二、选购要点
　　应该客观地看到，没有一个防火墙的设计能够适用于所有的环境，因此企业应根据站点的特点来选择合适的防火墙：

　　（1）安全性
　　大多数企业在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了最重要的这一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。 谈到防火墙的安全性就不得提一下防火墙的配置。防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。 Dual-homed方式最简单。Dual-homed Gateway放置在两个网络之间，这个Dual-homed Gateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受黑客攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost 的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。
　　Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为"停火区"（DMZ，即DemilitarizedZone），Bastionhost放置在"停火区"内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

　　（2）高效性
　　好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。 防火墙与代理服务器最大的不同在于防火墙是专门为了保护网络安全而设计的，而一个好的防火墙不但应该具备包括检查、认证、警告、记录的功能，并且能够为使用者可能遇到的困境，事先提出解决方案，如IP不足形成的IP转换的问题，信息加密/解密的问题，大企业要求能够透过Internet集中管理的问题等，这也是选择防火墙时必须考虑的问题。

　　（3）配置便利性
　　硬件防火墙系统具有强大的功能，但是其配置安装也较为复杂，需要网管员对原网络配置进行较大的改动。支持透明通信的防火墙在安装时不需要对网络配置做任何改动。目前在市场上，有些防火墙只能在透明方式下或者网关方式下工作，而另外一些防火墙则可以在混合方式下工作。能工作于混合方式的防火墙显然更具方便性。配置方便性还表现为管理方便。用户在选择防火墙时也应该看其是否支持串口终端管理。如果防火墙没有终端管理方式，就不容易确定故障所在。一个好的防火墙产品必须符合用户的实际需要。对于国内用户来说，防火墙最好是具有中文界面，既能支持命令行方式管理，又能支持GUI和集中式管理。

　　（4）管理的难易度
　　防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤，并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等管理问题，更是一般企业不愿意使用的主要原因。 因此防火墙的管理最好要适合网管员的管理习惯，设有远程Telnet登录管理以及管理命令的在线帮助等。GUI类管理器作为防火墙的管理工具，为网管员提供了有效、直观的管理方式。

　　（5）可靠性
　　对于防火墙来说，其可靠性直接影响受控网络的可用性，它在重要行业及关键业务系统中的重要作用是显而易见的。提高防火墙的可靠性通常是在设计中采取措施，具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。此外防火墙应对操作系统应提供安全强化功能，最好完全不需要人为操作，就能确实强化操作系统。这项功能通常会暂时停止不必要的服务，并修补操作系统的安全弱点，虽然不是百分之百有效，但起码能防止外界一些不必要的干扰。

　　（6）可扩展性
　　对于一个好的防火墙系统而言，它的规模和功能应该能够适应网络规模和安全策略的变化。理想的防火墙系统应该是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。目前的防火墙一般标配三个网络接口，分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口，因为有些防火墙无法扩展。

　　（7）其它考虑要素
　　企业安全政策中往往有些特殊需求（如网络地址转换(NAT)、双重DNS 、扫毒等功能）不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一。
　　此外防火墙的维护费用也是一个要考虑的问题，一般安全性越高，实现越复杂，设备费用相应的越高，日后的维护费用相对来说也是越高。

　　建议：
　　对于ISP、网站等用户来说，由于其数据流量大，对速度和稳定性要求较高，如果这些用户需要在外部网络发布Web（将Web服务器置于外部），同时需要保护数据库或应用服务器（置于防火墙内），这就要求所采用的防火墙具有传送SQL数据的功能，而且必须具有较快的传送速度，建议这些用户采用高效的包过滤型并且只允许外部Web服务器和内部传送SQL数据使用、100M及以上带宽的硬件防火墙。
　　中小企业接入Internet的目的一般是为了方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时，要注意考虑保护内部（敏感）数据的安全，要格外注重安全性，对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙，具有http、mail等代理功能即可。
　　对于大中型企业、金融、保险、政府等机构，共同之处在于网络流量不是很大，与外部联系较多，且内部数据比较重要。因此在选购防火墙时首先要考虑的就是安全性问题。从整体规划上，防火墙至少要能够将内部网分成两部分，即内部存放重要数据的网络与存放可提供外部访问数据的网络的分离。对于重要数据的传送，防火墙必须要提供加密的VPN通讯。这类用户选购10M或100M的防火墙就足够了。