的是需要VPN功能的小型办公环境，具有1个10/100M WAN口、8个MDI/MDIX 自适应10/100M LAN口，还有一个RS-232能连接模拟调制解调器或ISDN的备份拨号连接串口，采用了高性能的150 MHz MIPS32处理器，能提供大于50 Mbps 的广域网-局域网的防火墙处理能力和大于20 Mbps的3DES（168bit）的基于硬件加密的VPN隧道的性能。

　　安全方面，FVS328采用了先进的SPI，DoS保护，入侵检测和支持IPSec/PPTP/L2TP VPN 穿透等技术。提供了完整的功能，包括IKE认证、日志记录、Internet 访问告警、报表、基于URL的内容过滤，以及具CA认证支持的PKI等高端特性。另外 FVS328也支持多个动态域名服务提供商（包括中国的“花生壳”）的动态域名服务，可支持VPN隧道的任意一方为动态IP地址进行VPN网络的组建，极大地降低中小型商业企业的VPN网络构网成本。

　　为了简化网络设备的安装与配置，FVS328采用了NETGEAR公司创新的基于WEB浏览器界面的Smart Wizard安装向导和Install Assistant安装助手。FVS328支持多种业务，包括DHCP Server，广域网口支持PPPoE 客户端、DHCP客户端和固定IP地址等、基于SSL的安全远程访问、VPN防火墙配置文件的备份和上传、端口转发、DMZ主机、MAC地址代理/欺骗、NTP支持、DNS 代理、诊断工具程序及端口/服务拒绝等。
 
编辑点评：

　　FVS328一款具备高性价比的内置备份广域网口连接的VPN防火墙，其在支持50个同时并发的基于硬件加密的3DES VPN隧道的基础上提供功能丰富和性能强劲的防火墙安全特性，而且其内置的RS-232备份串口更是为广域网络的高可靠性连接提供了最大的保障，确实是成长型的小型企业/SOHO用户的理想解决方案。

（2）思科 PIX-501  参考报价：4000元

CISCO PIX-501

产品分析：

　　说起思科的PIX系列防火墙，相信大家都有所耳闻，它是市场上经典的小型企业级硬件防火墙，凭着良好的性价比，成为防火墙长品中的常青藤。作为思科的产品，PIX-501在质量和性能上绝对没有问题，具有3500个并发连接数，10Mbps的数据吞吐量，3MB的安全过滤，不过只能提供10台计算机的连接。拥有包括正式的检测防火墙、虚拟个人网络 （VPN）和入侵保护，并支持URL过滤、内容过滤和来自Cisco AVVID（语音、影象和集成数据）合作伙伴的其他第三方解决方案。

　　另外，PIX-501采用思科的自适应安全算法（ASA）和PIX操作系统，在确保其后的所有用户的安全，还可以帮助他们防范互联网的潜在威胁。它的状态监测技术可以跟踪所有经过授权的用户的网络请求，防止未经授权的网络访问。况且利用PIX 501的访问控制功能，管理员还可以对经过防火墙的网络流量实施定制的策略，比较不错。

　　在管理方面，PIX-501配置的设备管理器（PDM）可以为管理员提供一个直观的、基于Web的界面，从而可以方便地配置和监控，而且管理员还可以利用PIX 501所提供的命令行界面（CLI），通过多种方式（包括远程登陆、安全解释程序（SSH），以及通过控制端口实现的带外接入）对PIX 501进行远程配置、监控和诊断，还是很方便的。

编辑点评：

　　PIX 501防火墙是一种针对特定需求而设计的安全设备，可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、虚拟专用网（VPN）和入侵防范等。还可以利用其基于标准的互联网密钥交换（IKE）/IP安全（IPSec）VPN功能，确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全，故此适合于小型办公室网络或者大型网络中的局部网络使用。

3）中怡数宽 PROcon5    参考价格：4800元

中怡数宽 PROcon5

产品分析：

　　PROcon5是中怡数宽PROcon系列中最入门级别的一款产品，采用了醒目的红色外观设计，金属的外壳让设备的散热效果更佳，质感也比较好。拥有一个WAN口和四个LAN口，还有一个用于还原设备出厂设置的RESET口，带机数量最多为200台电脑，最高吞吐量高达100M，对于中小企业这样的人员结构和网络吞吐量，应该可以轻松应付。

　　而安全方面，PROcon5内建的SPI、DoS防火墙，在阻止绝大多数黑客攻击的同时，也能对蠕虫攻击进行很好的防御功能。其利用Stateful Packet Inspection （状态分组检查）技术对传输的数据进行监测，可有效提高数据的安全性。而且新版的PROcon5比旧版本更完善，功能更丰富，基本功能有远程管理、修改密码、静态路由、动态DNS、站点过滤器、地址列表、QoS、代理DNS和PC数据库等；新增加的功能包括：专用的网络核心M3E，提升速度功效3倍多；深层检测防火墙技术，多正反双向网页过滤；分时段组别封闭QQ，商用控管MSN使用；MAC严格绑定验证，40组地址列表型管理等，对于一个中小企业级别用户来说，应该是绰绰有余了。

　　附件方面，PROcon5提供了快速安装指南，使得用户可以通过最简便的方式安装设置防火墙。除此之外，还提供了一份十分详细的企业级VPN防火墙用户指南，使得用户可以对防火墙的相关信息以及设置得到充分的了解与应用。

编辑点评：

　　中怡数宽 PROcon5为用户提供了比较不错的硬件配置和良好的管理功能，具有专业、稳定、高速三大特点，功能非常齐全，而且温度低无需特殊散热，无需要专业人员管理，适应恶劣环境，而且专门针对中小企业应用而提供的全新安全功能更能灵活地适应各用户的使用需求。

（4）飞塔 FortiGate 50A  参考报价：6000元

飞塔 50A

产品分析：

　　FortiGate 50A同样是一款在市场上久经考验的经典病毒防火墙，是专用的基于ASIC的硬件产品，在网络边界处提供了良好的实时保护。虽然它的并发连接数达25000个，网络数据吞吐量并不大，只能达到50Mbps，但却具有50MB的安全过滤带宽，而且支持无限用户数量。

　　安全方面，FortiGate是业界唯一能够在不影响网络性能情况下检测有害的病毒、蠕虫及其它基于内容的安全威胁的产品。故此这款为小型办公室量身定制的FortiGate 50A也继承了高端产品的高性能，提供基于网络的防病毒、内容过滤、防火墙、VPN、IDS/IDP的优秀功能。特别是防火墙的功能还是比较让人满意的，它通过联合反病毒、Web及邮件内容过滤、防火墙、VPN、基于网络的入侵检测/阻断和硫量整形等功能供全面的实时网络保护。

　　除了病毒检查功能外，它的PPPoE功能也增加了用户应用的灵活性和方便性，能够防止Dos攻击，并且支持冗余Internet接入，消除了额外hub或switch的需要使网络设备直接连接FortiGate-50A，兼之操作也十分简单，可通过浏览器进行快速安装管理，完全可以满足小型企业和分支结构不同用户群的需求。

编辑点评：

　　FortiGate 50A通过联合反病毒、Web及邮件内容过滤、防火墙、VPN、基于网络的入侵检测/阻断和流量分析等功能提供全面的实时网络保护。虽然整体来说性能不是很强大，但是胜在功能比较丰富、操作简单，特别适合小型企业、远程办公、零售商店、宽带家庭用户和许多其它应用需求。

（5）Juniper NetScreen-5GT  参考价格：6200元（juniper的博客）

Juniper NetScreen 5GT (无限用户) 

产品分析：

　　Juniper NetScreen-5GT是一款功能丰富的中小型企业级网络安全解决方案，其秉承了NetScreen一贯追求的提供真正集成式网络安全解决方案的设计理念，集防火墙、VPN、DoS防护等多种安全机制于一个单一安全设备中，形成多层次安全防护体系。配置方面，NetScreen-5GT带一个Untrust 10/100 以太网端口、四个Trust10/100以太网端口、一个控制台端口以及一个调制解调器端口。系统提供75 Mbps防火墙和20 Mbps VPN的性能，拨号备份及双非信任端口功能，同时由于具有连接冗余性、拨号备份及动态路由支持，提供了对远程站点关键业务的超强系统稳固性。

　　另一方面，NetScreen拥有的“限制区”功能允许远程站点轻松建立两个或以上的安全分区，进一步分隔不同的内部网络或PC工作站。以一个服务或零售企业为例，网管员可以特别为处理客户数据的PC工作站建立“限制区”，而NetScreen-5GT的其他端口则处理企业的对内流量，进一步提高整个网络的安全性。而且NetScreen-5GT支持多种通信协议，例如BGP、 OSPF以及针对LAN路由的RIPv2协议。集成性的路由机制，不仅加强网络安全，同时大幅度缩短部署远程站点连结的成本及时间。

编辑点评：

　　综合来看，NetScreen-5GT一款集多种安全机制于一身，并具备可升级病毒扫描功能的集成式网络安全产品，功能丰富，性能可靠，能够保证对中小企业用户的网络支持，能够满足远程办公室或远程宽带用户的需求，也适用于拥有多个分公司或远程站点的大型企业网络、零售连锁机构，以及银行及金融组织等。